標籤: 殭屍網路

一項的新研究發現，華碩設備成為了俄羅斯國家級駭客製作的Cyclops Blink殭屍網路的目標，專家至少從 2019 年 6 月開始觀察到 Cyclops Blink 殭屍網路的存在，認為Cyclops Blink和俄羅斯國家駭客組織Sandworm或Voodoo Bear有關，根據英國國家網路安全中心 (NCSC) 進行的分析，Cyclops Blink 是一種進階模組化的殭屍網路，擁有150多個C&C伺服器組成的龐大網路，英國和美國政府在 2 月下旬提出警告，表示網路安全供應商 WatchGuard 的設備受到攻擊並被用作殭屍網路基礎設施。今根據Trend Micro研究報告，Cyclops Blink瞄準並感染華碩的路由器，利用命令及控制（Command and Control，CnC）的攻擊基本元素感染受害者並將他們帶入更大的殭屍網路，Cyclops Blink 的作用是為設備上的威脅參與者建立持久性，使駭客能遠端控制受感染的網路。

Trend Micro警告說，該惡意軟體具有一個專門針對多個華碩路由器的模組，允許惡意軟體讀取快閃記憶體(Flash Memory)以收集有關關鍵檔案、可執行檔案、數據庫的資料，然後惡意軟體會接收到嵌套在快閃記憶體中並建立永久持久性(persistence)的命令，即使恢復設定(factory reset)也不會擦除該存儲空間。

華碩在 3 月 17 日發布的安全公告中，表示它確認有多個路由器型號容易受到與俄羅斯有關Cyclops Blink 惡意軟體的威脅，目前正在調查並致力於修補，該公告還包括受影響的路由器清單以及建議的緩解措施。WatchGuard 在 2 月份亦發布了類似的公告。

華碩受影響的產品清單如下：

GT-AC5300 firmware under 3.0.0.4.386.xxxx

GT-AC2900 firmware under 3.0.0.4.386.xxxx

RT-AC5300 firmware under 3.0.0.4.386.xxxx

RT-AC88U firmware under 3.0.0.4.386.xxxx

RT-AC3100 firmware under 3.0.0.4.386.xxxx

RT-AC86U firmware under 3.0.0.4.386.xxxx

RT-AC68U, AC68R, AC68W, AC68P firmware under 3.0.0.4.386.xxxx

RT-AC66U_B1 firmware under 3.0.0.4.386.xxxx

RT-AC3200 firmware under 3.0.0.4.386.xxxx

RT-AC2900 firmware under 3.0.0.4.386.xxxx

RT-AC1900P, RT-AC1900P firmware under 3.0.0.4.386.xxxx

RT-AC87U (EOL)

RT-AC66U (EOL)

RT-AC56U (EOL)

目前，華碩尚未發布新的韌體更新以防止Cyclops Blink，但已發布以下可用於保護設備的緩解措施：

*將設備重置為出廠default設定：登錄 Web GUI，進入管理 → 恢復/保存/上傳設置，點擊“初始化所有設定並清除所有數據日誌”，然後點擊“恢復”按鈕。

*更新到最新的可用韌體。

*確保default 管理員密碼已更改為更安全的密碼。

*關閉遠端管理（預設為關閉，只能通過進階設定啟用）。

*如果您使用停產的三種型號中的任何一種，請注意這些型號不再受支援，因此不會收到韌體安全更新。在這種情況下，建議您更換新設備。

有關Cyclops Blink的部分入侵指標(Indicator of compromise -IOCs):

SHA 256:

ccae8f66ef880ac02b9affdeaca07a7ddb9428b4f683fd55b35ea3ec20ead5ca

7923585e8e6117eb6b3fb4a12871bc31b81d54a7ed297927bf72715c45c41da6

IPv4: 96.80.68.197

IPv4: 96.80.68.196

一個大型殭屍網路重新浮出水面，並準備對世界各地的系統造成損害，根據Akamai 的研究人員表示，在低調 16 個月後，被稱為 FritzFrog 的殭屍網路又度回歸，擁有新的功能及比以往更高的傳播力，大幅度的感染受害機器，據悉其傳播力增長了約10 倍之多， 並以攻擊醫療保健、教育和政府系統為目標。

