近一年来,一名威胁参与者利用零日漏洞在Tenda路由器上安装恶意软件,并构建所谓的物联网僵尸网络。
命名为Ttint,这个僵尸网络首先在a报告由Netlab于周五发布,中国科技巨头奇虎360的网络安全部门。
但与过去发现的无数同类物联网僵尸网络不同,Netlab的研究人员表示,Ttint在几个层面上是不同的。
它不仅感染设备来执行DDoS攻击,还对受感染的路由器实施了12种不同的远程访问方法路由器作为中继流量的代理,篡改了路由器的防火墙和DNS设置,甚至让攻击者能够在受感染的设备上执行远程命令。
“两个零天,12个路由器远程访问功能,加密的流量协议,以及移动的基础设施[…]。这个僵尸网络似乎不是一个非常典型的玩家,”Netlab在周五说。
根据该公司的报告,僵尸网络似乎是在去年,即2019年11月部署的,当Netlab说它检测到Ttint滥用其第一个Tenda zero day来接管易受攻击的路由器时。
僵尸网络继续利用这一零日(跟踪记录为CVE-2020-10987),直到2020年7月,独立安全评估公司的初级安全分析师Sanjana Sarda,发布了关于该漏洞和其他四个漏洞的详细报告。
Tenda没有发布固件补丁来解决Sarda的发现,但是,Ttint的运营商并没有等着看供应商以后是否会修补它的缺陷,Netlab表示,它检测到Ttint在同一台Tenda路由器上滥用了第二个零日。
Netlab没有公布这一零日的细节,担心其他僵尸网络也会开始报告它;然而,这也没有修补,即使Netlab的研究人员说他们联系了Tenda通知公司。
Netlab表示,任何运行AC9到AC18固件版本的Tenda路由器都被认为是易受攻击的。由于Ttint已经被发现在被感染的路由器上更改DNS设置,最有可能将用户重定向到恶意站点,因此不建议使用这些路由器。
Tenda路由器的所有者如果想知道他们是否在使用易受攻击的路由器,可以在路由器的管理面板中找到固件版本信息。
但滥用零天的物联网僵尸网络和延迟补丁的供应商在2020年并不是什么新鲜事。关于Ttint的其他细节引起了Netlab的注意,但也引起了Radware研究人员的兴趣,ZDNet要求他们审阅报告,Ttint是基于Mirai,一个IoT恶意软件家族,于2016年在线泄露。自从它在网上被泄露后,已经有无数的僵尸网络是这个原始代码库的分支。
每个僵尸网络运营商都试图创新并添加一些不同的东西,但Ttint似乎从每个僵尸网络中借鉴了一些东西,构建了一个比以前任何时候都复杂的Mirai版本。
“没有什么真正的新东西“被这个机器人使用,我们在其他物联网或Linux恶意软件中还没有见过,”Pascal Geenens说,他是雷达软件
”也就是说,以新的方式结合其功能,并引入C2协议来调整和重新配置bot以创建灵活的远程访问工具,这是物联网恶意软件的新功能。“
![](”“class=“lazy”alt=“ttint-代码.png")
“真正的瑞士军刀Windows RAT工具已经存在了一段时间。IoT从未真正赶上Windows恶意软件的广度和深度,除了VPNfilter和现在的Ttint,”Geenens说。
“Ttint可能标志着通用技术成熟的开始IoT恶意软件和更广泛的杠杆作用在更复杂的活动,”Radware安全宣传员告诉ZDNet。
