AVrecon僵尸網(wǎng)絡(luò)感染超7萬臺Linux路由器,潛伏兩年終被發(fā)現(xiàn)
AVrecon僵尸網(wǎng)絡(luò)感染超7萬臺Linux路由器
根據(jù)Lumen Black Lotus Labs的報告,自2021年5月以來,AVrecon Linux惡意軟件已感染超過7萬臺SOHO路由器,并將其中大部分設(shè)備納入專門創(chuàng)建隱藏住宅代理的僵尸網(wǎng)絡(luò)。
什么是住宅代理?
住宅代理允許僵尸網(wǎng)絡(luò)運營商掩蓋各種惡意活動,從數(shù)字廣告欺詐到密碼噴灑攻擊。
AVrecon僵尸網(wǎng)絡(luò)潛伏兩年未被發(fā)現(xiàn)
盡管AVrecon遠程訪問木馬(RAT)感染了超過7萬臺設(shè)備,但研究人員表示,只有4萬臺設(shè)備在惡意軟件獲得立足點后成為了僵尸網(wǎng)絡(luò)的一部分。AVrecon在很長一段時間內(nèi)幾乎完全避開了檢測,盡管該惡意軟件早在2021年5月針對Netgear路由器時就被首次發(fā)現(xiàn)。從那時起,該僵尸網(wǎng)絡(luò)兩年未被發(fā)現(xiàn),并逐漸增長,如今已成為全球最大的針對路由器的僵尸網(wǎng)絡(luò)之一。
專家表示:"我們懷疑攻擊者專注于SOHO設(shè)備,因為這些設(shè)備不太可能修補各種CVE漏洞。僵尸網(wǎng)絡(luò)運營商沒有為了快速獲利而使用僵尸網(wǎng)絡(luò),而是采取了更溫和的方法,能夠兩年不被發(fā)現(xiàn)。由于惡意軟件的隱蔽性,受感染設(shè)備的所有者很少注意到性能問題或帶寬損失。"
感染過程分析
感染后,惡意軟件會將有關(guān)被黑路由器的信息發(fā)送到命令與控制服務(wù)器的內(nèi)置地址。建立聯(lián)系后,被黑設(shè)備被指示與另一組服務(wù)器建立通信——第二階段的控制服務(wù)器。研究人員根據(jù)x.509證書信息發(fā)現(xiàn)了15個這樣的服務(wù)器,這些服務(wù)器自2021年10月以來一直在運行。
研究人員破壞AVrecon僵尸網(wǎng)絡(luò)
專家指出,他們通過重置骨干網(wǎng)中僵尸網(wǎng)絡(luò)控制服務(wù)器的路由,成功破壞了AVrecon的工作。這有效地切斷了僵尸網(wǎng)絡(luò)與其控制基礎(chǔ)設(shè)施之間的連接,顯著限制了惡意軟件執(zhí)行惡意操作的能力。
安全建議
AVrecon Linux惡意軟件提醒我們,保持路由器更新最新安全補丁非常重要。同樣重要的是使用強密碼并定期更改。此外,了解路由器被入侵的跡象也很重要,例如性能突然變化、帶寬損失和意外重啟。如果您發(fā)現(xiàn)任何這些跡象,立即采取措施至關(guān)重要。
更多精彩內(nèi)容 請關(guān)注我的個人公眾號 公眾號(辦公AI智能小助手)
對網(wǎng)絡(luò)安全、黑客技術(shù)感興趣的朋友可以關(guān)注我的安全公眾號(網(wǎng)絡(luò)安全技術(shù)點滴分享)
公眾號二維碼
公眾號二維碼
浙公網(wǎng)安備 33010602011771號