IPC Activecam AC-D7111IR1 и MIRAI

[iTuneDVR]

В руки мастера попала камера
https://www.dssl.ru/products/ac-d7111ir1/

2018-07-02_19-49-52.png (78.23 КБ) 12491 просмотр

Были проблемы с фильтром и в итоге перестала показывать.

Вскрытие и дамп показал вот такое в файле .ash_history в разделе JFFS2 в режиме чтения-запись.

То, что качается, на это ругается антивирус так

2018-07-02_21-52-25.png (17.09 КБ) 12491 просмотр

Время создания файлов апрель.

В процессе зачистки от вируса и обновления возникли проблемы, которые решились по итогу и крайняя прошивка для камеры была обновлена по итогу штатным способом через программу обновления IPCManager_V3.01.09.exe

Так же к Activecam от DSSL добавляются #OMNY, #Brovotech, некоторые модели #Polyvision

Так же взято из одной группы обсуждения (IPCam software modding) от Max

Код: Выделить всё

 ...нашлись уязвимости
 1)Возможность сброса пароля удаленно
 2)Возможность по ftp получить все файлы с устройства... В итоге через Shodan удалось взломать первых 10 камер, через уязвимость в прошивке зашел на устройство и qr код скопировал, затем вводил пароли самые распространенные (брутфорс, ну сами знаете какие популярные пароли), затем поступил проще. через Shodan по IP просто пароль сбросил (без логина и пароля) и добавлял камеру к приложению в облако после смены пароля. камера по-прежнему осталась в приложении и не запрашивало пароль


Поэтому, всем владельцам подобных камер стоит проверится по полной программе

[iTuneDVR]

P.S.
Мое мнение, что помимо каких-то внутренних уязвимостей, на данной камере, не последнее это неприкрытый телнет и скорее всего хеш в данной прошивке был сбручен конечно, хотя так явно в сети он не гуляет.
Служба обновления висит на ftp порту и работает как ftp и возможны там уязвимости.

Наличие файла .ash_history, говорит о том, что некто получил доступ на камеру, напрямую, через роутер или еще как-то и использовал данное устройство как плацдарм для дальнейшей атаки.

Адрес с которого скачивается файл, который детектируется антивирусом как MIRAI - из США.

Не все так гладко, как хотелось бы и не все скорее всего получилось у злоумышленников, хотя может быть так оно и задумывалось.
Скачанные файлы-вирусов запускались видимо вручную, имея доступ извне в систему.

Больше помешала физическая неисправность в устройстве, которая случилась и благодаря этому тайное и скрытое стало явным

[MIOMIO]

дссл "самые лучшие" камеры на рынке)) как по железу так и софту))))

[iTuneDVR]

Обстоятельства так сложились, потому так немного сухо комментирую

[iTuneDVR]

Попалась следующая камера этой модели, но уже с другим подарком внутри

Однако, немного пояснений и в том числе по первой камере с проблемой ИК подсветки.
При вскрытии камеры обнаружилась интересная проблема - сильно греющаяся катушка переключения ИК фильтра и драйвера ей управляющего. На прошлой такой же камере тоже была проблема с фильтром (механизм просто расплавился и заклинил от перегрева) и с микросхемой драйвера, которая просто издохла. Было предположение что микросхема вышла из строя и убила фильтр, но судя по второй камере всё оказалось намного заковыристее. Повреждённая прошивка давала на драйвер такой сигнал управления, что драйвер вместо кратковременного импульса, подавал напряжение на катушку ИК фильтра постоянно, превращая электромагнит в нагревательный прибор. Что собственно и привело к перегреву всей конструкции и выходу из строя фильтра и драйвера на первой камере. Неисправность второй камеры похоже заметили более оперативно, отключив сразу ее от питания, чем уберегли электронику от повреждения, а первая камера видимо страдала несколько дней\недель... После перепрошивки второй камеры нагрев ИК фильтра и драйвера управления пропал, все заработало в дежурном режиме.

Изучение снятого дампа с этой камеры показало интересное ручное управление!