美国 - 艾赫巴里通讯社
14,000台路由器感染了难以清除的恶意软件,构成复杂僵尸网络
在网络安全领域的一项重大进展中,Lumen的Black Lotus Labs的研究人员发现了一个具有高度韧性的僵尸网络,该网络由约14,000台被感染的路由器和其他网络设备组成,其中Asus型号占有显著比例。这个网络已被改造成一个代理服务,为匿名网络犯罪活动提供便利。这款名为KadNap的恶意软件,其设计目的是为了逃避检测和清除,对网络安全构成了持续威胁。
KadNap恶意软件通过利用用户尚未修复的已知漏洞来渗透设备。Black Lotus Labs的研究员Chris Formosa解释说,Asus路由器在该僵尸网络中占比较高的原因,很可能是因为存在针对这些型号特定漏洞的有效利用工具(exploits)。他强调,攻击者可能并未利用零日漏洞(zero-day exploits),这表明用户在应用安全补丁方面的疏忽是恶意软件传播的一个主要原因。该僵尸网络规模有所波动,平均每天约有14,000台路由器被感染,相较于去年8月Black Lotus首次发现该僵尸网络时探测到的约10,000台设备,这是一个显著的增长。
另请阅读
从地理上看,受感染的设备绝大多数集中在美国,而在台湾、香港和俄罗斯则有较小的聚集点。KadNap的一个关键特征是其复杂的点对点(P2P)设计,该设计基于Kademlia网络协议。这种架构利用分布式哈希表(DHTs)来隐藏其命令与控制(C2)服务器的IP地址。这种去中心化的控制机制使得该僵尸网络能够极好地抵抗传统的清除策略和检测方法。
Formosa与同事研究员Steve Rudd一起指出,KadNap用于去中心化命令与控制的点对点网络,使其区别于其他匿名代理僵尸网络。他们在分析中表示:“他们的意图很明确:避免被发现,并使防御者难以进行防护。”分布式哈希表在构建强大的P2P网络方面有着良好的记录,最著名的应用包括BitTorrent和星际文件系统(IPFS)。与传统的客户端-服务器模型不同,DHT允许网络中的任何节点查询其他节点以获取信息,从而消除了单点故障。
DHT的去中心化特性,加上使用加密哈希而非直接IP地址,赋予了网络固有的抵抗清除和拒绝服务(DoS)攻击的能力。虽然DHT的概念可能比较复杂,但它们本质上充当了分布在网络对等节点上的分布式数据结构。这种设计不仅提高了可扩展性——节点越多,数据分布越好——而且还增强了容错能力。如果一个节点离线,网络可以将查询重定向到其他节点。理论上,要摧毁这样一个网络,需要同时切断其所有组成节点的连接。
Kademlia使用160位地址空间来管理密钥(由数据哈希生成的唯一位字符串)和节点标识符。每个节点存储属于其他节点的密钥,并根据其与存储节点ID的接近程度进行组织。这种接近度使用XOR距离(一种用于网络映射的数学度量)来计算。当一个节点搜索信息时,它会查询其他节点,并根据XOR距离逐步缩小搜索范围,直到找到目标密钥。KadNap作为Kademlia的一个变种,通过BitTorrent节点获取搜索密钥,从而简化了查找必要配置数据或C2地址的过程。
这个过程类似于一个复杂的“传话游戏”。一个节点首先联系入口处的BitTorrent节点,声明要分享一个“秘密通行证”或寻找接收者。这些信息会传递给附近的“邻居”,即使他们不完全理解,也会将该节点引荐给可能理解的人。这个迭代过程一直持续,直到某个节点识别出该通行证。成功识别后,该节点会收到关键数据,例如打开防火墙端口22的指令,以及最重要的——它需要连接的命令与控制服务器的IP地址。
尽管KadNap对传统的清除方法具有强大的抵抗力,但Black Lotus Labs报告称,他们已开发出一种专有技术,能够阻止与僵尸网络控制基础设施相关的所有网络流量。该实验室正积极与网络安全社区分享其已知的攻击指标(IoCs),以协助更广泛的防御工作。据报道,被感染的设备正被用于路由Doppelganger(一个付费代理服务)的流量。Doppelganger为客户提供了一种匿名化其互联网活动的方式,通常利用毫无戒心的个人的家庭互联网连接。该服务利用受感染家庭路由器的高带宽和干净的IP声誉,为客户提供可靠且匿名的访问可能受限的网站或服务的方式。
相关新闻
担心设备可能被感染的用户,可以查阅提供的IP地址和文件哈希列表来检查其路由器日志。清除KadNap恶意软件唯一有效的方法是对受影响设备进行完全的出厂重置。仅仅重启路由器是不足够的,因为KadNap会安装一个shell脚本,该脚本会在路由器重启时自动重新执行,导致再次感染。为了防止此类安全事件的发生,采取安全最佳实践至关重要,包括安装所有可用的固件更新、使用强密码以及禁用远程管理(除非绝对必要)。
