趨勢科技的一項(xiàng)新研究發(fā)現(xiàn)，自 2024 年底以來，一個新發(fā)現(xiàn)的物聯(lián)網(wǎng) （IoT） 僵尸網(wǎng)絡(luò)一直利用路由器、IP 攝像頭和其他連接設(shè)備等物聯(lián)網(wǎng)設(shè)備中的漏洞，在全球策劃大規(guī)模分布式拒絕服務(wù) （DDoS） 攻擊。

安全研究人員警告說，該僵尸網(wǎng)絡(luò)利用源自另外兩個僵尸網(wǎng)絡(luò)Mirai 和 Bashlite 的惡意軟件，對全球工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成了重大威脅。

該僵尸網(wǎng)絡(luò)通過利用遠(yuǎn)程代碼執(zhí)行 （RCE） 漏洞或弱默認(rèn)憑據(jù)來感染 IoT 設(shè)備，感染過程涉及多個階段：

• 初始利用：惡意軟件通過漏洞或暴力破解弱密碼滲透到設(shè)備中。
• 負(fù)載傳遞：加載程序腳本從分發(fā)服務(wù)器下載主要的惡意軟件負(fù)載。有效負(fù)載直接在內(nèi)存中執(zhí)行，以避免在受感染設(shè)備上留下痕跡。
• 命令和控制（C&C）：一旦被感染，設(shè)備就會連接到C&C服務(wù)器以接收攻擊命令。

該僵尸網(wǎng)絡(luò)使用各種 DDoS 攻擊媒介，包括：

• SYN 泛洪：TCP 連接請求使服務(wù)器不堪重負(fù)。
• UDP 泛洪：使用 UDP 數(shù)據(jù)包使網(wǎng)絡(luò)飽和。
• GRE 協(xié)議漏洞：使用通用路由器封裝以路由器為目標(biāo)。
• TCP 握手泛洪：建立大量虛假 TCP 連接以耗盡服務(wù)器資源。

趨勢科技安全專家指出，這些命令的結(jié)構(gòu)為文本消息，前綴為兩個字節(jié)長度的字段，從而可以精確控制攻擊參數(shù)，例如持續(xù)時(shí)間和目標(biāo) IP 地址。

通過對僵尸網(wǎng)絡(luò)的技術(shù)分析，發(fā)現(xiàn)已實(shí)現(xiàn)了廣泛的地理覆蓋范圍，北美和歐洲受到嚴(yán)重影響，美國占已確定目標(biāo)的 17%。日本也面臨重大攻擊，尤其是針對其金融和運(yùn)輸行業(yè)的攻擊。 大多數(shù)受感染的設(shè)備是無線路由器 （80%），其次是 IP 攝像頭 （15%），其中包括 TP-Link 和 Zyxel等知名但又容易遭受到攻擊的品牌。

為了增強(qiáng)隱蔽性，僵尸網(wǎng)絡(luò)利用惡意軟件在受感染的設(shè)備上禁用了看門狗計(jì)時(shí)器，從而防止在 DDoS 攻擊引起的高負(fù)載期間自動重啟，并且還操縱基于Linux的iptables規(guī)則來阻止外部訪問，同時(shí)保持與C&C服務(wù)器的通信。

安全專家推薦了幾種措施來降低 IoT 僵尸網(wǎng)絡(luò)感染的風(fēng)險(xiǎn)：

• 在設(shè)備安裝后立即更改默認(rèn)密碼。
• 定期更新固件以修補(bǔ)已知漏洞。
• 將 IoT 設(shè)備隔離在單獨(dú)的網(wǎng)絡(luò)中。
• 使用入侵檢測系統(tǒng) （IDS） 來識別異常流量模式。

同時(shí)建議企業(yè)組織與服務(wù)提供商合作，過濾惡意流量，并考慮部署 CDN 以在 DDoS 攻擊期間進(jìn)行負(fù)載分配。