近日,网络安全公司 GreyNoise 发布报告称,全球已有超过 9000 台华硕路由器被一个名为“ViciousTrap”的后门程序感染。攻击者疑似正在悄悄构建一支由受控路由器组成的“僵尸网络”,但其最终目的尚不明确。
这次事件引起了广泛关注,因为它不仅利用了已知漏洞,还包含一些尚未公开或未被正式编号的安全问题,且后门具有极强的隐蔽性和持久性。
🧨 什么是 ViciousTrap?
ViciousTrap 是一种嵌入在华硕路由器中的恶意后门程序。它允许攻击者绕过正常身份验证机制,远程控制路由器设备并执行任意命令。
更令人担忧的是,该后门几乎不会留下痕迹——日志记录被禁用,系统管理员很难察觉异常行为。
🎯 攻击是如何发生的?
攻击者通过以下方式逐步入侵:
- 利用多个安全漏洞:
- 包括已修复的漏洞(如 CVE-2023-39780);
- 也包括尚未被官方记录的未知漏洞。
- 暴力破解登录凭证:
- 尝试使用默认或常见用户名和密码组合尝试进入系统。
- 植入后门:
- 利用漏洞执行命令,启用特定端口的 SSH 访问;
- 注入公钥,使攻击者能随时通过私钥远程访问设备。
- 持久化驻留:
- 后门存储在路由器的 NVRAM 中,即使重启或更新固件也不会清除;
- 这意味着一旦感染,设备将长期处于危险之中。
⚠️ 黑客的目的是什么?
目前,研究人员并未发现攻击者发动大规模攻击或其他明显恶意活动。也就是说,黑客似乎只是在“布局”阶段,他们正在默默扩大控制的设备规模,未来可能会用于:
- 分布式拒绝服务攻击(DDoS)
- 网络间谍活动
- 数据窃取或中间人攻击
- 作为跳板进一步渗透内网设备
🛡️ 华硕做了什么?
华硕已在最新的固件更新中修补了部分被利用的漏洞。然而,如果设备已经被感染,仅靠更新固件是无法彻底清除后门的。
✅ 用户该如何应对?
如果你是华硕路由器用户,请立即采取以下措施:
1. 检查是否启用了不必要的 SSH 访问
- 登录路由器管理界面;
- 前往「系统工具」→「系统设置」;
- 确认「SSH 访问」是否开启;
- 如果不是必须功能,请关闭。
2. 删除可疑的公钥
- 在路由器管理界面中,找到与 SSH 相关的配置;
- 删除所有非你自己添加的公钥。
3. 重置自定义 TCP/IP 端口设置
- 检查是否有非标准端口被启用;
- 恢复为默认值。
4. 执行出厂恢复
- 如果怀疑已被入侵,最彻底的方法是进行恢复出厂设置;
- 然后手动重新配置路由器。
5. 安装最新固件
- 前往华硕官网下载适用于你型号的最新固件;
- 手动升级以确保补丁生效。
📌 网络管理员额外建议
GreyNoise 提醒网络管理员注意来自以下 IP 地址的可疑连接:
101.99.91.151
101.99.94.173
79.141.163.179
111.90.146.237
如发现这些地址出现在日志中,应立即进行深入排查。
评论