【風險通告】Zerobot 殭屍網路利用多個IoT 漏洞進行傳播

0x00 事件概述

11 月，FortiGuard Labs發現一個用 Go 語言編寫的殭屍網路Zerobot正在通過IoT 漏洞進行傳播。

0x01 風險詳情

Zerobot惡意軟體的目的是將受感染的設備添加到分散式拒絕服務 (DDoS) 殭屍網路中，以對指定目標發起攻擊。FortiGuard Labs表示，自11月以來，他們發現了Zerobot的一個新版本，其中包含額外的模組，並利用了新的漏洞，表明該惡意軟體正在積極開發中。

該惡意軟體可以針對一系列系統架構和設備，包括 i386、AMD64、ARM、ARM64、MIPS、MIPS64、MIPS64le、MIPSle、PPC64、PPC64le、RISC64 和S390x。

該惡意軟體還利用了F5 BIG-IP、Zyxel 防火牆、Totolink和 D-Link 路由器以及 Hikvision 攝像頭等多種設備中的21個漏洞，並利用這些漏洞獲得對設備的訪問：

CVE-2014-08361：Realtek SDK 中的 miniigd SOAP 服務
CVE-2017-17106：Zivif PR115-204-P-RS 網路攝像頭
CVE-2017-17215：華為HG523路由器
CVE-2018-12613：phpMyAdmin
CVE-2020-10987：Tenda AC15 AC1900路由器
CVE-2020-25506：D-Link DNS-320 NAS
CVE-2021-35395：Realtek Jungle SDK
CVE-2021-36260：海康威視產品
CVE-2021-46422：Telesquare SDT-CW3B1 路由器
CVE-2022-01388：F5 BIG-IP
CVE-2022-22965：Spring MVC 和 Spring WebFlux (Spring4Shell)
CVE-2022-25075：TOTOLink A3000RU 路由器
CVE-2022-26186：TOTOLink N600R 路由器
CVE-2022-26210：TOTOLink A830R 路由器
CVE-2022-30525：Zyxel USG Flex 100(W) 防火牆
CVE-2022-34538：MEGApix IP 攝像機
CVE-2022-37061：FLIX AX8 熱傳感器攝像頭
4個未分配CVE的漏洞（其中兩個針對 GPON 終端和 D-Link 路由器）

然後它下載一個名為「zero」的腳本，這使它能夠自我傳播。

獲取zero腳本以啟用傳播（來源：Fortinet）

在被攻擊的設備上獲得初始訪問後，Zerobot會設置一個WebSocket連接到命令和控制（C2）伺服器，併發送一些關於受害者的基本資訊。

C2 可能會響應以下命令之一：

ping – 心跳，保持連接
attack – 針對不同的協議發起攻擊：TCP、UDP、TLS、HTTP、ICMP
stop – 停止攻擊
update – 安裝更新並重啟 Zerobot
enable_scan – 掃描開放埠並開始通過漏洞利用或 SSH/Telnet 破解程序進行自我傳播
disable_scan – 禁用掃描
command – 運行作業系統命令，在 Windows 上運行 cmd，在 Linux 上運行bash
kill – 終止殭屍網路程序

該惡意軟體還使用一個anti-kill （反殺）模組，旨在防止終止或結束其進程。

0x02 安全建議

Zerobot 是一種用 Go 語言編寫的新型殭屍網路，它通過 WebSocket 協議進行通訊。它於 11 月 18 日首次出現，並通過多個IoT 漏洞進行傳播。在短時間內，該惡意軟體更新了字串混淆、複製檔案模組和傳播利用模組，這使它感染能力更強且更難被檢測。使用者應該意識到這一新威脅，積極防範網路和系統中的安全漏洞，並在補丁可用時及時應用補丁。

其它建議：