FreakOut殭屍網路鎖定DVR漏洞下手，發動挖礦攻擊

殭屍網路盯上視訊監控系統（DVR）發動攻擊的現象，時有所聞，例如，去年可取國際（iCatch）、利凌（Lilin）的DVR系統傳出漏洞，可能會被殭屍網路用於DDoS攻擊；而臺灣多家主機託管業者於去年9月遭到DDoS攻擊，起因也疑似是國內IP位址的DVR遭到入侵所致。我們曾在今年1月報導名為FreakOut（又名Necro、N3Cr0m0rPh）的殭屍網路，這個殭屍網路現鎖定數款軟體的重大漏洞，大舉入侵Linux伺服器，但最近駭客也開始轉換目標，對於視訊監控系統（DVR）下手，利用尚未取得CVE編號的漏洞，下載殭屍網路病毒到受害裝置，並用來挖礦。

資安業者Juniper在今年9月的最後一個禮拜，偵測到FreakOut新的攻擊行動，鎖定Visual Tools DVR VX16視訊監視系統而來，並利用此設備的未列管漏洞入侵，目的是要挖取門羅幣（XMR）。

FreakOut是殭屍網路病毒指令碼，透過Python編寫而成，能在Windows與Linux作業系統執行，這個殭屍網路病毒最早可能於2015年就開始活動。而FreakOut今年的活動相當頻繁，不只在1月發動攻擊，後續於3月、5月加入新的攻擊能力，能夠攻擊的應用系統與程式庫類型，變得更為多元。

究竟這個殭屍網路病毒有什麼能力？Juniper指出，FreakOut不只具備監聽網路的功能，也能在Windows電腦上部署Rootkit，或是感染HTML、JS、PHP檔案，以及安裝挖礦工具來挖取門羅幣。而這個殭屍網路病毒傳播的管道，通常是利用軟體漏洞，或是透過暴力破解帳密的方式入侵。不過，究竟有多少系統遭到FreakOut感染？Juniper沒有進一步說明。

鎖定DVR與多項網路系統漏洞而來

而本次FreakOut所鎖定的DVR設備漏洞，這是一項未經身分驗證的作業系統命令注入漏洞，在今年7月被發現，出現在執行4.2.28.0版韌體的Visual Tools DVR VX16。一旦攻擊者利用這項漏洞，就能在不需身分驗證的情況下，在CGI指令碼注入任意命令，進而遠端執行任意命令（RCE）。

攻擊者在利用上述漏洞入侵DVR之外，研究人員也看到FreakOut運用其他應用系統的漏洞。例如，儲存設備TerraMaster作業系統TOS的CVE-2020-15568與CVE-2020-28188、無線路由器Genexis PLATINUM 4410的CVE-2021-2900、Xinuos Openserver作業系統的CVE-2020-25494，以及嵌入式作業系統Zeroshell的CVE-2019-12725等。

對方採動態產生網址下載作案工具，防攻擊網域遭封鎖

為了避免被資安防護系統察覺有異，FreakOut也運用了網域生成演算法（DGA），隨機挑選連線的網址。但Juniper表示，有別於之前FreakOut只針對C2中繼站使用DGA，新的殭屍網路病毒在取得檔案下載網址時，也同樣運用這種演算法來取得下載伺服器的位址，而使得組織要防堵FreakOut下載作案工具更加困難。

附帶一提的是，攻擊者運用DGA的手法，也擴及FreakOut在受害系統的裡挾持的HTML、JS、PHP檔案，該殭屍網路病毒加入的JavaScript指令碼路徑，也同樣透過DGA產生。