针对SOHO路由器的攻击范围正全面扩大 ZuoRAT仅是其中之一

据此前Ars Technica的报道，研究人员在6月28日发现了一个技术能力强大的黑客组织耗时近两年的事件，利用恶意软件感染了各种路由器，从而实现对运行Windows、MacOS和Linux系统联网设备的完全控制。

美国500强企业之一的电信运营商——Lumen Technologies黑莲花实验室（Black Lotus Labs ）的研究人员表示，到目前为止，他们已经确认了至少80个被这种恶意软件感染的目标，包括思科(Cisco)、网件(Netgear)、华硕(Asus)和DrayTek的路由器。这种名为ZuoRAT的远程访问木马其实也只是一个宏大攻击行动中的一部分，而据他们分析，这场攻击行动至少在2020年第四季度就已经存在，并持续运行至今。

针对MIPS架构编写并编译并用于小型和家庭办公环境路由器的定制恶意软件的发现，可谓是意义重大，尤其是考虑到它的功能范围——能够列举连接到受感染路由器的所有设备，并收集它们发送和接收的DNS查找和网络流量，同时还不被检测到，这种高度复杂的能力，是典型的高技术攻击者的标志。

黑莲花实验室的研究人员描述道，虽然损害SOHO路由器作为访问向量来获得对邻近局域网的访问并不是一种新技术，但它很少被报道。类似地，中间人式攻击(如DNS和HTTP劫持)的报告更少，这是一种复杂和有针对性的操作的标志。这两种技术的使用一致表明了攻击者的技术能力很高，表明这场活动可能是由国家支持的组织实施的。

该活动包含至少4个恶意软件，其中3个是攻击者从头编写的。第一个是基于MIPS的ZuoRAT，它与Mirai物联网恶意软件非常相似，后者实现了破纪录的分布式拒绝服务攻击，使一些互联网服务瘫痪数天。ZuoRAT通常通过利用SOHO设备中未打补丁的漏洞来安装。

安装后，ZuoRAT将列举连接到受感染路由器的设备。然后，攻击者可以使用DNS劫持和HTTP劫持，导致与之连接的设备安装其他恶意软件。其中两个恶意软件——被称为CBeacon和gobeacon——均为定制的，第一个是用c++为Windows编写的，第二个是用Go编写的，用于在Linux和macOS设备上交叉编译。为了灵活起见，ZuoRAT还可以使用广泛使用的Cobalt Strike黑客工具感染联网设备。

DNS劫持，将与域名(如谷歌或Facebook)对应的有效IP地址替换为攻击者操作的恶意IP地址。

HTTP劫持，恶意软件将自己植入到连接中，产生一个302错误，将用户重定向到不同的IP地址。

黑莲花实验室表示，此次行动中使用的指挥和控制基础设施故意设置的很复杂，企图掩盖正在发生的事情。一组基础设施用于控制被感染的路由器，另一组为连接的设备保留。

研究人员观察了来自23个IP地址的路由器，这些路由器与一个控制服务器有一个持久的连接，他们认为该服务器正在进行前期的侦察工作，以确定目标是否能引起他们的兴趣。这23台路由器中的一部分后来与一台台湾代理服务器进行了三个月的交互。另一个路由器子集转到一个基于加拿大的代理服务器，以混淆攻击者的基础设施。

黑莲花实验室的研究成果表明，ZuoRAT和相关活动代表了一场针对欧美组织的高度针对性活动，这些组织通过模糊化的、多级C2基础设施混入典型的互联网流量，可能与恶意软件感染的多个阶段相一致。参与者煞费苦心地隐藏C2基础设施的程度怎么说都不为过。

首先，为了避免被怀疑，他们把最初的漏洞利用交给了一个托管良性内容的专用虚拟专用服务器(VPS)。接下来，他们利用路由器作为代理C2，通过路由器到路由器的通信隐藏在人们的视线之下，以进一步规避检测。最后，他们定期轮换代理路由器，以避免被发现。

这是自2018年的路由器恶意软件VPNFilter以来，对SOHO路由器影响最大的一场攻击。路由器经常被忽视，尤其是在家庭办公时代。虽然企业通常对允许连接的设备有严格的要求，但很少有人要求对设备的路由器进行补丁更新或其他保护措施。

和大多数路由器恶意软件一样，ZuoRAT在重启后也无法存活。只需重新启动受感染的设备，就会清除最初的ZuoRAT漏洞攻击 ，该攻击由存储在临时目录中的文件组成。然而，要完全恢复，受感染的设备应进行出厂复位。不幸的是，在连接的设备被其他恶意软件感染的情况下，它们不能那么容易被消灭。

THE END