[公开漏洞]如何实现物联网设备批量开采比特币？（蠕虫实现剖析）---物联网安全 - 漏洞预警

如何实现物联网设备批量开采比特币？（蠕虫实现剖析）---物联网安全相关厂商：各大厂商漏洞作者：Z-0ne

提交时间：2014-05-08 16:13 公开时间：2014-06-22 16:14 漏洞类型：基础设施弱口令危害等级：高自评Rank：20 漏洞状态：已交由第三方厂商(cncert国家互联网应急中心)处理漏洞来源：http://www.wooyun.org Tags标签：弱口令敏感信息泄露安全意识不足后台地址泄露监控系统安全意识不足工控安全物联网安全漏洞详情披露状态：

2014-05-08：细节已通知厂商并且等待厂商处理中
2014-05-11：厂商已经确认，细节仅向厂商公开
2014-05-21：细节向核心白帽子及相关领域专家公开
2014-05-31：细节向普通白帽子公开
2014-06-10：细节向实习白帽子公开
2014-06-22：细节向公众公开

简要描述：

昨天各大互联网媒体都转载了如下一条新闻：
震惊！黑客竟可通过数字录像机等联网设备开采比特币。
系统网络安全协会(SANS institute)的研究人员们表示，有事实证明，诸如数字录像机(DVR)在内的联网设备，竟然也有被感染恶意软件，并被黑客用于开采特比特。最让研究人员震惊的是，攻击者竟然使用了一系列的Unix命令，向DVR上传了一个Wget包(包含了通过HTTP/HTTPS/FTP等用于检索文件的一系列软件)。
在该软件就位之后，攻击者就能够轻而易举地连接到一台服务器，然后顺利地下载比特币挖矿程序。显然，出问题的DVR只是一系列脆弱的联网设备中的一小部分。
连接：http://digi.163.com/14/0507/10/9RKTL8G000162OUT.html

下面就是实际的案例以及对整个事件的简单还原分析，之所以简单，是因为昨天出了新闻后只是花了较少的时间去复现某些问题，至于对攻击者的反追踪和程序逆向感兴趣的童鞋可以私信我或到SANS博客围观，对于第一个实现自动化攻击的攻击者，所用到的思路还是非常值得借鉴和参考的，居然把分布式扫描玩到了ARM和MIPS的linux上，根据分析目前也不止一批人在控制这些嵌入式设备，从拿到的程序来看，这套自动化攻击程序涉及ARM，MIPS，甚至是X86等架构，同时也借这个事件也提醒了我们暴露在公网的设备、诸如PLC、传感器、UPS，定向的黑掉只是分分钟的事情，新闻中只是提到了利用设备去挖矿，然而他忽略了攻击者借着蠕虫式循环传播，控制大量世界各地的设备肉鸡，并且可以通过程序控制整个僵尸网络，对指定目标实现分布式拒绝服务攻击。

注意：该套模式可不止单单只套用在DVR设备上，这里举个最简单的例子，如核总曾经捅过的指纹门禁等，以及从后门程序中拿到的字符串描述还涉及到多种设备，主要基于http和telnet，好吧具体的就不透露了，大家都明白，建议cert还是急时封杀吧。

详细说明：

这里以hikvision的设备为例：

案例一：

1、hikvision海康作为领先的安防产品厂商，产品应用还是非常广泛的，大家也都知道互联网上跑着很多摄像头设备，或是DVR数录设备等，通常情况下一般中小型设备使用的都为精简式架构，如ARM、MIPS等，一是成本低廉，二是低功耗，大多数嵌入式设备的系统为裁剪的LINUX，内部跑着厂商开发的相关应用程序，有busybox命令集，可以运行简单的调试命令，一般telnet或者设备的com口作为系统登录的途径，针对存在弱口令的设备，攻击者基于指纹识别或SHODAN这种大数据，就能轻松实现自动化攻击，如下图。