黑客利用 AVTech 老缺陷构建“死亡”僵尸网络

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

一个名为 “EliteLands” 的恶意软件作者目前正在利用未修复的 AVTech 设备构建“死亡 (death)”僵尸网络。

EliteLands 利用的缺陷早在2016年末期就已被公布。这个利用代码针对的是多种 AVTech 设备类型如 DVR、NVR、IP摄像头等共享的固件中存在的14个有名漏洞。

这些老旧的固件版本暴露了 AVTech 设备的明文密码，可导致未经认证的攻击者将用户添加至现有设备。

NewSky 安全公司的研究员 Ankit Anubhav 发现了这个僵尸网络，他表示， EliteLands 正在向 AVTech 设备增加新用户，但使用 shell 命令作为这些账户的密码。

僵尸网络构建轻而易举

这些老旧的 AVTech 设备也易受一个命令注入缺陷的攻击，可导致设备将密码读取为一个 shell 命令，从而导致黑客接管这些设备。Anubhav 表示，“因此，如果我将 reboot 作为密码，那么 AVTech 系统就会被重启。当然，这个死亡僵尸网络做的动作要比重启多得多。”

Anubhav 表示，黑客一直在密码字段中玩弄不同的 payload，不过最近开始使用这些 payload 构建名为“死亡”的僵尸网络。

在这个 payload 的最新版本中，EliteLands 被指添加了生命周期只有5分钟的账户，这些账户执行 payload 后就从受感染设备中消失了。Anubhav 表示，“这就像是一个 burner 账户。通常人们不会使用仅能访问5分钟的新用户账号。”

目前尚不知晓该僵尸网络的大小，但构建它非常容易。Anubhav 表示已经找到1200多台可通过物联网搜索引擎遭劫持的 AVTech 设备。也可通过 Google Dork 发现一些设备，尽管这些结果并不一定准确，而且某些时候会返回不相关的 URL。

该僵尸网络的作者表示，“死亡僵尸网络尚未进行大规模攻击，但我知道它终将实施攻击。死亡僵尸网络的目的最初只是为了发动 DDoS 攻击，但不久之后我就会制定出更大的计划。我使用它的目的绝不仅仅是让消费者感知其威力。”

HNS 僵尸网络也在攻击 AVTech 设备

AVTech 已在2017年年初修复了遭死亡僵尸网络利用的问题。已修复的固件版本已存在一年多的时间。

EliteLands 用于构建死亡僵尸网络的利用代码和漏洞曾被 HNS 僵尸网络在上个月扩展攻击，目标从接管家庭路由器到劫持物联网设备。

6月末，AVTech 为设备所有人公布了一则安全警报。尽管如此，该公司仅建议用户更改密码，而不是应用固件更新这一更加安全的方法。

https://www.bleepingcomputer.com/news/security/malware-author-building-death-botnet-using-old-avtech-flaw/