2020 년 XNUMX 월 벤더가 지난 달에 버그를 패치하기 전 최소 XNUMX 명의 봇넷 운영자가 XNUMX 개월 이상 LILIN 디지털 비디오 레코더 (DVR)의 XNUMX 일 제로 데이 취약점을 비밀리에 악용했습니다.
디지털 비디오 레코더 회사 네트워크에 설치되어 로컬 CCTV 또는 IP 카메라 시스템의 비디오 피드를 집계하여 HDD, SSD, USB 플래시 드라이브 또는 SD 메모리 카드와 같은 다양한 유형의 스토리지 시스템에 기록하는 장치입니다.
오늘날 DVR은 보안 카메라만큼이나 오늘날의 IoT 환경에서 어디에나 존재합니다.
2010 년 초 이래로 CCTV 솔루션이 전 세계적으로 보급되기 시작하면서 멀웨어 봇넷도 DVR 시스템을 겨냥하기 시작했습니다.
출고시 기본 자격 증명을 사용하거나 오래되고 오래된 펌웨어로 실행되는 DVR 장치는 해킹되었으며 DDoS 공격을 시작하기 위해 리소스와 대역폭이 남용되었습니다. 다양한 DVR 브랜드가 수백 개의 서로 다른 IoT 봇넷의 대포 사료였습니다.
2019 년 XNUMX 월부터 LILIN 제로 데이 악용
작년 XNUMX 월에 릴리해커가 장치를 악용 할 차례입니다.
어제 게시 된 블로그 게시물에서중국 보안 회사 Qihoo 360의 Netlab 팀은 LILIN DVR에서 제로 데이를 활용하는 XNUMX 개의 봇넷을 감지했다고 밝혔다.
- NTPUpdate 프로세스의 취약점으로 인해 침입자가 시스템 명령을 삽입하고 실행할 수 있습니다
- 두 가지 하드 코딩 된 자격 증명 (root / icatch99 및 report / 8Jg0SR8K50) 중 하나를 사용하여 공격자는 DVR의 구성 파일을 검색 및 수정 한 다음 FTP (파일 전송 프로토콜) 서버 구성이 주기적으로 동기화 될 때 장치에서 명령을 실행할 수 있습니다.
- 위와 비슷하지만 NTP (Network Time Protocol) 서비스를 통해 제공됩니다.
넷랩은 제로 데이 중 하나를 악용 한 최초의 봇넷이 찰 루보 봇넷작년 XNUMX 월 말부터 LILIN DVR을 인수하기 위해 NTPUpdate 취약점을 악용하기 시작했습니다.
두 번째 및 세 번째 제로 데이는 올해 XNUMX 월에 적극적으로 착취했습니다. 넷랩은 그것이 FBot 봇넷 봇 군대를 강화하기 위해 두 번째와 세 번째 제로 데이를 학대.
FBot XNUMX 주 후 무봇 봇넷 운영자는 세 번째는 아니지만 두 번째 제로 데이를 학대하기 시작했습니다.
Netlab은 봇넷 운영자가 하이재킹 된 LILIN DVR로 무엇을했는지 밝히지 않았지만 대부분의 봇넷은 DDoS 공격을 시작한 이력과 프록시 네트워크 역할을하고 악의적 인 사용자를 위해 트래픽을 다시 라우팅 한 이력이 있습니다.
Netlab 연구원들은 FBot 공격 후 Moobot에 이어 LILIN에 두 번 연락했습니다. 거의 한 달이 걸렸지 만 LILIN은 결국 릴리스했습니다. 펌웨어 업데이트, 완화 조언과 함께.
패치가 일부 장치에 적용되는 데는 수개월이 걸리지 않을 수도 있습니다. 오늘날의 IoT 환경에 아킬레스 건이 있다면 대부분의 장치에서 펌웨어를 쉽게 업데이트 할 수있는 원 버튼 푸시가 없다는 사실입니다. 일단 고객에게 배송되면 대부분의 시스템은 폐기 될 때까지 패치되지 않은 상태로 유지됩니다.
작성 당시에는 5,000 대 이상의 LILIN DVR이 인터넷에 연결되어 있습니다.
