大量受感染的闭路电视摄像机卷入DDoS攻击

E安全6月28日讯 超过25,000个僵尸程序（bot程序）的僵尸网络是近期DDoS攻击的核心。近期大量第7层DDoS攻击肆无忌惮攻击全球业务，淹没网络服务器，占用资源并最终使网站陷入瘫痪。

美国安全供应商Sucuri发现了这个过去数周极度活跃的僵尸网络。他们表示，主要由全球被劫持的闭路电视(CCTV)系统组成。

一家珠宝店遭受持续DDoS攻击决定将网站移到Sucuri主要产品—WAF下（网络应用防火墙）时，Sucuri发现了这个僵尸网络。

僵尸网络每秒可以生成5万次HTTP请求发动攻击

Sucuri认为他们已经阻止了攻击，就像公司将网站移至WAF阻止攻击的其他案例一样，最终攻击者转移至其它目标。

但事情却并非如此，最初的攻击是通过每秒3.5万次HTTP请求发动第7层DDoS攻击，攻击服务器并通过垃圾流量占用内存，当攻击者发现该珠宝店公司升级网站时，便迅速将攻击升级至5万次请求。

对于第7层攻击而言，这是一个超级庞大的数字，足以让任何服务器瘫痪不起。但这并不是是它。攻击者持续高水平实施攻击数日。

僵尸网络的性质允许攻击者实施大量攻击

通常，当僵尸程序在线或离线时，DDoS攻击会受扰。攻击者维持这种高水平攻击的事实表明他们的僵尸程序总活跃在线。

Sucuri经过调查发现攻击来自超过25,513个唯一IP地址，一些为IPv6地址。这些IP地址遍及全球并且不是来自受恶意软件感染的PC设备，而是来自闭路电视系统。

台湾占了所有IP的约四分之一，其次是美国、印度尼西亚、墨西哥和马来西亚。被劫持的闭路电视系统分布在105个国家。

未打补丁的TVT固件作祟

这些IP地址中，其中46%属于在模糊和通用H.264 DVR运行的闭路电视系统。其它被劫持的系统为ProvisionISR、Qsee、 QuesTek、TechnoMate、 LCT CCTV、 Capture CCTV、 Elvox、 Novus、或or MagTec CCTV。

Sucuri表示，所有这些设备可能与安全研究员Rotem Kerner的研究有关联。Rotem Kerner曾发现70个不同CCTV DVR供应商的“后门”。

这些公司从中国公司TVT购买了杂牌DVR。当获知固件存在问题时，TVT不予理睬Rotem Kerner，问题也未修复，导致攻击者肆意制造更大的僵尸网络。

这不是第一起DDoS攻击使用的CCTV僵尸网络。安全公司Incapsula去年10月也曾发现类似的僵尸网络，但他们发现的僵尸网络仅由900个僵尸程序构成。

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