绿盟科技-《2018 BOTNET趋势报告》-2019.3-46页.pdf.pdf

《绿盟科技-《2018 BOTNET趋势报告》-2019.3-46页.pdf.pdf》由会员分享，可在线阅读，更多相关《绿盟科技-《2018 BOTNET趋势报告》-2019.3-46页.pdf.pdf（48页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、绿盟科技伏影实验室推荐目 录1. 执行摘要 .11.1 关于绿盟科技伏影实验室 .31.2 关于绿盟威胁情报中心NTI .32. 年度趋势总览 .43. 年度数据解读 .63.1 总体指令特征 .73.1.1 数据特征.73.1.2 特征解读.83.2 家族活跃特征 .93.2.1 数据特征.93.2.2 特征解读.113.3 地理分布特征 .123.3.1 数据特征.123.3.2 特征解读.173.4 DDoS攻击特征 .183.4.1 数据特征.183.4.2 特征解读.193.5 扩散传播特征 .213.5.1 数据特征.213.5.2 特征解读.244. 热点家族及载荷详述 .264

2、.1 IoT家族-Gafgyt .274.2 多平台家族-BillGates .30目录4.2.1 家族变种发展 .304.2.2 追踪数据分析 .324.3 挖矿载荷-XMRig .344.4 勒索载荷-Satan.385. 总结与展望 .40目录1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 12破浪前行的互联网巨轮之上，威胁以各种各样的形式潜伏其中。作为互联网领域持续时间最长的威胁形式之一，Botnet，即僵尸网络，以其易用性、灵活性、高可操作性等特征，成为黑客们最趁手的“凶器”，时刻准备对互联网产业发起致命攻击。作为应对黑客攻击的主流安全策略，威胁情报是改变攻防

3、对抗不平衡的重要一环，而对Botnet的研究与跟踪则是威胁情报不可缺少的一部分。通过对Botnet的整体监控与分析，可以获取活跃攻击方式、主要攻击目标、主流攻击手法等第一手情报，对关联组织进行分析与画像，进而实现对网络攻击的告警与预防乃至对黑产组织的定位与打击。2018年，绿盟伏影实验室通过持续的追踪和研究，发现Botnet在程序结构、运维方式、经济模式等多个层次上发生了显著变化：Botnet程序代码结构普遍趋向成熟，开始呈现高度的模块化特征，其恶意行为从执行DDoS攻击扩展为结合挖矿、勒索等模块的多元化攻击；新平台安全性的羸弱使得Botnet扩散传播更为主动，Windows平台老家族活跃度下

4、降，IoT平台家族则迅速成长壮大；Botnet开始向少数成熟且功能完善的家族集中，黑产团伙倾向于使用稳定的Botnet家族版本及C&C服务器；控制者更多地将Botnet的C&C服务器部署在互联网基础设施发达的国家和地区，借助这些区域低廉的部署费用降低Botnet的维护成本；Botnet控制者在套现方面表现得更加激进，使得其攻击目标扩大至在线服务消费者以及线上黑色产业等；Botnet黑色产业开始套用新型经济模式，向BaaS（Botnet as a Service）方向发展。结合本年度观察结果，为了有效打击Botnet，我们建议充分利用各机构、各部门现有的网络资源进行协同治理，确定需要防御的资产以

5、及可能暴露这些资产的攻击面，从而更好地净化网络空间。执行摘要31.1 关于绿盟科技伏影实验室伏影实验室专注于安全威胁与监测技术研究。研究目标包括僵尸网络威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁，身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。为深入研究Botnet，伏影实验室设立了跟踪Botnet的独立系统，采集来自各方面的威胁数据，提取数据中包含的Botnet线索，使用独特的手段对线索关联到的Botnet进行持续观测并采集指令，从而感知Botnet动态，进而掌控Botnet趋势，为攻击预警、应急响应、数据分

6、析等提供支持。伏影实验室对Botnet的研究成果融入到了绿盟科技的多个产品当中，包括为IDPS产品持续提供规则，为NTI产品输出大量IoC情报等。通过对Botnet的专向研究，保证了绿盟科技在威胁感知领域的专业度与敏感度，从而为客户持续提供独到而权威的威胁情报，更好地应对网络威胁。1.2 关于绿盟威胁情报中心NTI绿盟威胁情报中心（NSFOCUS Threat Intelligence center，NTI）是绿盟科技为落实智慧安全2.0战略，促进网络空间安全生态建设和威胁情报应用，增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力，对全球网络安全威胁

