最近,美国安全摄像头公司Verkada确认被大规模黑客攻击。来自特斯拉和Cloudflare其他机构的实时视频源,以及各种其他机构Verkada受办公室、仓库、工厂监狱、精神病院、银行和学校等影响的地方很多。
值得注意的是,在这次事件中,黑客可以通过制造商预留的维护后门,以超级管理员的身份登录用户摄像头并执行任何操作Shell指令。这意味着在过去的几年里,制造商可以在用户不知情的情况下随时通过后门执行任何动作。
在IoT如今,设备几乎无处不在,每一个安全问题都可能构成各个方面的威胁。因为设备可能在普通用户的家庭中,也可能在工厂、学校和监狱中。虽然它们在微不足道的角落里,但它们日夜流动着每个人日常生活中的各种数据,如持续监控摄像头、连续传输各种互联网数据的路由器等。
这些设备一旦被黑客通过后门攻击,安全威胁将是巨大的。为此,360工业互联网安全研究所过去大规模通过IoT从固件的角度来看,关注这一领域的整体安全。
实际上,根据360FirmwareTotal过去收集的固件安全分析平台数十万IoT设备固件分析显示,不只是摄像头,在路由器等设备里的后门也屡见不鲜。也许是开发者为了调试设置的接口,在产品发布时忘记关闭;又或者是类似本次的案例,厂商为了方便远程维护,在设备中预置了后门。
设备的后门有很多种,有的直接植入硬件层面,有的通过软件植入;有把手telnet服务端口保持开放,通常保持关闭,但留下隐藏的开关,可以被特定的指令触发。在上述后门中,最隐蔽的是需要特定指令打开的后门。
360工业互联网安全研究所在学习大量以往案例经验的基础上,总结了一些隐藏后门的识别模式,并在大量固件数据集中验证了这些识别模式的有效性。最后,通过不断的验证和改进,培训了一种有效的隐藏后门识别模式,并发现了多个设备的后门。
例如,在知名制造商的多种类型的摄像头产品中,通过向特定的端口发送特定的数据包会触发摄像头打开telnet。
相关逻辑也可以在相机中的程序中清楚地看到。在特殊端口接收到特定的字符串后,判断它已经接收到“暗号”,并执行telnetd。
此外,路由器和其他设备中还发现了许多剩余的后门。例如,国内制造商的路由器在设备的后台控制页面中有一个隐藏的页面。所谓的隐藏意味着没有任何东西Url链接到它。这样,即使普通用户登录到路由器的控制后台界面,也找不到。在这个隐藏的页面中,有一个可以打开telnet开关服务。
通过反向页面调用的相关程序,可以看到它重启了telnet服务方式,将telnet端口打开。
开启telnet服务结束后,开发者可以很容易地进行调试。当然,如果被恶意黑客发现,也可能被用于恶意攻击。
在FirmwareTotal在模式识别发现的另一个例子中,实现打开后门的特定指令是一个特殊的链接地址。通过访问这个特定的链接,触发路由器打开telnet服务。
可以看到网页显示加载telnetd成功也可以通过端口扫描监控,原本关闭的telnet现在服务开始了。
此外,该模型还发现了其他例子。例如,在美国一家知名制造商的设备中,后门开关是通过另一个特殊的链接触发的。从返回的消息来看,“DebugEnable!”也应该是开发人员为方便调试而预留的界面。
如果逆向分析相关程序,可以看到链接会被调用utelnetd,开启telnet服务。
可以看出,在不同类型的设备中,有隐藏的后门。建议商家或开发商在发布产品前应注意关闭调试接口,以防被感兴趣的人使用。也提醒大多数消费者,及时回家IoT将设备升级到最新版本。