最近,美國安防攝像頭公司Verkada確認遭大規模駭客攻擊。駭客訪問並公佈了來自特斯拉和Cloudflare等機構的實時影片源,以及來自各種其他Verkada客戶的影片和影像,受影響的場所甚多,包括辦公室、倉庫、工廠監獄、精神病院、銀行和學校等。
值得注意的是,在此次事件中,駭客透過上圖展示了可以透過廠商預留的維護後門,以超級管理員身份登入使用者攝像頭,執行任意Shell指令。這意味著,在過去的數年時間裡,廠商隨時都可以透過該後門,在使用者不知情的狀態下執行任意動作。
在IoT裝置幾乎無處不在的今天,每一個安全問題導致的威脅可能是方方面面的。因為裝置可能是在普通使用者的家庭中,可能是在本次事件的工廠、學校、監獄中,它們雖然在不起眼的角落裡,卻晝夜不停地流動著每個人日常生活裡的各類資料,比如持續監控的攝像頭、持續傳輸各類上網資料的路由器等。
一旦這些裝置被駭客透過後門攻陷,產生的安全威脅是巨大的。為此,360工業網際網路安全研究院過去一直透過大規模IoT韌體的角度,關注這個領域的整體安全情況。
實際上,根據360FirmwareTotal韌體安全分析平臺過去採集的數十萬IoT裝置韌體分析顯示,不只是攝像頭,在路由器等裝置裡的後門也屢見不鮮。也許是開發者為了除錯設定的介面,在產品釋出時忘記關閉;又或者是類似本次的案例,廠商為了方便遠端維護,在裝置中預置了後門。
裝置後門型別也很多,有直接在硬體層面植入的,也有透過軟體植入的;有把telnet服務埠保持開放的,也有平時保持關閉,但留下了隱藏的開關,可以被特定指令觸發開啟的。上述的後門裡,最隱蔽的,就是需要特定指令開啟的後門。
在學習大量過往案例經驗的基礎上,360工業網際網路安全研究院針對隱蔽後門總結了一些識別模式,並在大量的韌體資料集中,驗證這些識別模式的有效性。最終,透過不斷的驗證與改進,訓練出來了一個行之有效的隱蔽後門識別模式,並發現了多個裝置後門。
比如在某知名廠商的多個型號攝像頭產品中,透過向特定的埠,傳送特定的資料包,就會觸發攝像頭開啟telnet。
在該攝像頭內的程式中也可以清晰地看到相關邏輯,在該特殊埠接收到特定字串後,就會判斷是接收到了“暗號”,並執行telnetd。
此外,路由器等裝置中也發現了不少遺留的後門。比如國內某廠商的路由器,在該裝置的後臺控制頁面中,有一個隱藏頁面。所謂隱藏,是指沒有任何Url連結到它。這樣一來,普通使用者即使登入到路由器的控制後臺介面,也無法發現。在這個隱藏頁面,就有一個可以開啟telnet服務的開關。
透過逆向該頁面呼叫的相關程式,可以看到其透過重啟了telnet服務的方式,將telnet埠開啟。
開啟telnet服務後,開發者就可以方便地進行除錯工作。當然,如果被惡意駭客發現的話,也可能會被利用於惡意攻擊。
在FirmwareTotal中被模式識別發現的另一個例子裡,實現執行開啟後門的特定指令,是一個特殊的連結地址。透過訪問這個特定的連結,就能觸發路由器開啟telnet服務。
可以看到網頁顯示載入telnetd成功,透過埠掃描也可以監測到,原本關閉的telnet服務,現在開啟了。
除此以外,利用該模式也發現了其他的例子。例如美國一家知名廠商的裝置中,就是透過另外一個特殊的連結,觸發後門的開關。從返回的訊息看“DebugEnable!”應該也是開發人員為了方便除錯而預留的介面。
如果對相關的程式進行逆向分析,可以看到該連結會呼叫utelnetd,開啟telnet服務。
可以看到,在不同型別的裝置中,都存在著這樣那樣的隱蔽後門。建議商家或開發者在釋出產品之前,應該注意將除錯介面關閉,以防被有心之人利用,行不法之事。也提醒廣大的消費者,要及時將家中的IoT裝置升級到最新版本。