7、和态势进行持续观察和分析，以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容，推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品，为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力，帮助用户更好地了解和应对各类网络威胁。执行摘要2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 25相比过去，2018年Botnet变化频繁。Botnet关键特征中，活跃家族、运行平台、攻击方式等皆出现了较大的变化。本年度数据显示，2018年总共监控到攻击命令111472条，其中有效攻击目标数量为451187次，相较去年增长了66.4%，平均每条攻击指令包含4个

8、攻击目标；然而，攻击命令下发超过100次的活跃家族数量由12个减少到9个。具体家族方面，除去17年底开始爆发的BillGates家族外，本年度指令数占比21%的mayday家族、占比9.5%的Gafgyt家族、占比7.4%的Mirai家族等也进入活跃状态。所属平台方面，Linux及IoT平台家族新增C&C（Command & Control，命令控制服务器）占比从4.4%飙升至31%，显示物联网平台正在成为Botnet攻防的主要战场。地理位置方面，美国在作为C&C服务器的主要部署地（占比30.64%）的同时也是Botnet攻击的最大受害者（占比47.2%）；中国的C&C数量（占比29.79%）

9、与被攻击次数（占比39.78%）与美国体量大致相当。家族类型方面，本年度勒索、挖矿、DDoS三类仍属于最常见的家族类型，此外银行木马、远控木马、盗号木马等亦常出现在应急事件当中。DDoS攻击类型方面，使用混合型攻击的家族开始占据主流。由我们监控的Botnet所产生的DDoS攻击指令涵盖了tcp flood，syn flood，ack flood，udp flood，dns flood，http flood，icmp flood等在内的几乎所有攻击门类，其中，udp flood与tcp flood分别占据总指令数的39.8%和35.5%，是主要的攻击指令类型。扩散与传播方面，本年度Botnet入

10、侵记录中，弱口令爆破日志占据总记录数的55.3%；监测到各家族热点漏洞利用54个，其中90.7%来自IoT平台设备。年度趋势总览3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 37本章节将从活跃度、新鲜度、时间性、空间性等维度对本年度Botnet相关数据进行全方面的展示和解读。数据涵盖了各家族指令、家族活跃区间、新增家族类型、DDoS攻击特征、C&C服务器与被攻击目标地理位置等多个方面。3.1 总体指令特征3.1.1 数据特征本年度监控到的指令大致可分为高威胁指令和低威胁指令两大类。高威胁指令包括攻击指令、停止攻击指令和下载指令三类，低威胁指令包括心跳指令、信息采集

11、指令与其他通信指令等。各指令类型占比见图1。图1 指令类型分布在全体攻击指令中， BillGates家族占据最大的比例， 其他活跃家族与占比见图2。年度数据解读8图2 攻击指令所属家族分布3.1.2 特征解读Botnet环境探测与攻击测试日趋谨慎Botnet控制者的行为正在变得愈发谨慎，会在下达攻击指令前进行多次试探。一般认为，Botnet攻击链可被分为入侵前与入侵后两个阶段。其中，恶意组织通常对入侵前阶段的“投递”步骤保持着高度的敏感性，会通过伪造发送源、使用多语言文字、添加误导或垃圾信息等方式降低在此环节被追踪的几率。与之相对，恶意程序在入侵后展现的行为则显得更为粗野，具体表现为使用简单的

12、通信格式、暴露的攻击源等。因此，传统上对恶意行为的探测更多针对入侵后阶段。然而，通过数据可知，本年度活跃的多个Botnet家族在进入“控制”和“执行”环节时，依然保持着高度的谨慎，Botnet控制者通常通过信息采集指令进行蜜罐探测，获取宿主机信息，获取当前进程信息等行为，展现了其极高的警惕度，通过伪装对其欺骗的难度也由此增大。而在高威胁指令中，停止攻击指令与攻击指令的比例也可以体现出Botnet控制者对受控端的使用倾向于保守。我们推断，这些冗余的停止指令保证了网络环境较差的受控端节点也可以正确进入静默状态，以降低其在攻击后被发现的几率。从结果上来看，上述信息采集指令和停止攻击指令极大地提高了B

