圖片來源: 

Juniper

殭屍網路盯上視訊監控系統(DVR)發動攻擊的現象,時有所聞,例如,去年可取國際(iCatch)利凌(Lilin)的DVR系統傳出漏洞,可能會被殭屍網路用於DDoS攻擊;而臺灣多家主機託管業者於去年9月遭到DDoS攻擊,起因也疑似是國內IP位址的DVR遭到入侵所致。我們曾在今年1月報導名為FreakOut(又名Necro、N3Cr0m0rPh)的殭屍網路,這個殭屍網路現鎖定數款軟體的重大漏洞,大舉入侵Linux伺服器,但最近駭客也開始轉換目標,對於視訊監控系統(DVR)下手,利用尚未取得CVE編號的漏洞,下載殭屍網路病毒到受害裝置,並用來挖礦。

資安業者Juniper在今年9月的最後一個禮拜,偵測到FreakOut新的攻擊行動,鎖定Visual Tools DVR VX16視訊監視系統而來,並利用此設備的未列管漏洞入侵,目的是要挖取門羅幣(XMR)。

FreakOut是殭屍網路病毒指令碼,透過Python編寫而成,能在Windows與Linux作業系統執行,這個殭屍網路病毒最早可能於2015年就開始活動。而FreakOut今年的活動相當頻繁,不只在1月發動攻擊,後續於3月、5月加入新的攻擊能力,能夠攻擊的應用系統與程式庫類型,變得更為多元。

究竟這個殭屍網路病毒有什麼能力?Juniper指出,FreakOut不只具備監聽網路的功能,也能在Windows電腦上部署Rootkit,或是感染HTML、JS、PHP檔案,以及安裝挖礦工具來挖取門羅幣。而這個殭屍網路病毒傳播的管道,通常是利用軟體漏洞,或是透過暴力破解帳密的方式入侵。不過,究竟有多少系統遭到FreakOut感染?Juniper沒有進一步說明。

鎖定DVR與多項網路系統漏洞而來

而本次FreakOut所鎖定的DVR設備漏洞,這是一項未經身分驗證的作業系統命令注入漏洞,在今年7月被發現,出現在執行4.2.28.0版韌體的Visual Tools DVR VX16。一旦攻擊者利用這項漏洞,就能在不需身分驗證的情況下,在CGI指令碼注入任意命令,進而遠端執行任意命令(RCE)。

攻擊者在利用上述漏洞入侵DVR之外,研究人員也看到FreakOut運用其他應用系統的漏洞。例如,儲存設備TerraMaster作業系統TOS的CVE-2020-15568與CVE-2020-28188、無線路由器Genexis PLATINUM 4410的CVE-2021-2900、Xinuos Openserver作業系統的CVE-2020-25494,以及嵌入式作業系統Zeroshell的CVE-2019-12725等。

採用動態網址的範圍更為廣泛

為了避免被資安防護系統察覺有異,FreakOut也運用了網域生成演算法(DGA),隨機挑選連線的網址。但Juniper表示,有別於之前FreakOut只針對C2中繼站使用DGA,新的殭屍網路病毒在取得檔案下載網址時,也同樣運用這種演算法來取得下載伺服器的位址,而使得組織要防堵FreakOut下載作案工具更加困難。

附帶一提的是,攻擊者運用DGA的手法,也擴及FreakOut在受害系統的裡挾持的HTML、JS、PHP檔案,該殭屍網路病毒加入的JavaScript指令碼路徑,也同樣透過DGA產生。


熱門新聞

Advertisement