康拓DVR后门分析

产品公司:康拓实业(深圳)有限公司
设备名称:康拓DVR

影响型号:
康拓DVRD40304D1
康拓DVRD40308D2
康拓DVRD30304D4
康拓DVRD40404V2
康拓DVRD40404V3
康拓DVRD30404D2
康拓DVRD40408V2
康拓DVRD60308D3
康拓DVRD40608D3

Linux内核(cpu):HI3515-HI3531
WEB/IP登录:端口号80/9000
登录帐号:admin/00000000

后门存于在Telnetd文件中,Telnetd负责开启telnet并提供服务,在这里我们可以看到在开了Telnet服务后,对用户的连接进行了监听,如果登录的用户长时间不操作就会登录超时,然后是一系列的服务准备处理函数。
k1
在我们启用了Telnetd服务后,也就是开启了telnet后,程序会判断启动程序是否在终端机器里面运行,如果是则进
行下一步,否则就会退出,输出UNKNOW。
k2
在通过了本机环境验证后,程序会开始提取用户的登录数据,并保存在内存中
k3
在最后一切的前戏都准备完毕后,程序开始步入正题,进入登录操作
k4
程序开始初始化帐号密码变量,函数sub_12880创建缓存
k5
在返回登录用户数据之前,程序做了一个动作,那就是输出Telnet的登录密码,这里为了直观,把函数改为了Print_Password,这个函数就是这个后门的关键点了,这个函数对登录密码进行了打印,我们跟进Print_Password函数看看。
k6
在这个函数里面有3个函数sub_11BE8、sub_126B8、sub_1276C,这三个函数不知道干嘛的,我们先跟进函数sub_11BE8看看
k8
可以看到,这个有点像MD5的4个幻数定义的特征,再分析一下后两个函数,更加验证了这个是一个MD5算法,这里就不贴图了。
k7
最后将密码给打印在了登录页面上

我们来看看暴露在互联网上的设备
k9
k10