近一年来,威胁行动者一直在使用零时差漏洞在Tenda路由器上安装恶意软件,并构建所谓的IoT(物联网)僵尸网络。
Netbot 是中国科技巨头奇虎360的网络安全部门,上周五在一份报告中首次详细介绍了这个名为 Ttint的僵尸网络 。
但是与过去发现的无数种物联网僵尸网络不同,Netlab研究人员表示,Ttint在几个层面上是不同的。
它不仅感染设备以执行DDoS攻击,而且还对受感染的路由器实施了12种不同的远程访问方法,使用路由器作为代理来中继流量,篡改了路由器的防火墙和DNS设置,甚至使攻击者能够在受感染的设备上执行远程命令。
Netlab上周五说:“路由器具有两个零时区,12个远程访问功能,加密的流量协议和随处可移动的基础结构。该僵尸网络似乎并不是一个非常典型的参与者。”
两个零天,均未修补
根据该公司的报告,僵尸网络似乎已于去年(2019年11月)部署,当时Netlab表示它检测到Ttint滥用其第一个Tenda零时制来接管易受攻击的路由器。
僵尸网络继续利用这个零日漏洞(跟踪为CVE-2020-10987),直到2020年7月,那时独立安全评估员的初级安全分析师Sanjana Sarda 发表了 有关该漏洞以及其他四项漏洞的详细报告。
Tenda并没有发布固件补丁来解决Sarda的发现,但是Ttint运营商并没有等待发现供应商以后是否会修补其错误。
几周后,Netlab表示,它检测到Ttint在同一Tenda路由器中滥用第二个零日时间。
Netlab并未发布有关零日差的详细信息,担心其他僵尸网络也将开始报告该零日。但是,即使Netlab研究人员表示他们已与Tenda联络以告知该公司,也没有对此进行修补。
Netlab表示,任何在AC9至AC18之间运行固件版本的Tenda路由器均被视为易受攻击。由于已经看到Ttint更改了受感染路由器上的DNS设置,因此最不建议将用户重定向到恶意站点,因此不建议使用这些路由器之一。
想要知道自己是否使用了易受攻击的路由器的Tenda路由器所有者可以在路由器的管理面板中找到固件版本信息。
在MIRAI的基础上,又扩展了
但是在2020年这一点上,滥用零日的IoT僵尸网络和延迟补丁的供应商在2020年并不是什么新鲜事。还有其他有关Ttint的细节吸引了Netlab的注意,但Radware研究人员的兴趣吸引了ZDNet要求对其进行审查那个报告。
在后台,Ttint建立在Mirai上,后者是 IoT恶意软件家族,该家族于2016年在网上泄露。自从它在网上泄露以来,已经有无数僵尸网络脱离了此原始代码库。
每个僵尸网络运营商都试图进行创新并添加一些不同的东西,但是Ttint似乎已经从每个僵尸网络借用了一些东西,以构建比以前更复杂的Mirai版本。
Radware的网络安全宣传员Pascal Geenens说:“该机器人没有使用其他任何物联网或Linux恶意软件中真正的新东西 。”
“也就是说,以新的方式结合其功能并引入C2协议以适应和重新配置该机器人以创建灵活的远程访问工具,这对于IoT恶意软件来说是全新的。”
Geenens说:“作为真正的瑞士军刀的Windows RAT工具已经存在了一段时间。除了VPNfilter 和现在的Ttint之外,IoT从未真正赶上Windows恶意软件的广度和深度 。”
Radware安全宣传员告诉ZDNet:“ Ttint可能标志着一般的IoT恶意软件日趋成熟,并在更复杂的活动中发挥更大的作用。”
