11 月中旬发现了一种名为“Zerobot”的新型基于 Go 的恶意软件,该恶意软件利用了各种设备中的近两打漏洞,包括 F5 BIG-IP、Zyxel 防火墙、Totolink 和 D-Link 路由器以及 Hikvision 相机。
该恶意软件的目的是将受感染的设备添加到分布式拒绝服务 (DDoS) 僵尸网络中,以对指定目标发起强大的攻击。
Zerobot 可以扫描网络并自我传播到相邻设备以及在 Windows (CMD) 或 Linux (Bash) 上运行命令。
Fortinet 的安全研究人员发现了 Zerobot,并表示自去年 11 月以来,出现了一个新版本,其中包含额外的模块和针对新漏洞的漏洞利用,表明该恶意软件正在积极开发中。
钻空子
该恶意软件可以针对一系列系统架构和设备,包括 i386、AMD64、ARM、ARM64、MIPS、MIPS64、MIPS64le、MIPSle、PPC64、PPC64le、RISC64 和 S390x。
Zerobot 整合了 21 个漏洞的利用,并使用它们来获取对设备的访问权限。然后它下载一个名为“零”的脚本,允许它自我传播。

Zerobot 使用以下漏洞来破坏其目标:
- CVE-2014-08361:Realtek SDK 中的 miniigd SOAP 服务
- CVE-2017-17106:Zivif PR115-204-P-RS 网络摄像头
- CVE-2017-17215:华为HG523路由器
- CVE-2018-12613:phpMyAdmin
- CVE-2020-10987:腾达AC15 AC1900路由器
- CVE-2020-25506:D-Link DNS-320 NAS
- CVE-2021-35395:Realtek Jungle SDK
- CVE-2021-36260:海康威视产品
- CVE-2021-46422:Telesquare SDT-CW3B1 路由器
- CVE-2022-01388:F5 大 IP
- CVE-2022-22965:Spring MVC 和 Spring WebFlux (Spring4Shell)
- CVE-2022-25075:TOTOLink A3000RU 路由器
- CVE-2022-26186:TOTOLink N600R 路由器
- CVE-2022-26210:TOTOLink A830R 路由器
- CVE-2022-30525:Zyxel USG Flex 100(W) 防火墙
- CVE-2022-34538:MEGApix IP 摄像机
- CVE-2022-37061:FLIX AX8 热传感器摄像头
此外,僵尸网络还使用了四个未分配标识符的漏洞。其中两个针对 GPON 终端和 D-Link 路由器。目前尚不清楚其他两个的详细信息。
Zerobot 函数
在受感染的设备上建立存在后,Zerobot 会设置到命令和控制 (C2) 服务器的 WebSocket 连接,并发送有关受害者的一些基本信息。
C2 可能会响应以下命令之一:
- ping – 心跳,保持连接
- 攻击——针对不同的协议发起攻击:TCP、UDP、TLS、HTTP、ICMP
- 停止——停止攻击
- update – 安装更新并重启 Zerobot
- enable_scan – 扫描开放端口并开始通过漏洞利用或 SSH/Telnet 破解程序传播自身
- disable_scan – 禁用扫描
- 命令——运行操作系统命令,在 Windows 上运行 cmd,在 Linux 上运行 bash
- kill——杀死僵尸网络程序
该恶意软件还使用旨在防止终止或终止其进程的“反杀”模块。
目前,Zerobot 主要专注于发起 DDoS 攻击。但是,它也可以用作初始访问。
Fortinet 表示,自从 Zerobot 于 11 月 18 日首次出现以来,其开发人员通过字符串混淆、复制文件模块、自我传播模块和几个新的漏洞对其进行了改进。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的Zerobot恶意软件有21个针对BIG-IP、Zyxel、D-Link设备的漏洞