[[387542]]

最近，美國安防攝像頭公司Verkada確認遭大規(guī)模黑客攻擊。黑客訪問并公布了來自特斯拉和Cloudflare等機構的實時視頻源，以及來自各種其他Verkada客戶的視頻和圖像，受影響的場所甚多，包括辦公室、倉庫、工廠監(jiān)獄、精神病院、銀行和學校等。

值得注意的是，在此次事件中，黑客通過上圖展示了可以通過廠商預留的維護后門，以超級管理員身份登錄用戶攝像頭，執(zhí)行任意Shell指令。這意味著，在過去的數年時間里，廠商隨時都可以通過該后門，在用戶不知情的狀態(tài)下執(zhí)行任意動作。

在IoT設備幾乎無處不在的今天，每一個安全問題導致的威脅可能是方方面面的。因為設備可能是在普通用戶的家庭中，可能是在本次事件的工廠、學校、監(jiān)獄中，它們雖然在不起眼的角落里，卻晝夜不停地流動著每個人日常生活里的各類數據，比如持續(xù)監(jiān)控的攝像頭、持續(xù)傳輸各類上網數據的路由器等。

一旦這些設備被黑客通過后門攻陷，產生的安全威脅是巨大的。為此，360工業(yè)互聯(lián)網安全研究院過去一直通過大規(guī)模IoT固件的角度，關注這個領域的整體安全情況。

實際上，根據360FirmwareTotal固件安全分析平臺過去采集的數十萬IoT設備固件分析顯示，不只是攝像頭，在路由器等設備里的后門也屢見不鮮。也許是開發(fā)者為了調試設置的接口，在產品發(fā)布時忘記關閉;又或者是類似本次的案例，廠商為了方便遠程維護，在設備中預置了后門。

設備后門類型也很多，有直接在硬件層面植入的，也有通過軟件植入的;有把telnet服務端口保持開放的，也有平時保持關閉，但留下了隱藏的開關，可以被特定指令觸發(fā)開啟的。上述的后門里，最隱蔽的，就是需要特定指令開啟的后門。

在學習大量過往案例經驗的基礎上，360工業(yè)互聯(lián)網安全研究院針對隱蔽后門總結了一些識別模式，并在大量的固件數據集中，驗證這些識別模式的有效性。最終，通過不斷的驗證與改進，訓練出來了一個行之有效的隱蔽后門識別模式，并發(fā)現了多個設備后門。

比如在某知名廠商的多個型號攝像頭產品中，通過向特定的端口，發(fā)送特定的數據包，就會觸發(fā)攝像頭開啟telnet。

在該攝像頭內的程序中也可以清晰地看到相關邏輯，在該特殊端口接收到特定字符串后，就會判斷是接收到了“暗號”，并執(zhí)行telnetd。

此外，路由器等設備中也發(fā)現了不少遺留的后門。比如國內某廠商的路由器，在該設備的后臺控制頁面中，有一個隱藏頁面。所謂隱藏，是指沒有任何Url鏈接到它。這樣一來，普通用戶即使登錄到路由器的控制后臺界面，也無法發(fā)現。在這個隱藏頁面，就有一個可以開啟telnet服務的開關。

通過逆向該頁面調用的相關程序，可以看到其通過重啟了telnet服務的方式，將telnet端口打開。

開啟telnet服務后，開發(fā)者就可以方便地進行調試工作。當然，如果被惡意黑客發(fā)現的話，也可能會被利用于惡意攻擊。

在FirmwareTotal中被模式識別發(fā)現的另一個例子里，實現執(zhí)行開啟后門的特定指令，是一個特殊的鏈接地址。通過訪問這個特定的鏈接，就能觸發(fā)路由器打開telnet服務。

可以看到網頁顯示加載telnetd成功，通過端口掃描也可以監(jiān)測到，原本關閉的telnet服務，現在開啟了。

除此以外，利用該模式也發(fā)現了其他的例子。例如美國一家知名廠商的設備中，就是通過另外一個特殊的鏈接，觸發(fā)后門的開關。從返回的消息看，“DebugEnable!”應該也是開發(fā)人員為了方便調試而預留的接口。

如果對相關的程序進行逆向分析，可以看到該鏈接會調用utelnetd，開啟telnet服務。

可以看到，在不同類型的設備中，都存在著這樣那樣的隱蔽后門。建議商家或開發(fā)者在發(fā)布產品之前，應該注意將調試接口關閉，以防被有心之人利用，行不法之事。也提醒廣大的消費者，要及時將家中的IoT設備升級到最新版本。