14,000台路由器遭KadNap僵尸网络感染

一个永不消亡的僵尸网络

Lumen旗下Black Lotus Labs的安全研究人员发现了一个复杂的僵尸网络，已经默默地将大约14,000台路由器和网络设备——主要是Asus消费级型号——变成了为网络犯罪活动服务的代理网络。研究人员将这种恶意软件命名为KadNap，它与绝大多数僵尸网络的区别在于采用点对点架构，这使其极难被消除。

感染设备的数量从Black Lotus去年8月首次发现僵尸网络时的约10,000台增长到了截至3月初的14,000台。绝大多数受害设备位于美国，在台湾、香港和俄罗斯有较小的集群。Asus路由器在受害者中的高度集中表明僵尸网络运营者已获得了针对特定Asus固件版本漏洞的可靠利用工具。

KadNap如何传播和持久化

根据Black Lotus研究员Chris Formosa的说法，KadNap通过利用消费级路由器中的已知未修补漏洞获得初始立足点。这些不是需要专业技能的零日漏洞——它们是制造商已发布补丁但设备所有者从未应用过的公开安全缺陷。补丁发布与补丁安装之间的间隙仍然是网络安全中最持久的问题之一，而KadNap等僵尸网络会无情地利用这一点。

安装到路由器后，KadNap将设备转变为分布式代理网络中的一个节点。来自网络犯罪活动的流量——欺诈、凭证填充、网络爬取和其他恶意活动——通过被入侵的路由器进行路由，使其看起来来自合法的住宅IP地址。这个住宅代理服务随后被卖给其他犯罪分子，为僵尸网络运营者提供稳定的收入来源。

使KadNap特别危险的是它采用了基于Kademlia的点对点通信协议，Kademlia是一种为合法文件共享应用程序开发的著名分布式哈希表算法。在传统僵尸网络中，被入侵的设备从中央命令控制服务器接收指令。执法机构和安全团队可以通过识别并查获命令服务器来破坏这些僵尸网络，从而有效地切断蛇头。

Kademlia的优势

KadNap的Kademlia架构消除了这个单点故障。每个被感染的路由器不是连接到中央服务器，而是维护其他被感染设备的路由表。命令以分布式方式在网络中传播，使用Kademlia协议高效的路由算法从节点跳转到节点。没有中央服务器可供查获，没有单个IP地址可供阻止，也没有明显的网络中断点。

如果某些节点被清理或离线，剩余节点会自动重新组织其路由表以维护网络连接。Kademlia协议的专门设计是为了应对节点变化——设备加入和离开网络——这使其对部分关闭具有天然的抵抗力。僵尸网络可以失去相当大比例的节点，并继续以最小中断进行运作。

这个设计代表了僵尸网络架构的有意义进化。虽然点对点僵尸网络已存在多年，但KadNap对Kademlia的实现特别复杂，使用路由表条目的密码学验证来防止安全研究人员向网络注入虚假节点作为破坏策略。

Asus的联系

KadNap受害者中Asus路由器的高度集中引发了关于这些广泛使用的消费设备安全态势的问题。近年来，Asus消费级路由器一直是多项安全公告的主题，漏洞范围从身份验证绕过到远程代码执行缺陷。虽然Asus定期发布固件更新来解决这些问题，但绝大多数消费级路由器所有者从未更新过固件。

与通常自动更新的智能手机和计算机不同，大多数消费级路由器需要手动固件更新，涉及从制造商网站下载文件并通过路由器的管理界面上传。许多用户甚至不知道他们的路由器有固件，更不用说它需要更新了。这创造了一个永久性的易受攻击设备群体，僵尸网络运营者可以随意收获。

防护KadNap

对于个人路由器所有者，最有效的防护很直接：更新路由器的固件。Asus通过其支持网站提供固件更新，并在较新型号中引入了自动更新功能。更改默认管理员密码并禁用来自互联网的远程管理访问也是关闭最常被利用的攻击媒介的必要步骤。

对于更广泛的安全社区，KadNap突出了需要采用新方法进行僵尸网络关闭的需要。依赖于查获命令控制基础设施的传统方法对点对点设计无效。替代战略可能包括协调漏洞披露和通过ISP合作进行强制修补、在网络级别自动检测僵尸网络流量模式，或让设备制造商对发运具有已知安全缺陷的产品负责的法律框架。

随着消费物联网设备的增加——路由器、摄像头、智能扬声器和电器——可用于僵尸网络招募的维护不良、互联网连接设备的池继续增长。KadNap警告了当这个池遇到复杂的恶意软件工程时会发生什么。

本文基于Ars Technica的报道。阅读原始文章。