威胁快讯 | 腾讯Tencent Blade Team首度公开,恶意代码威胁全球摄像头

北京时间2018年9月18日,Tenable官网上公开了由京晨科技(NUUO)公司开发的NVRMini2设备管理系统存在缓冲区溢出漏洞(代号为Peekaboo,CVE-2018-1149)的相关公告,腾讯Tencent Blade Team云安全团队从2018-09-20 05:03:42 UTC开始,首次监控到互联网上有恶意代码正在利用此漏洞进行传播,据悉,该漏洞威胁到全球超过100个品牌的数十万款摄像头设备。

漏洞相关细节

NVRMini2是由NUUO提供的一套兼具NAS功能的轻巧便携式NVR解决方案,广泛用于零售、交通、教育、政府和银行等行业。它所使用的web服务的公共网关接口协议(CGI)没有对cookie参数进行严格校验,这导致攻击者可以通过输入大量恶意代码,对sprintf函数进行堆栈缓冲区溢出攻击,最终可导致攻击者以root权限或管理员身份远程执行任意命令,包括访问当前视频流及历史存储文件,操纵设备进行挖矿、执行DDoS攻击命令等,为数据隐私和网络安全带来了极大威胁隐患。

据公开资料显示,Peekaboo漏洞的影响范围较广,波及超过100个品牌、2500款不同型号的摄像头,以及数十万设备。目前在FOFA系统使用“NUUO-NVRmini”搜索,发现最新数据显示全球范围内共有19662个暴露在公网。其分布如下图所示:

其中美国、德国和日本使用最多。此外,攻击者也在模块中加入了SSH爆破,从而使木马能够蠕虫式传播,影响范围较大。

攻击过程剖析

恶意代码首先通过如下payload尝试让设备下载一个恶意的shell文件并执行。

worldwest.sh脚本分为两个模块,一个模块用于挖矿,另一个模块用于扫描传播。

挖矿模块采用了Github中开源的挖矿木马,此处不再赘述。

扫描模块中主要包含两个部分,cpconnectzmap*扫描80端口,利用Peekaboo漏洞二次传播,另一部分bruteforce_ssh__*则是对ssh服务进行爆破。

IOC

目前捕获到的扫描源

控制端C2

样本MD5

关于Tencent Blade Team

Tencent Blade Team由腾讯安全平台部创立,专注于AI、移动互联网、IoT、云安全、无线电等国际范围内的前沿技术领域安全研究。目前,Tencent Blade Team已报告了谷歌、苹果、Adobe等多个国际知名厂商70多个安全漏洞,得到互联网行业、厂商以及国际安全社区的广泛认可。未来,Tencent Blade Team将持续致力于为互联网与科技发展的保驾护航。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应付账款(158)-6 FB65供应商贷项凭证

4.6 FB65参考发票输入供应商贷项凭证 收到有关交货不足的供应商贷项凭证。该贷项凭证必须在 SAP 系统中手动过帐。 角色:应付会计 会计核算-财务会计-应...

43611
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应付账款(158)-4 FB60过帐供应商发票

4.4 FB60过帐供应商发票 您从供应商处收到发票并在系统中进行过帐。供应商的物料发票被过帐到物料模块中,有关详细信息,请参见文档。您还可以为除物料(如下文中...

35710
来自专栏金融民工小曾

【支付系统设计从0到1】支付业务调用方式有哪些?为什么微信公众号支付采用JSAPI方式?

对于大多数做支付系统设计的同学来说,对于支付渠道提供的调用方式都不陌生,相信大家对这些支付渠道的调用方式也了如指掌。

1282
来自专栏大宽宽的碎碎念

支付状态与分布式一致性

41015
来自专栏FreeBuf

网络悍匪劫持巴西网银长达5小时,数百万用户中招

传统的网上银行劫持和现实中的银行抢劫并没有多大的区别。匪徒闯进银行,抢走财物,再离开银行。但是,就是有这样一个黑客组织不走寻常路,他们劫持了一家巴西银行的DNS...

18810
来自专栏CDA数据分析师

我是如何一不小心阻止了勒索病毒的全球蔓延

原作者 MalwareTech 编译 CDA 编译团队 本文为  CDA 数据分析师原创作品,转载需授权 前言 上周全球爆发电脑勒索病毒,“疫情”已波及 99 ...

2859
来自专栏魏艾斯博客www.vpsss.net

Bluehost 美国站和 Bluehost 中国站的区别

1503
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应收帐款(157)-5 FB75贷项凭证

4.6 根据发票过帐贷项凭证 如果销售与分销模块在实施范围内,请执行步骤 根据销售与分销模块发票过帐贷项凭证。这样就确保了销售与分销模块和财务/控制会计之间的整...

3816
来自专栏安恒信息

HT工具泄露 安恒APT产品无需升级即可检测

  近日,一家以协助政府监视公民而“闻名于世”的意大利公司Hacking Team数据失窃。攻击者窃取了Hacking Team超过400GB的数据并公布于网络...

3128
来自专栏FreeBuf

俄罗斯浮现新型银行木马Silence,或与Carbanak有关

近日,卡巴斯基实验室的研究人员发现了一种新型木马——Silence,犯罪组织利用它对俄罗斯,马来西亚,亚美利亚的银行进行了网络攻击。 卡巴斯基的 GreAT 调...

2175

扫码关注云+社区

领取腾讯云代金券