趨勢科技的一項新研究發現，自 2024 年底以來，一個新發現的物聯網 （IoT） 僵尸網絡一直利用路由器、IP 攝像頭和其他連接設備等物聯網設備中的漏洞，在全球策劃大規模分布式拒絕服務 （DDoS） 攻擊。

安全研究人員警告說，該僵尸網絡利用源自另外兩個僵尸網絡Mirai 和 Bashlite 的惡意軟件，對全球工業和關鍵基礎設施構成了重大威脅。

該僵尸網絡通過利用遠程代碼執行 （RCE） 漏洞或弱默認憑據來感染 IoT 設備，感染過程涉及多個階段：

• 初始利用：惡意軟件通過漏洞或暴力破解弱密碼滲透到設備中。
• 負載傳遞：加載程序腳本從分發服務器下載主要的惡意軟件負載。有效負載直接在內存中執行，以避免在受感染設備上留下痕跡。
• 命令和控制（C&C）：一旦被感染，設備就會連接到C&C服務器以接收攻擊命令。

該僵尸網絡使用各種 DDoS 攻擊媒介，包括：

• SYN 泛洪：TCP 連接請求使服務器不堪重負。
• UDP 泛洪：使用 UDP 數據包使網絡飽和。
• GRE 協議漏洞：使用通用路由器封裝以路由器為目標。
• TCP 握手泛洪：建立大量虛假 TCP 連接以耗盡服務器資源。

趨勢科技安全專家指出，這些命令的結構為文本消息，前綴為兩個字節長度的字段，從而可以精確控制攻擊參數，例如持續時間和目標 IP 地址。

通過對僵尸網絡的技術分析，發現已實現了廣泛的地理覆蓋范圍，北美和歐洲受到嚴重影響，美國占已確定目標的 17%。日本也面臨重大攻擊，尤其是針對其金融和運輸行業的攻擊。 大多數受感染的設備是無線路由器 （80%），其次是 IP 攝像頭 （15%），其中包括 TP-Link 和 Zyxel等知名但又容易遭受到攻擊的品牌。

為了增強隱蔽性，僵尸網絡利用惡意軟件在受感染的設備上禁用了看門狗計時器，從而防止在 DDoS 攻擊引起的高負載期間自動重啟，并且還操縱基于Linux的iptables規則來阻止外部訪問，同時保持與C&C服務器的通信。

安全專家推薦了幾種措施來降低 IoT 僵尸網絡感染的風險：

• 在設備安裝后立即更改默認密碼。
• 定期更新固件以修補已知漏洞。
• 將 IoT 設備隔離在單獨的網絡中。
• 使用入侵檢測系統 （IDS） 來識別異常流量模式。

同時建議企業組織與服務提供商合作，過濾惡意流量，并考慮部署 CDN 以在 DDoS 攻擊期間進行負載分配。