【风险通告】Zerobot 僵尸网络利用多个IoT 漏洞进行传播

11 月，FortiGuard Labs发现一个用 Go 语言编写的僵尸网络Zerobot正在通过IoT 漏洞进行传播。

0x01 风险详情

Zerobot恶意软件的目的是将受感染的设备添加到分布式拒绝服务 (DDoS) 僵尸网络中，以对指定目标发起攻击。FortiGuard Labs表示，自11月以来，他们发现了Zerobot的一个新版本，其中包含额外的模块，并利用了新的漏洞，表明该恶意软件正在积极开发中。

该恶意软件可以针对一系列系统架构和设备，包括 i386、AMD64、ARM、ARM64、MIPS、MIPS64、MIPS64le、MIPSle、PPC64、PPC64le、RISC64 和S390x。

该恶意软件还利用了F5 BIG-IP、Zyxel 防火墙、Totolink和 D-Link 路由器以及 Hikvision 摄像头等多种设备中的21个漏洞，并利用这些漏洞获得对设备的访问：

• CVE-2014-08361：Realtek SDK 中的 miniigd SOAP 服务
• CVE-2017-17106：Zivif PR115-204-P-RS 网络摄像头
• CVE-2017-17215：华为HG523路由器
• CVE-2018-12613：phpMyAdmin
• CVE-2020-10987：Tenda AC15 AC1900路由器
• CVE-2020-25506：D-Link DNS-320 NAS
• CVE-2021-35395：Realtek Jungle SDK
• CVE-2021-36260：海康威视产品
• CVE-2021-46422：Telesquare SDT-CW3B1 路由器
• CVE-2022-01388：F5 BIG-IP
• CVE-2022-22965：Spring MVC 和 Spring WebFlux (Spring4Shell)
• CVE-2022-25075：TOTOLink A3000RU 路由器
• CVE-2022-26186：TOTOLink N600R 路由器
• CVE-2022-26210：TOTOLink A830R 路由器
• CVE-2022-30525：Zyxel USG Flex 100(W) 防火墙
• CVE-2022-34538：MEGApix IP 摄像机
• CVE-2022-37061：FLIX AX8 热传感器摄像头
• 4个未分配CVE的漏洞（其中两个针对 GPON 终端和 D-Link 路由器）

然后它下载一个名为“zero”的脚本，这使它能够自我传播。

获取zero脚本以启用传播 （来源：Fortinet）

在被攻击的设备上获得初始访问后，Zerobot会设置一个WebSocket连接到命令和控制（C2）服务器，并发送一些关于受害者的基本信息。

C2 可能会响应以下命令之一：

• ping – 心跳，保持连接

• attack – 针对不同的协议发起攻击：TCP、UDP、TLS、HTTP、ICMP

• stop – 停止攻击

• update – 安装更新并重启 Zerobot

• enable_scan – 扫描开放端口并开始通过漏洞利用或 SSH/Telnet 破解程序进行自我传播

• disable_scan – 禁用扫描

• command – 运行操作系统命令，在 Windows 上运行 cmd，在 Linux 上运行bash

• kill – 终止僵尸网络程序

该恶意软件还使用一个anti-kill （反杀）模块，旨在防止终止或结束其进程。

0x02 安全建议

Zerobot 是一种用 Go 语言编写的新型僵尸网络，它通过 WebSocket 协议进行通信。它于 11 月 18 日首次出现，并通过多个IoT 漏洞进行传播。在短时间内，该恶意软件更新了字符串混淆、复制文件模块和传播利用模块，这使它感染能力更强且更难被检测。用户应该意识到这一新威胁，积极防范网络和系统中的安全漏洞，并在补丁可用时及时应用补丁。

其它建议：

• 定期对设备、软件和系统进行修复和更新，防止通过漏洞进行的攻击。

• 定期备份数据，确保在需要时可以在紧急情况下快速访问它。

• 非必要时，不要将远程桌面服务（如RDP）、SSH、或其它存在已知安全风险的协议、服务或端口等暴露在公共网络中，并始终对其使用强密码。

• 采用包括多因素验证在内的验证机制可以加强用户账户的安全性，减少账户被盗或泄露风险。

• 执行最小权限原则，即用户只能访问他们需要的系统部分。

• 使用最新的威胁情报信息，以实时了解攻击者所使用的TTP。

• 为了保护企业环境，对员工进行安全意识培训。

0x03 参考链接

https://www.fortinet.com/blog/threat-research/zerobot-new-go-based-botnet-campaign-targets-multiple-vulnerabilities

https://www.bleepingcomputer.com/news/security/new-zerobot-malware-has-21-exploits-for-big-ip-zyxel-d-link-devices/

0x04 版本信息

0x05 附录

公司简介

启明星辰成立于1996年，是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决方案的领航企业之一。

公司总部位于北京市中关村软件园启明星辰大厦，公司员工6000余人，研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个，拥有覆盖全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。（股票代码：002439）

多年来，启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能，为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。

关于我们

启明星辰安全应急响应中心主要针对重要安全漏洞的预警、跟踪和分享全球最新的威胁情报和安全报告。

关注以下公众号，获取全球最新安全资讯：

原文始发于微信公众号（维他命安全）：【风险通告】Zerobot 僵尸网络利用多个IoT 漏洞进行传播