某关键场所摄像头后端主机遭遇非法入侵

在这个万物互联的物联网时代，每样家电都被赋予智能化的标签，智能、互联、可操控是物联网带给人们生活上的便利；与此同时，由互联带来安全风险也加速递增，摄像头漏洞、无人机劫持、机顶盒内容篡改等，给不法分子引进了新手段新途径，让物联网安全蒙上了一层不安全的阴影。

摄像头安全预警

摄像头这一类的监控设备如今使用广泛，对于关键场所的信息记录收集、违法行为抓拍等有着巨大贡献。但是，诸如此类的监控设备却有着大大小小的各种安全漏洞，或者是摄像头采集的视频信息被泄露，引发隐私泄露事件，或者是摄像头后端的主机、数据库被入侵，形成僵尸网络。

绿盟科技梳理了近几年典型摄像头安全漏洞：

惊现僵尸网络

近期，绿盟科技政企业务群三叉戟安全团队接到某用户反馈，某关键场所的摄像头后端主机疑似被非法入侵，在我们进行问题排查的过程中，就此揭开了“隐匿者”黑客组织僵尸网络的神秘面纱。

日志分析

在对客户提供的Windows Server 2003日志进行筛选排查后发现，某个时间段内出现了多条DNS请求外部域名事件，该向外部请求域名较为可疑，且无法访问。

WHOIS查询

在对此类域名进行whois查询后发现并无详细注册信息，注册人及联系邮箱和电话均为不可靠保护信息。

选择其中mykings.top域名进行电话反查，发现相同注册信息高达4万多条。并且多数注册域名不属于正常网站域名，多为.trade或.info非常规顶级或二级域名，注册域名数量之多，初步怀疑为僵尸网络的不同控制域名。

对其中mykings.top域名进行信誉查询发现，该域名为危险域名。通过信誉网络分析，*.mykings.top为主控域名*.mykings.pw的下线。MyKings是一个由多个子僵尸网络构成的多重僵尸网络，2017年4月底以来，该僵尸网络一直积极地扫描互联网上1433及其他多个端口，并在渗透进入受害者主机后传播包括DDoS、Proxy、RAT、Miner在内的多种不同用途的恶意代码。

根据C&C服务器域名攻击频率的相似度分析，mykings.pw、mykings.top等多个域名在攻击时间和爆发数量上具有相似的持续性，在近半年中，有多篇其他安全厂商报告中都曾出现过“隐匿者”的足迹。卡巴斯基实验室在2017年2月发布报告《New(ish) Mirai Spreader Poses New Risks》中也提到了前文所述的mykings.pw 域名。

图取自 绿盟科技信誉云

如下图所示“隐匿者”对其他后门账户的操作趋势：（上方为拦截到的“隐匿者”攻击相关恶意行为爆发趋势，下方为拦截到的“隐匿者”对其他后门账户的操作增长趋势）。

图取自 火绒安全实验室

结束语

网络入侵就在你身边，物联网的安全需求，由于分布式的特点，数量多分布零散，容易被黑客攻击组成僵尸网络；另外联网产品品牌种类多，出厂安全性标准不一致，无安全配置或弱口令等问题较多出现。故：物联网安全无小事，万物互联应安全互联。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP