网络安全研究人员发现一种名为AyySSHush的新型隐蔽僵尸网络正在全球范围内针对华硕路由器发起攻击。该僵尸网络最早由GreyNoise在2025年3月发现,随后被Censys持续追踪,其通过滥用路由器合法功能建立长期控制,使得检测和修复变得极其困难。
固件级持久化攻击
AyySSHush僵尸网络采用多阶段攻击链,通过华硕AiProtection系统(原本用于保护用户的安全功能)实施入侵。攻击者通过官方配置界面注入恶意SSH公钥,从而获得持久访问权限,甚至能在固件更新后继续保持控制,某些情况下连恢复出厂设置也无法清除。
Censys报告指出:"AyySSHush通过多阶段攻击序列滥用可信固件功能,在路由器上建立后门并跨越固件更新保持持久性。"这种手法体现了"寄生固件"(living off the firmware)的新趋势——攻击者通过操纵厂商认可的机制来维持隐蔽性和韧性。
三阶段攻击剖析
-
初始入侵:利用弱凭证或旧版认证绕过漏洞(如login.cgi)
-
命令注入:通过CVE-2023-39780漏洞利用AiProtection_HomeProtection.asp功能注入命令
-
SSH后门安装:在TCP/53282端口启用SSH访问并将密钥注入authorized_keys文件
报告特别警告:"由于SSH密钥是通过路由器官方配置界面添加的,它会在固件更新时被保留。"这种策略性滥用意味着,除非管理员主动检查特定文件或端口,否则许多受感染路由器不会显示任何异常迹象。
全球感染态势
截至2025年5月28日,Censys已发现4,504台受感染的华硕路由器,受害者主要分布在美国、瑞典、台湾地区、新加坡和香港地区。HINET、MobileOne、HKT、Telia、Comcast和Charter等住宅ISP用户的设备受影响最为严重。
-
-
-
近期回落至4,504台——可能与安全披露或僵尸网络重新配置有关
Censys强调:"尽管近期出现大幅下降,但仍有数千台潜在受感染主机在线,表明这是一个成熟且具有韧性的僵尸网络基础设施。"
防御建议
-
使用Censys提供的查询工具,通过检测TCP 53282端口和ASUS品牌设备识别暴露的路由器
-
-
-
研究人员特别提醒:"即使是主动升级路由器固件的用户也可能在不知情的情况下持续遭受入侵。"这种针对住宅网络基础设施的攻击策略,使得僵尸网络能够利用住宅IP相对可信的特性,有效规避基于IP的检测系统,非常适合用于构建分布式代理基础设施和匿名恶意活动。
参考来源:
AyySSHush: New Stealthy Botnet Backdoors ASUS Routers, Persists Through Firmware Updates
https://securityonline.info/ayysshush-new-stealthy-botnet-backdoors-asus-routers-persists-through-firmware-updates/
电台讨论![华硕路由器遭新型僵尸网络入侵,固件更新也无法清除持久化攻击]( "华硕路由器遭新型僵尸网络入侵,固件更新也无法清除持久化攻击")
原文始发于微信公众号(FreeBuf):华硕路由器遭新型僵尸网络入侵,固件更新也无法清除持久化攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4124441.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论