安全研究人员近日披露了一个由约1.4万台路由器及网络设备构成的僵尸网络,其中以Asus品牌设备居多。这些被攻陷的设备被纳入一个匿名代理网络,专门为网络犯罪活动传输流量。该僵尸网络因具备极强的抗清除能力,正引发安全业界的高度关注。
该恶意软件被命名为KadNap,由安全公司Lumen旗下Black Lotus Labs的研究员Chris Formosa发现。KadNap通过利用用户未及时修补的设备漏洞进行渗透,Asus路由器之所以成为重灾区,极可能是因为攻击者掌握了专门针对这些型号漏洞的可靠利用手段。研究人员表示,此次攻击行动中使用零日漏洞的可能性较低。
受感染的路由器数量目前日均约为1.4万台,较去年8月Black Lotus首次发现该僵尸网络时的1万台进一步增加。受感染设备主要集中在美国,台湾、香港和俄罗斯也有少量分布。
KadNap最突出的特征在于其采用了基于Kademlia协议的复杂点对点(P2P)架构。Kademlia是一种利用分布式哈希表(DHT)隐藏指挥控制服务器IP地址的网络结构,使僵尸网络得以有效规避传统检测和清除手段。
Black Lotus研究员Chris Formosa与Steve Rudd在最新报告中指出:"KadNap僵尸网络在支持匿名代理的同类威胁中尤为突出,其使用点对点网络实现去中心化控制的方式十分罕见。攻击者的意图十分明确:躲避检测,并让防御方难以采取有效防护措施。"
分布式哈希表技术由来已久,BitTorrent和星际文件系统(IPFS)均有采用。与依赖集中式服务器统一管控节点的传统架构不同,DHT允许任意节点向其他节点查询所需设备或服务器的信息,从而形成去中心化结构,极大提升了网络对清除行动和拒绝服务攻击的抵抗能力。
Kademlia采用160位地址空间,分别为"键"(由数据哈希生成的唯一比特串)和"节点ID"进行标识,每个节点均同时拥有两者。节点按照与自身ID的相似度存储其他节点的键值,距离通过XOR运算进行度量。当某节点发起查询时,系统会不断寻找与目标键距离最近的节点,直至找到精确匹配。KadNap作为Kademlia的变体,通过BitTorrent节点获取待查询的键值。
Formosa对此进行了形象解释:DHT的工作原理是让你一步步接近目标。首先联系几个入口BitTorrent节点并询问:"我有一个密钥,谁来接收?"这些节点会回应说:"我对这个密钥有些印象,这里有几个可能了解它的节点。"如此循环,最终找到能够识别该密钥的节点,并由该节点下发两个文件:一个用于屏蔽22号端口的防火墙规则,另一个包含目标C2服务器地址。
尽管KadNap对常规清除手段具有较强抵御能力,Black Lotus表示已研发出一套可拦截所有往返于该控制基础设施流量的方案,并已将相关入侵指标(IoC)向公开情报平台分发,以协助各方机构进行防御拦截。
Q&A
Q1:KadNap恶意软件是如何感染路由器的?
A:KadNap通过利用用户未及时修补的路由器及网络设备漏洞进行渗透,并不依赖零日漏洞。Asus路由器之所以感染数量最多,可能是因为攻击者掌握了专门针对该品牌特定型号的可靠漏洞利用手段。一旦设备被感染,就会被纳入匿名代理网络,成为网络犯罪活动的流量中转节点。
Q2:KadNap僵尸网络为什么难以清除?
A:KadNap采用基于Kademlia协议的点对点分布式哈希表架构,不依赖集中式指挥控制服务器。这种去中心化设计使得攻击者能够隐藏C2服务器的真实IP地址,传统的服务器封锁或节点切断等清除手段对其效果有限。理论上,只有断开所有连接节点才能彻底瘫痪该网络。
Q3:针对KadNap目前有哪些防御措施?
A:安全公司Lumen旗下的Black Lotus Labs已研发出可拦截所有往返于KadNap控制基础设施流量的方案,并已将相关入侵指标(IoC)向公开情报平台分发,协助其他机构进行防御拦截。用户层面最有效的预防措施是及时为路由器等网络设备安装最新安全补丁,避免因未修补的已知漏洞被攻击者利用。
热门跟贴