幽灵后门：AI工具Sift揭开华硕路由器的隐秘僵尸网络陷阱

2025年5月28日，网安公司GreyNoise发文揭露了一项针对数千台华硕路由器的隐秘且长期的攻击活动，攻击者无需依赖恶意软件即可实现持续的未经授权的访问，并且能够在路由器重启甚至固件更新后依然有效。GreyNoise警告说：“这似乎是组建分布式后门设备网络的秘密行动的一部分。”事件源于两个月前的一次警报，当时网络安全领域的"暗物质探测器"——GreyNoise的AI分析引擎Sift，在单日230亿条网络流量洪流中，精准捕获了三个异常的HTTP POST请求。这些请求如同深海中的幽灵信号，目标直指华硕路由器管理接口。正是这三个看似微不足道的数字涟漪，揭开了一场针对全球路由器的精密入侵：攻击者无需植入恶意软件，却能在设备重启甚至固件更新后依然牢牢掌控设备，悄然构建着新一代僵尸网络的基础设施。这场战役不仅是技术的对抗，更是AI防御系统与国家级攻击者的无声较量。

一、AI驱动的威胁猎人：Sift如何揪出"隐形刺客"

在网络安全防御的军备竞赛中，传统规则库已难以应对高度隐蔽的高级威胁。参考材料1和2揭示了此次发现的革命性意义：GreyNoise的AI网络载荷分析工具Sift通过多维度动态建模，构建了全球首个可交互式仿真路由器的威胁捕获网络。当攻击者利用华硕官方接口漏洞发起入侵时，Sift的异常检测算法识别出三个关键异常点：针对/start_apply.htm的特殊POST请求、包含NULL字节的身份验证绕过（材料3）、以及伪装成OAuth参数的指令注入代码。更惊人的是，这些攻击流量微小到三个月内全球传感器仅捕获30次请求，相当于在太平洋中寻找特定的一滴水。材料1强调："如果没有完全模拟的华硕配置文件和深度指令级检查，这种攻击将永远隐匿在合法流量中"——正是AI驱动的深度威胁建模，让无形杀手现出原形。

事件披露的时间线显示如下。

2025 年 3 月 17 日： GreyNoise的专有AI技术Sift观察到异常流量。  

2025 年 3 月 18 日： GreyNoise研究人员了解到Sift报告并开始调查。

2025 年 3 月 23 日：GreyNoise与政府和行业合作伙伴协调调查结果，因此推迟披露。 

2025 年 5 月 22 日： Sekoia宣布作为“ViciousTrap”的一部分入侵了华硕路由器。

2025 年 5 月 28 日： GreyNoise发布此博客。

二、完美犯罪解剖：幽灵攻击者的"无痕"艺术

这场持续数月的入侵展现出现代网络犯罪的巅峰技艺，GreyNoise公司的分析报告勾勒出一幅精密的技术拼图。

攻击者首先通过组合拳突破防线：在常规暴力破解掩护下，运用两种未公开的认证绕过技术（材料1、2）。其中材料3通过PCAP捕获关键证据：攻击者在Cookie中植入asus_token=空字节（0x00），触发华硕固件的字符串解析漏洞。获得初始权限后，立即利用CVE-2023-39780命令注入漏洞执行核心攻击指令——通过创建/tmp/BWSQL_LOG文件激活华硕内置的TrendMicro日志功能（材料3）。这个看似平常的文件实则是开启路由器深层命令执行通道的钥匙。

最令人警醒的是攻击者的持久化设计：他们并非安装恶意软件，而是通过华硕官方配置接口：

• 在非标准端口TCP/53282启用SSH服务

• 注入攻击者公钥ssh-rsa AAAAB3N...（材料3提供完整密钥）

• 将配置写入非易失存储器（NVRAM）（材料1、2）

攻击全程贯彻"最小痕迹原则"：材料1指出，操作前首先禁用路由器日志功能；整个过程中不写入任何恶意文件；所有操作均伪装成合法配置变更。正如材料3的深度分析所揭示："攻击者完全复用华硕的官方API，使得取证分析中只能看到正常的设置修改记录"——这种"借壳生存"模式重新定义了网络入侵的隐身标准。

