安全研究人員近日披露了一個由約1.4萬台路由器及網路設備構成的殭屍網路,其中以Asus品牌設備居多。這些被攻陷的設備被納入一個匿名代理網路,專門為網路犯罪活動傳輸流量。該殭屍網路因具備極強的抗清除能力,正引發安全業界的高度關注。
該惡意軟體被命名為KadNap,由安全公司Lumen旗下Black Lotus Labs的研究員Chris Formosa發現。KadNap通過利用用戶未及時修補的設備漏洞進行滲透,Asus路由器之所以成為重災區,極可能是因為攻擊者掌握了專門針對這些型號漏洞的可靠利用手段。研究人員表示,此次攻擊行動中使用零日漏洞的可能性較低。
受感染的路由器數量目前日均約為1.4萬台,較去年8月Black Lotus首次發現該殭屍網路時的1萬台進一步增加。受感染設備主要集中在美國,台灣、香港和俄羅斯也有少量分布。
KadNap最突出的特徵在於其採用了基於Kademlia協議的複雜點對點(P2P)架構。Kademlia是一種利用分布式哈希表(DHT)隱藏指揮控制伺服器IP位址的網路結構,使殭屍網路得以有效規避傳統檢測和清除手段。
Black Lotus研究員Chris Formosa與Steve Rudd在最新報告中指出:"KadNap殭屍網路在支持匿名代理的同類威脅中尤為突出,其使用點對點網路實現去中心化控制的方式十分罕見。攻擊者的意圖十分明確:躲避檢測,並讓防禦方難以採取有效防護措施。"
分布式哈希表技術由來已久,BitTorrent和星際文件系統(IPFS)均有採用。與依賴集中式伺服器統一管控節點的傳統架構不同,DHT允許任意節點向其他節點查詢所需設備或伺服器的資訊,從而形成去中心化結構,極大提升了網路對清除行動和拒絕服務攻擊的抵抗能力。
Kademlia採用160位地址空間,分別為"鍵"(由數據哈希生成的唯一比特串)和"節點ID"進行標識,每個節點均同時擁有兩者。節點按照與自身ID的相似度儲存其他節點的鍵值,距離通過XOR運算進行度量。當某節點發起查詢時,系統會不斷尋找與目標鍵距離最近的節點,直至找到精確匹配。KadNap作為Kademlia的變體,通過BitTorrent節點獲取待查詢的鍵值。
Formosa對此進行了形象解釋:DHT的工作原理是讓你一步步接近目標。首先聯繫幾個入口BitTorrent節點並詢問:"我有一個密鑰,誰來接收?"這些節點會回應說:"我對這個密鑰有些印象,這裡有幾個可能了解它的節點。"如此循環,最終找到能夠識別該密鑰的節點,並由該節點下發兩個文件:一個用於隱藏22號埠的防火牆規則,另一個包含目標C2伺服器地址。
儘管KadNap對常規清除手段具有較強抵禦能力,Black Lotus表示已研發出一套可攔截所有往返於該控制基礎設施流量的方案,並已將相關入侵指標(IoC)向公開情報平台分發,以協助各方機構進行防禦攔截。
Q&A
Q1:KadNap惡意軟體是如何感染路由器的?
A:KadNap通過利用用戶未及時修補的路由器及網路設備漏洞進行滲透,並不依賴零日漏洞。Asus路由器之所以感染數量最多,可能是因為攻擊者掌握了專門針對該品牌特定型號的可靠漏洞利用手段。一旦設備被感染,就會被納入匿名代理網路,成為網路犯罪活動的流量中轉節點。
Q2:KadNap殭屍網路為什麼難以清除?
A:KadNap採用基於Kademlia協議的點對點分布式哈希表架構,不依賴集中式指揮控制伺服器。這種去中心化設計使得攻擊者能夠隱藏C2伺服器的真實IP位址,傳統的伺服器封鎖或節點切斷等清除手段對其效果有限。理論上,只有斷開所有連接節點才能徹底癱瘓該網路。
Q3:針對KadNap目前有哪些防禦措施?
A:安全公司Lumen旗下的Black Lotus Labs已研發出可攔截所有往返於KadNap控制基礎設施流量的方案,並已將相關入侵指標(IoC)向公開情報平台分發,協助其他機構進行防禦攔截。用戶層面最有效的預防措施是及時為路由器等網路設備安裝最新安全補丁,避免因未修補的已知漏洞被攻擊者利用。
