51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 984|回复: 0
打印 上一主题 下一主题

[转贴] Black Lotus警告ZuoRAT恶意软件已盯上大量路由器

[复制链接]
  • TA的每日心情
    无聊
    前天 09:05
  • 签到天数: 1050 天

    连续签到: 1 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2022-7-1 09:22:22 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
    日前有报道称:一个技术异常先进的黑客组织,花了将近两年时间用恶意软件感染北美和欧洲的各种路由器,进而完全控制了 Windows、macOS 和 Linux 联网设备的运行。Lumen Technologies 旗下 Black Lotus 实验室的研究人员指出,其已确认至少 80 款被隐形恶意软件感染的目标,且涉及思科、Netgear、华硕和 GrayTek 等品牌的路由器型号。
    安全研究人员指出,针对路由器的 ZuoRAT 攻击的幕后操盘手,或有着深厚且复杂的背景。作为更广泛的黑客活动的一部分,这款远程访问木马的活动,至少可追溯到 2020 年 4 季度。
      看到专为 MIPS 架构编写的定制恶意软件,这项发现为无数小型和家庭办公室(SOHO)路由器用户敲响了安全的警钟。
      尽管很少被报道,但通过路由器来隐匿意图,恶意软件不仅能够枚举连接到受感染路由器的所有设备,还可以收集其收发的 DNS 查询与网络流量。
      同时涉及 DNS 和 HTTP 劫持的中间人攻击也相当罕见,这进一步表明 ZuoRAT 背后有着相当高水准的复杂威胁参与者的身影。
      Black Lotus 至少在这轮恶意软件活动期间揪出了四个可疑的对象,且其中有三个都看得出是从头精心编制的。
      首先是基于 MIPS 的 ZuoRAT,它与 Mirai 物联网恶意软件极其相似,曾涉及破纪录的分布式拒绝服务(DDoS)攻击,但它通常是利用未及时修补的 SOHO 设备漏洞来部署的。
      安装后,ZuoRAT 会枚举连接到受感染路由器的设备。接着威胁参与者可利用 DNS / HTTP 劫持,引导联网设备安装其它特别定制的恶意软件 —— 包括 CBeacon 和 GoBeacon 。
      前者采用 C++ 编程语言,主要针对 Windows 平台。后者使用 Go 语言编写,主要针对 Linux / macOS 设备。
      ZuoRAT 还可借助泛滥的 Cobalt Strike 黑客工具来感染联网设备,且远程的命令与控制基础设施也被可疑搞得相当复杂,以掩盖其真实目的。
      期间 Black Lotus 安全研究人员留意到了来自 23 个 IP 地址的路由器和 C&C 服务器建立了持久连接,意味着攻击者正在执行初步调查以确定目标是否有深入攻击的价值。
      庆幸的是,与大多数路由器恶意软件一样,ZuoRAT 无法在设备重启后留存(由存储在临时目录中的文件组成)。此外只需重置受感染的设备,即可移除最初的 ZuoRAT 漏洞利用。


     即便如此,我们还是推荐大家及时检查长期联网设备的固件更新。否则一旦被感染其它恶意软件,终端设备用户还是很难对其展开彻底的消杀。
      有关这轮恶意软件活动的更多细节,还请移步至 Black Lotus Labs 的 GitHub 主页查看。






    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

    x
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-23 20:48 , Processed in 0.066964 second(s), 25 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表