FreakOut僵尸网络锁定DVR漏洞下手，发动挖矿攻击

僵尸网络盯上视讯监控系统（DVR）发动攻击的现象，时有所闻，例如，去年可取国际（iCatch）、利凌（Lilin）的DVR系统传出漏洞，可能会被僵尸网络用于DDoS攻击；而台湾多家主机托管业者于去年9月遭到DDoS攻击，起因也疑似是国内IP地址的DVR遭到入侵所致。我们曾在今年1月报导名为FreakOut（又名Necro、N3Cr0m0rPh）的僵尸网络，这个僵尸网络现锁定数款软件的重大漏洞，大举入侵Linux服务器，但最近骇客也开始转换目标，对于视讯监控系统（DVR）下手，利用尚未取得CVE编号的漏洞，下载僵尸网络病毒到受害装置，并用来挖矿。

资安业者Juniper在今年9月的最后一个礼拜，侦测到FreakOut新的攻击行动，锁定Visual Tools DVR VX16视讯监视系统而来，并利用此设备的未列管漏洞入侵，目的是要挖取门罗币（XMR）。

FreakOut是僵尸网络病毒指令码，透过Python编写而成，能在Windows与Linux操作系统执行，这个僵尸网络病毒最早可能于2015年就开始活动。而FreakOut今年的活动相当频繁，不只在1月发动攻击，后续于3月、5月加入新的攻击能力，能够攻击的应用系统与程式库类型，变得更为多元。

究竟这个僵尸网络病毒有什么能力？Juniper指出，FreakOut不只具备监听网络的功能，也能在Windows电脑上部署Rootkit，或是感染HTML、JS、PHP档案，以及安装挖矿工具来挖取门罗币。而这个僵尸网络病毒传播的管道，通常是利用软件漏洞，或是透过暴力破解帐密的方式入侵。不过，究竟有多少系统遭到FreakOut感染？Juniper没有进一步说明。

锁定DVR与多项网络系统漏洞而来

而本次FreakOut所锁定的DVR设备漏洞，这是一项未经身份验证的操作系统命令注入漏洞，在今年7月被发现，出现在执行4.2.28.0版固件的Visual Tools DVR VX16。一旦攻击者利用这项漏洞，就能在不需身份验证的情况下，在CGI指令码注入任意命令，进而远端执行任意命令（RCE）。

攻击者在利用上述漏洞入侵DVR之外，研究人员也看到FreakOut运用其他应用系统的漏洞。例如，储存设备TerraMaster操作系统TOS的CVE-2020-15568与CVE-2020-28188、无线路由器Genexis PLATINUM 4410的CVE-2021-2900、Xinuos Openserver操作系统的CVE-2020-25494，以及嵌入式操作系统Zeroshell的CVE-2019-12725等。

采用动态网址的范围更为广泛

为了避免被资安防护系统察觉有异，FreakOut也运用了网域生成算法（DGA），随机挑选连线的网址。但Juniper表示，有别于之前FreakOut只针对C2中继站使用DGA，新的僵尸网络病毒在取得档案下载网址时，也同样运用这种算法来取得下载服务器的位址，而使得组织要防堵FreakOut下载作案工具更加困难。

附带一提的是，攻击者运用DGA的手法，也扩及FreakOut在受害系统的里挟持的HTML、JS、PHP档案，该僵尸网络病毒加入的JavaScript指令码路径，也同样透过DGA产生。