13、otnet受控端节点的存活几率，billgates 94.50%drive 3.30%gyddos v8 0.10%gafgyt_builds 0.50%mirai 0.40%mayday.v1.0 1.20%其他 5.50%billgatesdrivegyddosv8gafgyt_buildsmicrofake_smiraiartemismayday.v1.0DDOS.NITOL.S0P1R1.WUDDOS.NITOL.S1P0R3.WVDDOS.NITOL.S0P0R3.WVDDOS.HYBRIDMQ.S0P0R0.IV年度数据解读9使得这些Botnet家族更加难以被探测和追踪。Botne

14、t向少数成熟且功能完善的家族集中有组织的Botnet黑产团伙倾向于使用稳定的家族版本及C&C服务器，Botnet从成长期向成熟期发展。数据显示，尽管整体上各家族变种多样，C&C服务器也遍布世界各地，有效攻击指令的分布却展现出极大的倾斜性。以季度热点家族BillGates为例，在本年度跟踪到的所有C&C服务器中，最活跃的两个地址23.*.*.131与207.*.*.245输出了超过90%的有效攻击指令；同时，在BillGates的4个在野变种中，亦是最早发现的原始版本最为活跃1。有趣的是，无论是主流平台还是IoT平台，无论是主要执行DDoS攻击的家族还是投递其他类型载荷的家族，攻击者在版本控制与

15、C&C使用策略上高度一致，即“老家伙”们总是承担着大多数的攻击任务。考虑到大量的攻击指令通常意味着大规模的攻击事件，少数精锐所组成的成熟的攻击团伙所能造成的威胁远非粗制滥造以量取胜的散兵游勇可比。因此我们认为，在当前阶段，提升对高威胁变种探测与跟踪的能力显得尤为重要。3.2 家族活跃特征3.2.1 数据特征2018年度，各类指令下发总计超过100次的活跃家族及变种达到了35个，占已追踪家族总数的24%，活跃度较高的几个家族几乎保持全年在线。年度数据解读1 对BillGates家族的针对解读详见报告的热点家族及载荷详述部分。10图3 各家族总指令月度分布攻击指令方面，如图3所示，2018年度Bo

16、tnet家族主要攻击区间为年初的一月至三月及年底的九月至十二月两个季度，六、七两月各家族相对沉寂，发送攻击命令较少。图4 各家族攻击指令月度分布年度数据解读11Windows, 9.77%Linux, 3.01%IoT, 87.22%WindowsLinuxIoT具体到C&C所属平台，可以发现C&C绝对数量较少的IoT平台家族反而更为活跃，87%的攻击者来自IoT平台。图5 C&C服务器所属平台（整体）图6 C&C服务器所属平台（攻击者）3.2.2 特征解读安全性羸弱的IoT设备成为Botnet重要攻击平台2018年，Botnet从Windows平台更多地向Linux平台与IoT平台转移，Wi

17、ndows平台老家族慢慢沉寂，IoT平台家族则迅速成长壮大。年度数据解读Windows, 63.38%Linux, 5.41%IoT, 31.21%WindowsLinuxIoT12往年，Windows平台一直是各类恶意软件的重灾区。已有记录中，灰鸽子、gyddos、darkshell等老牌家族皆以Windows为主要运行平台，这些家族也一度成为各季度的观测重点，因此以往对恶意行为的检测也是围绕Windows平台展开。进入2018年，随着Gafgyt与Mirai家族变种的爆发式增长，我们对攻击家族的观测重心也自然而然地转移到了Windows之外的领域。攻击平台的转移是由三个主要原因导致的。一是

