最近,通信公司Lumen的Black Lotus实验室在一篇博客中称,其发现了一项持续多年的波及全球路由器的恶意活动——新型僵尸网络“AVrecon”在未被察觉的情况下运行了至少两年,感染了全球7万台路由器。
针对互联网路由器的恶意攻击并不是什么新鲜事,美国网络安全与基础设施安全局(CISA)最近就警告称,攻击者可利用SOHO路由器等网络设备作为全球攻击基础设施并对组织网络进行无限制访问。而SOHO路由器更新的频率通常较低,这更加剧了问题的严重性。
例如Black Lotus研究人员分析的这个僵尸网络,其AVrecon恶意软件已经感染了超过7万台基于Linux的路由器,并在20多个国家的4万多个IP地址上保持着持久性控制。根据Black Lotus实验室的说法,AVrecon是继ZuroRAT和HiatusRAT之后,第三个专注于攻击SOHO路由器的恶意软件,主要攻击目标为英国和美国。
据了解,AVrecon使用C语言编写,针对ARM嵌入式设备,特别是SOHO(小型办公室/家庭办公室)路由器。Black Lotus表示,这些目标设备通常缺乏标准端点安全解决方案,因此恶意软件可以利用已知漏洞进行更长时间的攻击。
一旦成功感染路由器,AVrecon会将有关受感染设备的信息发送给一个嵌入式的“第一阶段”C2(命令与控制)服务器,然后指示设备连接到另一组C2服务器——Black Lotus的研究人员发现,自2021年10月以来,至少有15个这样的服务器一直在运行。受感染的路由器用于与C2服务器之间的通信使用x.509证书进行加密,因此研究人员无法看到网络犯罪分子在“密码喷洒”攻击中的成功率。除此之外,受感染的设备还被用来点击各种Facebook和谷歌的广告。
Black Lotus实验室建议,针对此类恶意活动,保持良好的习惯至关重要,例如定期重启路由器以及应用安全更新。
编辑:左右里
资讯来源:Lumen Black Lotus Labs
转载请注明出处和本文链接
模糊测试(fuzz testing)
模糊测试是一项专门的动态测试技术,它向软件提供了许多不同类型的输入,来强调其局限性并发现先前未被发现的缺陷。模糊测试软件向软件提供无效的输入,或是随机生成,或是特别制作以触发特殊的软件漏洞。然后,模糊测试监控应用程序的性能,监视软件崩溃、缓冲区溢出或其他不良和/或不可预知的结果。
球分享
球点赞
球在看
文章引用微信公众号"看雪学苑",如有侵权,请联系管理员删除!
