近日,美国安全摄像头公司Verkada证实遭到大规模黑客攻击。黑客访问并发布了来自Tesla和Cloudflare等机构的实时视频源,以及来自其他Verkada客户的视频和图像,影响范围广泛,包括办公室、仓库、工厂监狱、精神病院、银行和学校等。它值得注意的是,在本次事件中,黑客通过上图中厂商预留的维护后门,以超级管理员身份登录用户相机,执行任意shell命令。这意味着在过去的几年中,制造商可以在用户不知情的情况下随时通过后门执行任意操作。在物联网设备几乎无处不在的今天,每一个安全问题带来的威胁可能是方方面面的。因为设备可能在普通用户的家里,在这次事件中可能在工厂、学校、监狱。它们虽然在不起眼的角落,却日以继夜地流动着每个人日常生活中的各种数据,例如持续监控的摄像头,持续传输各种类型互联网数据的路由器等。这些设备一旦被黑客通过后门入侵,由此带来的安全威胁是巨大的。为此,360工业互联网安全研究院一直从大规模物联网固件的角度关注该领域的整体安全态势。事实上,根据360FirmwareTotal固件安全分析平台以往收集的数十万台物联网设备的固件分析,不仅是摄像头,路由器等设备中的后门也不在少数。可能是开发者在产品发布调试时忘记关闭界面;或者在这种情况下,厂商为了方便远程维护,在设备中预置了后门。设备后门的种类也很多,有直接在硬件层面植入的,也有通过软件植入的;有的保持telnet服务端口打开,有的平时保持关闭,但留下一个隐藏的开关,可以通过特定的命令触发打开的。在上述后门中,最隐蔽的是那些需要特定指令才能打开的后门。360工业互联网安全研究院在学习大量过往案例经验的基础上,总结了一些隐藏后门的识别模式,并在大量固件数据集中验证了这些识别模式的有效性。最后,通过不断的验证和改进,训练出一个有效的隐蔽后门识别模式,并发现了多个设备后门。例如,在某知名厂商的多款摄像头产品中,通过向特定端口发送特定数据包,触发摄像头打开telnet。相关逻辑在摄像头中的程序中也能清晰的看到。特殊端口收到特定字符串后,会判断收到“密码”,执行telnetd。此外,在路由器和其他设备中也发现了许多遗留后门。比如国内某厂商的路由器在设备的后台控制页面中有一个隐藏页面。所谓隐藏,就是没有URL链接到它。这样,普通用户即使登录路由器的控制后台界面也无法发现。在这个隐藏页面上,有一个启用telnet服务的开关。通过逆向该页面调用的相关程序,可以看到通过重启telnet服务打开了telnet端口。开启telnet服务后,开发者可以轻松调试。当然,如果被恶意黑客发现,也有可能被用于恶意攻击。在FirmwareTotal中模式识别发现的另一个例子中,打开后门的特定指令的执行是一个特殊的链接地址。通过访问这个特定的链接,可以触发路由器打开telnet服务。可以看到网页显示telnetd加载成功,通过端口扫描也可以检测到原来关闭的telnet服务现在已经开启了。此外,还发现了其他使用此模式的示例。例如,在美国某知名厂商的设备中,后门的开关是通过另外一个特殊的链路触发的。从返回的信息来看,“DebugEnable!”也应该是开发者为了调试方便而预留的接口。如果对相关程序进行逆向工程,可以看到链接会调用utelnetd开启telnet服务。可以看出,在不同类型的设备中都有这样那样的隐藏后门。建议商家或开发者在发布产品前注意关闭调试接口,防止被恶意利用做违法的事情。也提醒消费者及时将自己的物联网设备升级到最新版本。