18、Windows平台的版本的整体升级。分析网站StatCounter提供的数据2显示，截至2018年12月，Windows10的全球占有量为52.36%，超过Windows7成为最流行的Windows操作系统。得益于Windows10的强制更新策略，在安全性上10代系统远远超越了7代，这使得更多的恶意软件被系统拦截在了“入侵前”的阶段。二是IoT平台自身的安全问题。相对于IoT设备的总量及产品线丰富度的快速增长，IoT设备整体的安全性停留在十分低下的阶段，不安全的固件与协议使得IoT平台漏洞频发。同时，IoT设备使用者本身的安全意识薄弱也是IoT安全问题的诱因之一。大量IoT设备仍在使用默认用户

19、名密码，黑客利用各类爆破工具可以轻易获得这些设备的控制权，因此它们正在成为攻击组织新的目标。三是Botnet市场的细化。粗略按照运行平台进行归类，Windows平台上通常运行着高价值的目标或是保存着敏感的用户信息，这些内容更多吸引了窃密团伙的注意，因此Windows平台下的活跃家族向高隐蔽性高对抗性的银行木马与勒索软件转移；Linux平台上更多用于架设高性能设备，其活跃家族则转向挖矿类木马；IoT平台设备类型众多，渗透难度相对较低，渐渐成为了孕育DDoS攻击的新的温床。站在在防御者角度，安全厂商应该如何应对攻击平台的细化与转移，应当成为日后调整防御策略时考虑的重点。3.3 地理分布特征3.3.

20、1 数据特征IP地理位置信息显示，2018年新增C&C中，位于美国的服务器占比第一，为30.64%，中国占比29.79%占据第二位，其他占比较高的国家包括加拿大、俄罗斯、德国、法国、意大利等。年度数据解读2 http:/ 7 C&C服务器全球分布国内C&C服务器则集中在东部沿海地带，江苏、广东、北京、浙江四地的C&C数量占据全国C&C总量的60%以上。图 8 C&C服务器国内分布年度数据解读14反观Botnet攻击的受害分布，可以发现美国（47.2%）与中国（39.78%）首当其冲成为最大受害国，此外加拿大、日本、澳大利亚等国亦受到一定程度的影响。图9 受攻击目标全球分布Botnet在国内的攻

21、击目标依然集中在经济较发达省份，江苏、浙江、广东、北京等C&C服务器的密集区域同时也是各类攻击的重灾区，值得一提的是陕西成为中部省份中新的被攻击热点。图10 受攻击目标国内分布年度数据解读15类型：local 占比：30.41%类型：public 占比：0.26% 类型：VPS 占比：69.33%类型：local类型：public类型：VPS对服务器归属进行统计可发现， VPS是C&C服务器主要的部署平台：图11 C&C部署平台分布对VPS服务商进行进一步整理，可见国内外知名服务商更容易受到Botnet的“青睐”：图12 VPS服务商分布我们对IP地址去重整理后，得到了被攻击IP区间的所属产业

22、分布。从下图可以看出，Botnet的攻击目标覆盖了各类计算机产业，其中在可确认归属的地址中，互联网云服务提供商与传统IDC服务商承受了更多的攻击。年度数据解读16图13 被攻击IP区间所属产业分布相比IP段归属，对被攻击次数较多的单个IP进行定位的结果更加有趣。数据显示博彩与成人网站成为最经常被攻击的目标，其中IP地址162.218.*.242本年度总共承受了29161次DDoS攻击，平均每天要被攻击79次。图14 各IP被攻击频度统计年度数据解读17博彩, 10, 14%色情, 12, 16%安全服务博彩代理公共服务广告借贷软件集成色情实体商业无法判别信息聚合游戏图15 被攻击IP所属行业分

23、布3.3.2 特征解读经济原因使得VPS成为Botnet主要部署阵地价格低廉、审核宽松的VPS（Virtual Private Server）已经成为架设Botnet控制端的主要阵地。Botnet团伙在搭设C&C服务器方面一直很有创意。除最为传统的本地服务器方式以外，目前，常被Botnet滥用以部署C&C服务器的平台包括：网络服务托管商；被入侵的智能设备；可张贴自定义内容的公有平台；可被利用的聊天工具如Slack、Telegram等。但在这些千奇百怪的平台中，VPS作为黑产团伙的最爱，近年在C&C部署平台中所占的比例持续增长。对2018年度新增C&C的地理位置进行整理发现，大量IP被解析至几家

