“它不是在比规模,而是在比变化速度。”奇安信XLab的研究人员这样描述一个从2026年2月起就被盯上的恶意软件家族——RustDuck。这个两阶段式的僵尸网络正钻进家用路由器、IP摄像头、安卓电视盒和防护薄弱的服务器,把它们编织成一支专门发动分布式拒绝服务攻击的隐形大军。
RustDuck进入的门道不算新奇。第一种途径依赖最古老的脚本:Telnet和SSH服务上那些没改过的默认密码或弱口令,猜中了就能径直登堂入室。第二种途径瞄准没打补丁的设备漏洞,XLab观察到它反复攻击暴露在公网的安卓调试接口,以及TVT、锐捷、TP-Link、中兴等设备中的已知缺陷,还有一长串编号虽旧、危害依存的历史漏洞。
在这些久未修补的漏洞里,有的是2017年就被Mirai类僵尸网络享用过的CVE-2017-17215——华为HG532路由器上的远程代码执行漏洞。也有直到2026年3月才被Akamai发现遭Mirai变种利用的D-Link DIR-823X命令注入漏洞(CVE-2025-29635),美国网络安全局次月就把它挂上了已知被利用漏洞黑名单。此外还有Totolink X6000R路由器的命令注入(CVE-2024-1781),厂商对漏洞披露毫无回应;以及Apache CouchDB中一条能够被认证管理员滥用的远程代码执行路径CVE-2018-8007。
第三种传播路径则把手伸向Web软件层。RustDuck盯上了ThinkPHP、Jenkins和Hadoop YARN中的已知漏洞,这让它的猎场从廉价家用硬件一路扩展到直接暴露在互联网上的服务器软件。XLab统计到超过20个用于散播该恶意软件的IP地址,其中最活跃的那个落脚在176.65.139[.]204。
传染过程分成两步:先是一个轻量的加载器潜入设备,接着解密并释放出更沉重的核心模块。那个核心模块才是真正藏有精妙工程的地方,也是被开发团队用Rust重写的部分。对分析人员来说,Rust编译出的二进制文件通常比设备恶意软件用了多年的C语言难拆解得多。XLab分析后认为,RustDuck的Rust核心在密钥派生、分析规避和与服务器通信的方式上都表现出相当深的功力,这背后不是简单给泄露代码换套皮,而是活跃的持续开发。
更让安全团队头疼的是,新版样本在真正动手之前会先跑一遍“踩点”清单,以此判断自己是不是落进了安全研究人员的实验室,而不是真实受害者的设备上。它会搜罗Wireshark和gdb之类分析工具的痕迹,并检查自身进程上是否挂了调试器。一切迹象都指向同一个事实:这个以DDoS为终极目标的僵尸网络,正在把躲避研究变成一门精细的手艺。
热门跟贴