时间:2020-02-11 作者:奇安信安服
根据国家网络与信息安全通报中心监测发现,近日有境外黑客组织在推特和国外某视频网站上发布信息,扬言将于2月13日对国内的视频监控系统实施网络攻击破坏活动。
同时该黑客组织还在Pastbin平台公布了大量视频监控系统的IP端口信息,且监控系统的主要特征为60001端口:
奇安信安服团队对该组织的长期跟踪,发现该组织曾多次扬言对我国多个系统发起网络攻击,主要的时间轴如下:
时间节点相关来源:
事件检测
本次攻击事件主要针对的是网络视频监控产品,同时该黑客组织对外声称已获取我国多个此款网络视频监控产品的控制权限。经过分析,此黑客组织主要利用了此视频监控系统旧版本中的多个漏洞进行攻击,可造成较严重的安全事件。由于攻击者宣布的攻击对象是视频监控系统,但仅公布的是此款视频端口系统客户端,无法保证攻击者不会对国内其他厂商视频监控系统发起攻击。
通过奇安信全球鹰网络空间测绘系统,共发现中国地区此款品牌视频监控设备数量TOP10省份为:辽宁,山东,河北,河南,黑龙江,山西,江苏,上海,广东,吉林。
奇安信天眼处置建议
1、新一代威胁感知系统检测方案
奇安信天眼新一代威胁感知系统已经能够有效检测针对此款视频监控设备的攻击,请将规则版本升级到3.0.0208.11652或以上版本。规则ID及规则名称:0x100207E4, 此款视频监控设备疑似后门漏洞。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
此款视频监控设备疑似后门漏洞天眼规则如下:
此外,鉴于匿名者组织公布的信息存在不确定性,天眼也支持其它视频或摄像头系统的攻击检测。
2、基于流量日志的视频系统攻击的排查方案
匿名者黑客公布的资产判断是九安视频监控系统。如果资产中有该系统,可以通过关注新一代威胁感知系统的流量日志对60001端口的访问情况来分析是否有该资产的异常访问情况。如果有未授权的用户访问此类视频系统,请进行溯源分析,并立即封禁此类来源IP。
安全建议
1.做好互联网资产梳理,并进行风险识别,全面排查公网是否暴露 60001 端口。
2.防火墙设置规则只允许可信来源IP访问摄像头。
3.检查各类视频管理端是否存在弱口令,建议口令复杂度8位以上包括大小写字母、特殊字符、数字。
4.暴露在公网的摄像头端口映射尽可能的关闭,如果因业务需求必须暴露在公网,联系摄像头厂商打补丁修复漏洞后再上线。
5.制定安全事件应急响应预案。
6.利用威胁检测设备进行威胁流量排查。
95015服务热线
微信公众号