新型 AyySSHush 僵尸网络入侵超 9000 台华硕路由器,植入顽固 SSH 后门
近日,安全公司 GreyNoise 的研究人员发出警告,一种名为 AyySSHush 的新型僵尸网络正悄然肆虐,目前已经成功入侵了超过 9000 台华硕路由器,并在这些设备中植入了一种极为顽固的 SSH 后门程序。这一发现犹如一颗重磅炸弹,在网络安全领域掀起了轩然大波。
GreyNoise 公司运用他们自主研发的一款名为 SIFT 的人工智能网络流量分析工具,在日常监测中 “零费力” 就捕捉到了多个异常的网络负载。这些负载试图禁用华硕路由器中的趋势科技安全功能,进而利用华硕 AiProtection 功能中的漏洞和一些新的攻击手段展开攻击。从技术层面来讲,攻击者利用这些手段,就像是在黑暗中找到了一扇未上锁的门,得以长驱直入用户的路由器系统。
早在 2025 年 3 月 18 日,GreyNoise 就察觉到了这场隐秘的攻击行动。攻击者采用了极为隐蔽的策略,通过诸如绕过认证以及滥用合法设置等手段,成功获取了数千台暴露在互联网上的华硕路由器的长期控制权。令人担忧的是,即使路由器进行了重启或者固件更新,攻击者依然能够牢牢掌控这些设备,这种 “打不死” 的特性让用户的网络安全防线形同虚设。虽然目前尚不清楚幕后黑手究竟是谁,但从攻击手段的高超和复杂程度来看,很有可能是一个技术娴熟且资金雄厚的组织在精心策划,其目的似乎是构建一个隐蔽的僵尸网络基础设施。
GreyNoise 发布的报告中明确指出:“我们发现了一场正在进行的攻击行动,攻击者非法且持续地获取了数千台暴露在互联网上的华硕路由器的访问权限。而且,攻击者的这种访问权限在路由器重启和固件更新后依然存在,这使得他们能够对受影响的设备进行长期控制。”
经过专家们的深入观察,发现这些恶意负载仅仅针对处于出厂默认设置状态的华硕 RT - AC3100 或 RT - AC3200 型号的路由器。不仅如此,GreyNoise 还发现了一种利用华硕 RT - AX55 v3.0.0.4.386.51598 版本中存在的已认证命令注入漏洞 CVE - 2023 - 39780 的恶意负载。攻击者通过这个漏洞,可以在目标路由器上执行任意系统命令,这就好比他们在你的家里获得了一把万能钥匙,能够随心所欲地操控一切。
具体来说,攻击者利用这个命令注入漏洞,将自己的 SSH 密钥添加到路由器中,并在端口 53282 上启用访问权限。如此一来,无论路由器如何重启或者更新固件,攻击者都能通过这个 “后门” 持续访问设备。GreyNoise 发布的完整技术分析报告中提到:“这个恶意负载利用华硕路由器的内置功能,在局域网(LAN)和广域网(WAN)上启用 SSH,并将其绑定到 TCP/53282 端口,同时添加一个由攻击者控制的公钥。由于这个密钥是通过华硕的官方功能添加的,所以即使进行固件升级,该配置更改也会一直保留。也就是说,如果你之前已经遭受攻击,那么升级固件并不能清除这个 SSH 后门。”
根据 Censys 的数据显示,截至 5 月 27 日,已经有近 9000 台华硕路由器被确认遭到入侵。然而,这场攻击的隐蔽性极高,在长达三个月的时间里,研究人员仅仅观察到 30 个与之相关的请求。如此低的活动频率,就像是隐藏在黑暗中的幽灵,让人防不胜防。
为了帮助用户防范这场攻击,GreyNoise 还发布了与该僵尸网络攻击相关的四个 IP 地址清单,作为入侵指标。如果你在自己的网络活动记录中发现了这些 IP 地址,那可得千万小心了,你的路由器很可能已经成为了攻击者的目标。
球分享
球点赞
球在看
点击阅读原文查看更多
原文始发于微信公众号(看雪学苑):超9000台华硕路由器被入侵,神秘后门无法清除
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论