關鍵詞

惡意軟件

一種使用 Rust 編程語言編寫的復雜新型僵尸網(wǎng)絡惡意軟件已被發(fā)現(xiàn)，其目標是全球范圍內存在漏洞的路由器設備。

由于該惡意軟件是基于 Rust 語言編寫的，因此被命名為 “RustoBot”。它利用了 TOTOLINK 和 DrayTek 路由器型號中的嚴重漏洞來執(zhí)行遠程命令注入，這有可能影響到日本、越南和墨西哥的科技產(chǎn)業(yè)。

該僵尸網(wǎng)絡主要通過 cstecgi.cgi 文件中的漏洞攻擊 TOTOLINK 型號的路由器，包括 N600R、A830R、A3100R、A950RG、A800R、A3000RU 和 A810R。cstecgi.cgi 是一個負責處理用戶輸入和管理命令的 CGI 腳本。

這些腳本包含命令注入缺陷，使得攻擊者能夠在被入侵的設備上實現(xiàn)遠程代碼執(zhí)行。

同樣，DrayTek Vigor2960 和 Vigor300B 路由器則受到 CVE-2024-12987 漏洞的影響，該漏洞是位于

cgi-bin/mainfunction.cgi/apmcfgupload 接口中的操作系統(tǒng)命令注入漏洞。

初始的攻擊利用從簡單但有效的有效載荷開始，這些有效載荷利用了上述漏洞。

對于 TOTOLINK 設備，攻擊方會向存在漏洞的 cstecgi.cgi 端點發(fā)送精心構造的請求，并附帶惡意命令字符串，以實現(xiàn)惡意軟件的下載和執(zhí)行。

它展示了利用有效載荷的攻擊技術，該有效載荷使用 wget 命令下載并執(zhí)行專門針對 TOTOLINK 架構的 “mpsl” 二進制文件。

Fortinet 的研究人員發(fā)現(xiàn)，在成功實現(xiàn)初始入侵后，RustoBot 會通過四個不同的下載器腳本部署多個針對特定架構的變體，目標架構包括 arm5、arm6、arm7、mips 和 mpsl。

多架構攻擊方式

這種多架構的攻擊方式確保了該惡意軟件在各種路由器型號和嵌入式系統(tǒng)中具有廣泛的兼容性。

該惡意軟件的復雜設計包括多種用于運行和逃避檢測的先進技術。

RustoBot 從全局偏移表（GOT）中檢索系統(tǒng) API 函數(shù)，并采用異或（XOR）加密對其配置數(shù)據(jù)進行編碼。

該惡意軟件使用復雜的指令序列來計算解碼器密鑰偏移量：

get_key_offset_4 proc near
xor esi, 803C490h
imul eax, esi, 0B0D0D74h
xor eax, 120ED6A5h
mov ecx, eax
shr ecx, 1Ch
xor ecx, eax
imul eax, ecx, 0D921h
movzx eax, ax
add rax, rdi
retn
get_key_offset_4 endp

一旦在被入侵的設備上站穩(wěn)腳跟，RustoBot 就會通過解析諸如 dvrhelper.anondns.net、techsupport.anondns.net、rustbot.anondns.net 和 miraisucks.anondns.net 等域名，連接到其命令與控制基礎設施，而所有這些域名都解析到同一個 IP 地址（5.255.125.150）。

然后，該僵尸網(wǎng)絡等待指令以發(fā)動各種分布式拒絕服務（DDoS）攻擊，包括 UDP 泛洪攻擊。在 UDP 泛洪攻擊中，它會生成大量包含 1400 字節(jié)有效載荷的 UDP 數(shù)據(jù)包，并發(fā)送到指定的目標 IP 地址和端口，從而使受害者的基礎設施不堪重負。

這一新興威脅凸顯了物聯(lián)網(wǎng)（IoT）和網(wǎng)絡設備持續(xù)存在的脆弱性，以及僵尸網(wǎng)絡惡意軟件日益復雜的發(fā)展趨勢，它們利用像 Rust 這樣的現(xiàn)代編程語言來提高穩(wěn)定性和跨平臺兼容性。

安全圈

網(wǎng)羅圈內熱點 專注網(wǎng)絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！