FritzFrog是一個採用點對點(P2P) 網路的設計，不需仰賴 C&C 伺服器，以Golang語言編寫的殭屍網路，FritzFrog於 2020 年 8 月由 Guardicore首次記錄，說明了該殭屍網路自當年 1 月以來攻擊和感染橫跨歐洲和美國的 500 多台伺服器的能力，當時也發現，大量感染機器集中在中國。但由於不明原因，

FritzFrog殭屍網路的活動在當年年底突然間停止。

在今天一份最新的報告中，Akamai 表示，FritzFrog現在已經全面回歸，改進了程式碼和發起的攻擊比比2020 年時更加激烈，雖然FritzFrog仍然依靠SSH暴力攻擊來感染新系統，並且仍然使用點對點（P2P）架構來控制受感染的主機，但也進行了一些改進，例如：

*增加對Tor的 proxy網路的支援以掩蓋暴力攻擊

*使用SCP協定將自己複製到入侵系統內

*合併黑名單系統以排除某些伺服器免受感染

*以及添加程式碼，以殭屍網路攻擊WordPress網站等。

另外，一旦伺服器被FritzFrog感染，攻擊者將使用存取權限來挖礦門羅幣(Monero)加密貨幣。Akamai 表示，在這一波攻擊中其系統已檢測到 24,000 次攻擊，目前每天發生大約 500 起與 FritzFrog 相關的事件，並已確認有1,500 多個系統受FritzFrog殭屍網路感染了。Akamai進一步說，受感染的系統是來自屬於各種規模和部門的組織的伺服器，包括在歐洲的電視頻道網路、俄羅斯醫療設備製造商和東亞的多所大學中發現了受感染的機器。

Akamai 補充說，大約 37% 的受感染節點位於中國，但受害者也分佈在世界各地，表明這種傳播是隨機的。另根據研究人員發現的其他線索，他們目前認為 操作FritzFrog殭屍網路的駭客組織可能位於中國或試圖偽裝成居住在中國。

請參考以下防禦技巧來保護系統；

*啟用帶有警報的系統登錄審核

*監控 Linux 上authorized_hosts 的檔案

*配置顯式 SSH 登錄的允許清單

*禁用 root SSH存取

*啟用基於雲的 DNS 保護，以阻止威脅和不相關的業務應用程式（如加密貨幣挖礦設置為阻擋）

有關FritzFrog殭屍網路的部分入侵指標(Indicator of compromise -IOCs):

URL:

http://192.115.164.0

IPv4:

98.14.171.84

96.57.208.2

Domain:

files.md

SHA 256:

f453c851e560a80d90cd16e9f6106f63bb5fa379475ddeb2bd7f47bd17e8ae59

e12c8e17fce9af1ace54d3569fb8adb12aa9950c68cc1329a2977ded9050b87f

d9e8d9187fdd5a6682cc3b55076fe48bc8743487eb4731f669a7d591d3015ce5

d1e82d4a37959a9e6b661e31b8c8c6d2813c93ac92508a2771b2491b04ea2485

bb567e390df119c84eb8687bf260bb746c713d1d37f787e78f04ff5b4ccb3807

985ffee662969825146d1b465d068ea4f5f01990d13827511415fd497cf9db86

SHA1:

f93772038406f28fa4ca1cfb23349193562414b2

f3aff7e1c44d21508eb60797211570c84a53597a

ee5db9590090efd5549e1c17ec1ee956ef1ed3d1

da090fd76b2d92320cf7e55666bb5bd8f50796c9

d7df26bf57530c0475247b0f3335e5d19d9cb30d