24、知名VPS厂商的机房。这些架设在VPS上的C&C通常用于控制IoT家族，同时保持着较长的存活时间与旺盛的活跃度。VPS的几个特性使得它成为Botnet攻击的重要工具。一是价格。近年来，新兴的VPS服务提供商如雨后春笋般遍布于世界各地，VPS市场的价格战愈演愈烈。部署成本的下降使得唯利是图的黑产团伙更多地将C&C转移至此类服务器之上。二是隐蔽性。当下的VPS提供商对用户注册信息的审核和管控普遍宽松，黑客在使用VPS时可以轻易地隐藏自己的真实信息。三是灵活性。VPS主机易于部署和销毁，使得Botnet团伙在逃避安全厂商检测与打击时可使用的手段更为多样化。年度数据解读18利益驱使下Botnet的攻击

25、指向性更加明确Botnet作为互联网黑色产业的重要威胁手段，18年更多地向同为灰黑产的博彩、色情等行业寻求套现。以博彩、色情为代表的地下产业因为缺乏合法的身份，一直以来都以小作坊式的自制服务器或不正规的托管主机为主要运营平台。这些平台缺乏可靠的安全防护，其运维人员也缺少全面的安全意识，因此极易受到Botnet的攻击而瘫痪。自然而然地，它们成为了Botnet团伙的主要勒索对象。除此之外，我们还捕获到了许多指向抗DDoS服务提供商的攻击指令。不管是出于对防御方的打压、对抗DDoS能力的试探还是对自身攻击能力的展示，这些攻击行为表明在DDoS攻防领域，攻击者依然控制着绝对的主动权。3.4 DDoS攻

26、击特征3.4.1 数据特征本年度捕获的Botnet有效指令涵盖了DDoS、局域网扫描、漏洞利用等攻击类型。其中，各家族的DDoS攻击指令合计超过44万条，占据有效攻击指令的绝大多数。我们使用源IP、目标IP、攻击类型和攻击发起时间四个维度对全部攻击指令进行归类，最终得到8332起攻击事件。对这些攻击事件的关键指标进行提取，发现UDP flood与TCP flood合计占比75.34%，组成了攻击类型的主体。各类型攻击事件数见下图：图16 DDoS攻击类型分布331629611266441 234 58469 0500100015002000250030003500UDPHTTPotherSTO

27、MPDNS计数年度数据解读19端口方面，80端口依然是主要的被攻击目标，22，25，53，443等常用端口亦被覆盖。值得一提的是，本年度由Gafgyt家族和BillGates家族主导的两起攻击事件分别指向受害者的3074端口与9091端口，这两个端口也因此成为常用端口外的主要被攻击目标。对两起事件的分析详见解读部分。图17 DDoS攻击端口分布3.4.2 特征解读反射式攻击技术的普及推动Botnet攻击类型的转变本年度UDP flood异军突起，超越TCP flood和SYN flood成为我们所观测到的主要DDoS攻击指令类型。引起这一变化的原因或许与反射式攻击的普及有关。反射式攻击作为典型

28、的DDoS攻击手段，因其放大倍数高、攻击方式灵活、侦测与防范困难的特性，很早就被黑客利用，搭载于各类Botnet家族中。虽然目前Botnet对反射式攻击的使用频率不及其他类型的DDoS攻击，但由于其强大的威胁能力，各家族反射式攻击指令的下发量呈现逐年上升的趋势。18年上半年，绿盟科技与多家其他安全厂商检测到大量Memcached反射DDoS流量，最终形成一波DDoS高峰。除Memcached反射外，其他常见反射攻击包括NTP反射和SSDP反射等。这些反射攻击的共同特征为传输层使用UDP协议，因此若受控端程序可处理自定义内容的UDP flood指令，那么Botnet控制者就可以借助这类指令来实现

29、反射式攻击。年度数据解读20下图为一次典型的反射攻击指令下发过程，C&C首先使用下载指令控制受控端下载反射源列表，再使用可自定义内容的UDP flood指令命令受控端对指定IP地址发动ntp反射攻击：图18 NTP反射攻击指令通信当下，基于UDP协议的各类网络服务不断增多，利用这些服务缺陷的UDP攻击也是花样翻新。这些UDP服务自身的缺陷与反射式攻击思路相结合，孕育了A2S_INFO DDoS等全新的攻击方式。可以预见，今后UDP协议领域的攻防对抗将会更加激烈。18年，国内对反射式攻击的治理初见成效，反射式攻击的次数与流量皆有所下降。然而，整个Botnet领域依然呈现着反射式攻击家族变种大量出