三、全球危机：正在成形的数字僵尸军团

当安全研究人员追踪攻击痕迹时，呈现的是一幅令人不安的全球威胁图景：

• 感染版图扩张：截至2025年5月27日，Censys扫描确认近9000台华硕路由器已被植入后门（材料1、2、4），且每天新增上百台。这些设备主要分布在住宅和中小型企业网络，构成庞大的潜在攻击资源池。

• 基础设施特征：攻击手法呈现国家级APT组织特征：材料2指出其与操作中继盒（ORB）网络的高度相似性。这类基础设施通常用于：✓ 匿名化攻击源✓ 长期情报收集✓ 为大规模网络战储备资源

• 攻击者画像：三份材料一致判断："间谍技术的水平表明对手资源充足、能力强大"（材料1、2）。材料3发现攻击代码包含对华硕固件内核的深度理解，暗示可能涉及供应链渗透或零日交易。

四、漏洞为何成为"不死癌症"？修复困局深度解析

尽管华硕已发布补丁修复CVE-2023-39780（材料1），但威胁远未终结，其根本原因在于：

1. NVRAM的持久诅咒材料3通过物理设备实验证明：攻击者通过官方接口注入SSH密钥后，即使升级固件，密钥仍顽固存留于NVRAM中。这是因为固件更新通常不覆盖用户配置区，而攻击者正恶意利用此设计特性。

2. 供应链安全黑洞材料3的逆向工程揭露更深层危机：华硕固件中多处存在危险函数调用链。例如在bwsdpi_sqlite组件中发现超过40处未验证用户输入直接调用system()的代码片段——这类设计级缺陷非单个补丁可修复。

3. 修复执行困境材料1指出关键矛盾：已感染设备需用户手动恢复出厂设置才能清除后门，但普通用户缺乏技术能力；而企业又难以大规模检测53282端口的异常SSH服务。这种"知易行难"的修复断层使僵尸网络持续膨胀。

五、生存指南：四阶立体防御矩阵

面对这种新型威胁，三份材料共同构建了分级防御方案：

1. 紧急止血立即扫描路由器是否开放TCP/53282端口（材料1）。使用材料3提供的攻击者RSA密钥指纹，检查/root/.ssh/authorized_keys文件是否存在匹配项。

2. 网络隔离在防火墙封锁材料3列出的C2服务器IP：101.99.91.151、101.99.94.173、79.141.163.179、111.90.146.237，并监控其变种。

3. 根治手术若发现感染迹象，必须执行材料1强调的物理复位三部曲：✓ 长按reset按钮30秒以上✓ 断电重启三次清空NVRAM✓ 手动重建配置（禁用远程管理）

4. 持续免疫企业用户应采用材料2推荐的持续监控策略：部署网络传感器捕获异常请求模式，建立华硕设备的SSH连接基线画像，对53282端口流量实施全量审计。

结论：AI防御时代的曙光与阴影

这场持续数月的全球性入侵事件，暴露出物联网安全的系统性脆弱。攻击者已完成从"暴力破坏"到"合法功能寄生"的战术进化，正如材料2的警示："这是组建分布式后门设备网络的秘密行动"。而Sift的成功检测则昭示着新防御范式的崛起——当人类分析师无法从230亿条流量中发现30次异常请求时，AI驱动的深度威胁建模成为最后防线。

您的路由器指示灯仍在黑暗中闪烁，那规律的光芒可能是数据传输的脉搏，也可能是僵尸网络的心跳。此刻的行动选择，将决定它是守护家庭的哨兵，还是刺向数字世界的毒刃。

原文始发于微信公众号（网空闲话plus）：幽灵后门：AI工具Sift揭开华硕路由器的隐秘僵尸网络陷阱