【资安周报第47期】傀儡网络泛滥，台湾成为全球DDoS攻击帮凶

造成北美前两周周末许多知名网络服务业者大当机，其实是骇客利用全世界的监视器针对这些全球网络服务业者发动DDoS（分散式阻断式服务）攻击，借此瘫痪重要的网络服务。而日前也追查到，这些用来作为发动DDoS的傀儡网络（Botnet）是大约50万台的网络摄影机，都是采用来自使用中国雄迈（(XiongMai）科技网络摄影机机板的白牌网络摄影机。

根据勤业众信风险咨询事业部总经理万幼筠分享的资料显示，台湾采用雄迈机板的网络摄影机数量达29,461台，高居全世界第四名，而这些网络摄影机形成的傀儡网络，不仅确认台湾的确是傀儡网络的高风险区，更重要的是，在全球网络攻击无国界的情况下，台湾也在全球DDoS这样的网络攻击事件中，扮演帮凶的角色。

针对Dyn的DDoS攻击，台湾有将近3万台网络摄影机是帮凶

美国网络效能管理公司Dyn代管的DNS网域管理服务，在10月下旬遭到来自Mirai恶意程式组成的傀儡网络（Botnet）发动大规模的DDoS攻击，甚至导致许多包括Twitter、Amazon、Spotify及Netflix等使用Dyn域名服务的社交网站，以及其他华尔街日报、卫报等新闻媒体网站，都发生难以连上网站的困境。从资安专家的事后分析发现，这次针对Dyn的DDoS攻击有三波攻击，不仅涉及上千万个IP地址，攻击流量甚至高达1.2Tbps，也成为迄今攻击流量最大的DDoS攻击。

从资安专家的分析发现，发生在Dyn的DDoS攻击，幕后来自于有一大批网络摄影机组成的傀儡网络，这些网络摄影机经调查，其实都是采用中国雄迈科技卖给白牌DVR网络摄影机的机板和监控软件，关键点在于，这些网络摄影机提供Telnet连网功能，加上使用预设的使用者名称root以及固定密码xc3???，反而让骇客可以透过远端操控的方式，让这些网络摄影机成为发动DDoS攻击的洪水大军。

万幼筠则表示，从这份非经由正式管道得到的资讯可以看到，目前全世界使用雄迈机板的网络摄影机，安装数量最多的是越南，数量超过9万2千台，其次为巴西（7万台）和土耳其（4万2千台）、台湾（近3万台）和中国（近2.7万台）；第六名～第十名依序为：俄罗斯（2万3千台）、韩国（2万2千多台）、泰国（1万8千台）、印度（约1万7千台）和英国（1万5千台）。

物联网装置固件更新困难，雄迈科技宣布召回早期设备检修

雄迈科技也于日前发布声明稿表示，除了呼吁该公司的产品使用者，应该立即更改预设密码之外，也将召回在美国销售的部分产品。雄迈科技也指出，该公司在2015年4月的时候，就已经关闭该公司网络摄影机机版的连接埠功能，在之前的产品也透过固件升级的方式提升产品安全性，但无论如何，就算这批早期销售的产品都不升级，也都不会影响网络摄影机的功能。

雄迈科技也在新闻稿中指出，使用该公司机版的网络摄影机要能够成为被骇客控制的傀儡网络，也必须同时具备三个条件，分别是：使用2015年4月以前，还没有固件升级的产品，加上没有更改产品预设使用者名称和密码，且该产品是直接暴露在对外的公共网络上，并缺乏例如防火墙的防护的情况下，才可能会成为骇客利用的标的。

但是，因为这些网络摄影机如果没有修改预设的密码，都可能带来安全和隐私上的担心，所以，雄迈科技也在10月25日发布新闻稿宣布，会针对早期在美国销售的100万像素卡片式网络摄影机、镜头可转动的100万像素网络摄影机、100万像素全景网络摄影机、130万像素全景网络摄影机等产品，全数召回处理，并强制更改预设密码功能，以确保使用者的隐私安全。