30、现、高威胁攻击指令大量下发的景象。一旦放松对DDoS攻击的防控，这些蓄势已久的Botnet必将发动更大规模的攻势。基于以上现状，我们认为，进一步控制并治理反射源，加强对UDP洪水攻击以及各类反射式攻击的抵御能力依然是当前DDoS防护工作的重中之重。互联网服务的使用者正在成为Botnet DDoS攻击的目标9091端口的常见使用者包括：邮件保护软件GFI MailEssentials；BT客户端Transmission；聊天服务器Openfire。2018年第一季度观测到的一起攻击事件中，BillGates对华南地区部分IP的9091端口进行了DDoS攻击。若这些服务器开启了9091端口或部署了

31、以上服务，DDoS攻击将会导致它们瘫痪。3074端口是微软Xbox家用游戏设备在线服务的端口，一台正常运行的Xbox设备需保持3074端口的开放。今年第四季度由Gafgyt家族发起的一波DDoS攻击针对的正是这个端口。这起攻击事件中，攻击者对一个IP列表上所有目标的3074端口进行了混合类型的DDoS攻击。相对企业，个人设备对DDoS攻年度数据解读21击的抵抗能力非常薄弱，因此这样的攻击可以瞬间阻塞主机设备的网络通信并导致玩家掉线。这种攻击行为通常出现在竞技型游戏的外挂程序中，用于在对局中挤掉对手玩家以获取胜利奖励。从以上攻击事件可以看出，DDoS攻击门槛日益降低，危害范围亦持续扩大。若此类低

32、门槛的DDoS攻击发展成为主流攻击方式，那么在线服务提供商在确保自身服务器的安全以外，甚至需要为用户提供同等级的网络防护。这将大大增加线上服务的运营成本，并影响相关企业的利益。3.5 扩散传播特征3.5.1 数据特征在2018年全年的监测中，我们抽取了2500万条入侵日志记录进行研究。这些记录当中，约1400万条可被归类为弱口令爆破入侵，其目标服务类型以Telnet/RDP/SSH为主；利用漏洞的入侵则占据了其他类型记录的主体，频繁被使用的漏洞高达54个，以IoT平台的路由器及摄像头漏洞为主。VULNERABILITYAFFECTED DEVICESCVE-2018-10561 & CVE-2

33、018-10562GPON Routers - Authentication Bypass / Command InjectionCVE-2008-0149 & CVE-2008-0148TutosCVE-2018-14417SoftNasCVE-2014-9094Wordpress PHPDlinkD-Link DIR-815CNVD-2014-01260LinksysCVE-2014-8361Different devices using the Realtek SDK with the miniigd daemonNetgear setup.cgi unauthenticated RCE

34、DGN1000 Netgear routersCVE-2017-17215Huawei HG532Eir WAN Side Remote Command InjectionEir D1000 routersHNAP SoapAction-Header Command ExecutionD-Link devicesCCTV/DVR Remote Code ExecutionCCTVs, DVRs from over 70 vendorsJAWS Webserver unauthenticated shell command executionMVPower DVRs, among othersU

35、PnP SOAP TelnetD Command ExecutionD-Link devices年度数据解读22Netgear cgi-bin Command InjectionNetgear R7000/R6400 devicesVacron NVR RCEVacron NVR devicesCVE-2015-2280AirLink101CVE-2014-6271multi platformCVE-2014- 8361Realtek SDK based devicesAVTECH Unauthenticated Command InjectionAVTECH IP Camera/NVR/DVR DevicesGoogle Android ADB Debug Server - Remote Payload ExecutionAndroidCVE-2018-11336FASTGateAVTECH IP Camera / NVR / DVR Devices - Multiple VulnerabilitiesAVTECH devicesBillion / TrueOnline / ZyXEL Routers - Multiple VulnerabilitiesHardwareCCTV-DVR Over 7