僵尸網絡活動激增
近日,研究人員揭露了一個新型僵尸網絡——RondoDox,它活躍地利用 TBK 數碼錄像機(DVR)和 Four-Faith 路由器的已知漏洞來接管基於 Linux 的設備。這些設備通常部署在零售、倉庫或小型辦公室環境中,因長期未修補而成為攻擊的易受害者。
漏洞利用詳情
RondoDox 利用以下漏洞感染設備:
- CVE-2024-3721:TBK DVR-4104 和 DVR-4216 的命令注入漏洞
- CVE-2024-12856:Four-Faith F3x24 和 F3x36 路由器的操作系統命令注入漏洞
這些漏洞此前已被 Mirai 變體利用,因設備普遍暴露且缺乏維護,仍然構成現實風險。
RondoDox 的運作機制
該惡意軟體通過 shell 腳本分發,過程包括:
- 檢測 CPU 架構(支持 ARM、MIPS、x86、PowerPC 等)
- 檢查可寫目錄(如 /var/tmp, /mnt, /dev 等)
- 忽略終止信號(SIGINT, SIGQUIT, SIGTERM)
- 下載並執行負載
- 清空 shell 歷史以隱藏活動
一旦安裝,該惡意軟體會確保持久性並主動終止:
- 網絡工具(如 wget, curl)
- 分析工具(如 gdb, Wireshark)
- 競爭惡意軟體進程(如挖礦器或 Redtail 變體)
它甚至將關鍵 Linux 二進制文件如 iptables, ufw 和 shutdown 重命名為隨機字符串,使恢復和補救更加困難。
DDoS 和代理基礎設施
RondoDox 通過 C2 伺服器接收 HTTP、UDP 和 TCP 的 DDoS 攻擊命令。此外,它能偽裝成遊戲、VPN 或聊天流量,以便與合法使用混淆以避免檢測。這包括模擬來自 Valve、Roblox、Fortnite、GTA、Discord、WireGuard 和 OpenVPN 的流量模式。
更多關於僵尸網絡的信息
要了解像 RondoDox 這樣的威脅如何適應更廣泛的生態系統,請參閱我們的基礎文章:
FastNetMon 的觀點
RondoDox 是僵尸網絡設計走向的強力範例:跨架構、以隱蔽性為導向且多功能。攻擊者不再僅僅滿足於 DDoS,他們正在建立長期的基礎設施以支持欺詐、隧道和高級攻擊策劃。
FastNetMon 持續密切追蹤這些威脅。我們的即時網絡分析和異常檢測可幫助識別和減輕異常流量,即使它偽裝成合法流量。
關於 FastNetMon
FastNetMon 是領先的網絡安全解決方案,提供先進的 DDoS 檢測和緩解方案。通過即時分析和快速反應能力,FastNetMon 幫助組織保護其基礎設施免受不斷演變的網絡威脅。
如需更多信息,請訪問 FastNetMon 官方網站。