数千台路由器被基于 Kademlia 的弹性僵尸网络感染
研究人员发现了一个由 14,000 个华硕路由器组成的僵尸网络,该僵尸网络利用 Kademlia 协议来抵制攻击并为网络犯罪活动提供支持。
研究人员发现了一个由 14,000 个路由器和其他网络设备(主要由华硕制造)组成的抗击倒僵尸网络,这些设备已被征召入用于网络犯罪的代理网络。
据安全公司 Lumen's Black Lotus Labs 的研究员 Chris Formosa 称,这种名为 KadNap 的恶意软件通过利用其所有者未修补的漏洞来进行控制。华硕路由器的高度集中可能是由于僵尸网络运营商获得了对影响这些模型的漏洞的可靠利用,尽管 Formosa 表示攻击者不太可能在操作中使用任何零日漏洞。
受感染路由器的数量平均每天约为 14,000 个,高于去年 8 月 Black Lotus 发现僵尸网络时的 10,000 个。受感染的设备绝大多数位于美国,台湾、香港和俄罗斯也有少量设备。
KadNap 最显着的特点之一是其基于 Kademlia 的复杂点对点设计,这是一种使用分布式哈希表隐藏命令和控制服务器 IP 地址的网络结构。这种设计使僵尸网络能够抵抗传统方法的检测和删除。
Kademlia 是一种去中心化的点对点协议,它允许僵尸网络在不依赖中央命令和控制服务器的情况下运行。这使得安全研究人员和执法部门更难通过摧毁中心控制点来破坏僵尸网络的运行。
KadNap 基于 Kademlia 的架构还有助于匿名化流经受感染路由器的流量,从而难以将网络犯罪活动的起源追溯到僵尸网络的运营商。这使得僵尸网络成为各种非法在线活动的宝贵资源,从垃圾邮件和DDoS 攻击到托管网络钓鱼网站和其他恶意内容。
据 Formosa 称,KadNap 僵尸网络因其规模、弹性和底层架构的复杂性而在其他恶意软件威胁中脱颖而出。 Black Lotus Labs 的研究人员正在继续监控僵尸网络的活动,并与行业合作伙伴合作,减轻其造成的威胁。
来源: Ars Technica
