空间测绘
威胁情报
报告事件
RSS
报告编号:B6-2020-020702
报告版本: 3
报告来源:360-CERT
报告作者:360-CERT
更新日期:2020-02-08
0x00 事件背景
近日,360-CERT监测到有境外黑客组织发布推文扬言将于2020年2月13日对国内部分公司和视频监控系统实施网络攻击破坏活动,该黑客组织声称已掌握我境内大量摄像头控制权限,并在Pastebin平台公布了70余个闭路电视系统外围探测信息。
涉及部分公司网站如下,包括 .gov.cn 的网站都可能成为其攻击目标:
| 公司 | 网址 |
|---|---|
| 浩瀚深度 | https://www.haohandata.com/ |
| 网智天元 | http://www.wiseweb.com.cn/ |
| 中集 | http://www.capital.cimc.com/ |
| 科大讯飞 | https://www.iflytek.com/ |
| 北京新网数码 | http://www.xinnet.com/ |
0x01 国内视频监测设备空间测绘数据
360安全大脑-Quake网络空间测绘系统通过对全网资产测绘, 定位了攻击组织所给的对应设备:
潜在涉及到的全国相关网络视频监控系统、软件进行发现和统计数据,发现全国约78.9万个开放在互联网的相关监控设备。
相关产品主要集中在: 山东、江苏、广东、浙江 等省份
暴露在互联网上的相关端口主要是: 8000、554、80、81、82、8001、443、9001、9999、8888 等。
通常使用的协议是: http、https、rstp、ftp、ipcam、sip、upnp 等。
通过网络空间测绘的数据可以看出相关视频监控系统、摄像头在国内互联网中的分布十分广泛,而相关视频监控系统、网络摄像头曾出现的安全漏洞并未被及时修补是造成当下被攻击的首要原因。
网络视频监控设备和传统的家用设备的区别在于,其为了远程控制多数选择直接暴露在公网中,因此存在极大的安全风险隐患。攻击者可以轻易的访问到这些设备并实施远程控制,以及用于从事网络危害活动,历史上有多起利用暴露在公网的网络设备的历史事件,如360网络安全研究院长期跟踪的MIRAI事件。
这些设备往往具有如下特点:
- 其自身不具备防御性
- 固件版本十分老旧
- 不支持OTA自动更新
- 以产品功能为导向而非安全
常见漏洞:
- 弱口令及默认密码、内置密码
- 逻辑漏洞
- 公共组件N-Day漏洞
0x02 安全建议
针对本次事件,360-CERT建议:
- 建议各地监管单位,利用相关安全监测平台、态势感知系统,对辖区内的相关重点单位资产进行持续性监测,特别是其中相关视频监控、网络摄像头的安全监测,一旦发现有大规模的攻击行为,可以直接通过相关系统阻断其恶意流量;
- 建议各视频监控系统、设备生产厂商,尽快排查当前出售的各类软硬件产品是否存在相关安全漏洞,如果有发现请立即修复,第一时间内在官方渠道发布安全修复补丁。同时排查互联网内现存安全问题的设备,对发现安全问题的设备推出相应的安全修复和升级更新;
- 各企事业单位、个人用户,需要尽快对所有的相关视频监控、网络摄像头的设备及时进行安全加固和系统更新;各企事业单位也可通过相关安全监测平台、资产管理设备,对相应系统进行持续监控,一旦发现有可疑攻击行为,可以直接通过相关系统阻断其恶意流量。
技术层面上建议:
- 对暴露在外的非必要端口进行关闭
- 对必要暴露的端口配置好认证措施
- 反向代理
- 加密通信
- 白名单访问
- 及时更新设备的固件/软件
- 暂停使用过于老旧的失去维护的设备
- 采用流量检测技术手段,关注境外通信行为,及时采取阻断措施。
0x03 产品线解决方案
360城市级网络安全监测服务
针对本次境外黑客组织攻击活动,360安全大脑的QUAKE资产测绘平台已完成对全网范围内的网络监控类设备的测绘,360可提供针对性的城市级资产测绘服务方案,由专业安服团队协助进行安全监测服务(用户可以联系360企业安全集团地区负责人获取区域相关的资产统计),结合360安全分析与响应平台,连接360安全大脑实力赋能,强化重大事件敏捷响应能力。
360AISA全流量威胁分析系统产品检测方案
360-AISA产品通过流量检测技术手段,对该类攻击进行监测,请用户联系相关产品区域负责人获取对应产品。
0x04 时间线
2020-02-07 360CERT发布通告
2020-02-08 360CERT更新威胁通告,增加解决方案
京公网安备 11000002002063号