从雄迈科技的因应对策上也可以发现，这些早期不重视安全机制的物联网装置，一旦出现安全上的议题，往往会因为很难只透过远端就进行相关产品的固件更新，连要求使用者更改预设密码都有其难度的情况下，往往除了召回检修，实在很难有其他的因应作为，但多数的业者，基于种种考量，往往不愿意进行召回检修，也使得这样的物联网装置，持续暴露在公共网络上，成为骇客掌控的攻击工具之一。

Akamai统计，今年第二季最大DDoS攻击流量为363Gbps

根据Akamai针对今年第二季的网络安全报告，DDoS的攻击数量就是去年同期的一倍以上（129％）；针对网络层L3和L4的攻击和去年同期相比，也增加151％；而针对NTP反射攻击，比去年同期更创下增加近三倍（276％）的纪录；UDP洪水攻击和去年同期相比，也增加7成（70％）。

从近期的数据也可以发现，DDoS攻击流量屡屡创下新高的纪录，若和今年第一季的网络安全调查资料相比，除了DDoS攻击总数增加近一成（9％），以及针对网络L3和L4的DDoS攻击增加10％之外，UDP洪水攻击也增加近五成（47％），而大于100Gbps的攻击流量和第一季相比，则减少37％。

但是，若从近年来DDoS攻击流量持续创下新高的纪录来看，Akamai在今年第二季中的6月20日，就观察到，最大规模的攻击流量为363Gbps，是针对一个欧洲媒体的攻击；但是，中型攻击的规模则所小36％，平均为3.85Gbps。大型攻击流量则是中级攻击流量近一百倍的差异；此外，光是今年第二季，就有12次DDoS攻击超过100Gbps，其中两次的攻击流量则超过300Gbps。

从去年第四季的调查以来，重复攻击的手法也越来越常见，现在已经是平均每两天就会发生一次DDoS攻击。

许多网络摄影机采用预设账号密码，家中生活全球直播

像是这类物联网装置受到骇客操控，成为网络攻击一环，除了这些连网的网络监控摄影机外，像是去年也发生市售的婴儿监视器也有超过一个以上的漏洞，让骇客可以远端操控相关设备，除了惊吓婴儿，更可怕的是，家中隐私完全一览无遗。

在今年10月中旬，也传出在全球最大线上网络摄影机观看网站insecam中，全球超过七万支的网络摄影机，只要使用者是使用厂商预设的账号和密码，甚至于没有任何密码设定情况下，透过这个网站，全世界的网友都可以直接从该网站看到许多监控器得直播内容，在这个网站中，也有上百个台湾受害的网络摄影机在内，使用者在不知情的情况下，家中生活被全球网友一览无遗、看光光。

这个最大的问题就是使用厂商的预设账号和密码造成的，而使用雄迈科技网络摄影机机版的白牌网络摄影机，也同样是使用预设的账号密码，甚至于，还有骇客把各家网络摄影机预设的账号密码做成表单对外释出，这些物联网装置，因为也不会有任何账号密码输入次数的限制，甚至可以使用这些外流的账号密码，做无限制次数的暴力破解。

在这种全球网络攻击的趋势下，台湾因为宽频普及，加上许多人的电脑效能都有一定水准且都是24小时开机情况下，先前在许多资安业者的观察中，台湾就已经有许多家用电脑沦为骇客操控的傀儡网络一环。

但是，随着现在各种联网装置已经从传统的电脑、手机，进一步扩展到各种网络监控设备、网络电视、网络冰箱甚至是联网的汽车等等，这些连网装置假若连基本的账号密码，都还是采用原厂的预设值的情况下，所有的装置都难逃成为骇客手中发动各种攻击的凶器。

在目前这样充满危机的网络环境中，每个使用者都有责任负起自我防护的责任和义务，至少，绝对不使用厂商预设的账号和密码，已经是每一个使用者的责任和义务了。

 

 

这份Mirai作者释出的网络摄影机预设账号和密码一览表，就可以让许多有心人，针对没有更改厂商预设账号密码的网络摄影机，试图输入预设账号密码后，掌握该台网络摄影机的内容。