一、背景近日，绿盟威胁情报中心监测到，境外黑客组织发布推文宣布将于2月13日对我国实施网络攻击。

攻击者从年开始，每年2月13日都会尝试攻击我国，域名涉及gov.cn等政府网站。与往年不同的是，攻击者今年重点提到了视频监控，主要是因为对方认为这些设备会侵犯人权，让人完全处于被监控的状态。

在2月13日之前，作为攻击预热，攻击者公布了一些攻击信息，其中包含了一些暴露在互联网上的视频监控设备的地址[3]。经分析，这些地址对应的暴露端口均为，是九安的视频监控系统。经绿盟威胁情报中心的测绘，近一个月内，全国暴露在互联网上的“九安”视频设备共有个[1]。

绿盟安全服务部已于一周前通告了漏洞和防护手段[2]，本文则重点对绿盟威胁捕获系统捕获到的攻击者对于视频监控设备相关的访问日志进行分析，以期展示近期国内视频监控设备被攻击的情况。

图2.1是年初至今绿盟威胁捕获系统中视频监控设备相关日志变化情况，从其线性趋势图中可以看出，从1月开始，我们的威胁捕获系统捕获到的视频监控设备相关日志是在不断增多的。而攻击者2月3日在pastebin[3]上公开了若干暴露在互联网上的九安视频监控设备的IP。因此，我们推测攻击者为了2月13日的活动，在年中下旬开始做了一些前期的“踩点”工作。

图2.1年至今视频监控设备相关日志变化情况

图2.2是年初至今绿盟威胁捕获系统中国外视频监控设备相关日志和漏洞利用的变化情况，我们发现与国内有相同的趋势。我们推测虽然本次事件的攻击者公开说是专门攻击国内的设备，但其实有人浑水摸鱼，谋取私利。

图2.3是年初至今视频监控设备相关日志中源IP的国家分布情况。这些IP共位于54个国家和地区，其中位于美国和中国的IP数量是最多的。

图2.3年初至今视频监控设备相关日志中源IP的国家分布情况

表2.1是我们捕获到的年至今视频监控系统威胁类型分布情况。这里的占比我们采用的是对日志源IP去重之后的数量的占比，我们认为这样更能反映特定威胁的受