CNR上海5月25日電（記者 付文杰 韓曉宇 通訊員 楊文）5月23日晚，騰云網(wǎng)絡(luò)團(tuán)隊(duì)發(fā)布預(yù)警，一種名為“”的新型惡意軟件正在全球蔓延。估計(jì)有54個(gè)國(guó)家被攻陷，受感染設(shè)備數(shù)量至少50萬(wàn)臺(tái)。

團(tuán)隊(duì)的研究和分析表明，它更具破壞性，可以通過(guò)燒毀用戶的設(shè)備來(lái)掩蓋痕跡。它比簡(jiǎn)單地刪除惡意軟件痕跡更深入。使用惡意軟件，攻擊者可以實(shí)現(xiàn)各種其他目的。例如監(jiān)控網(wǎng)絡(luò)流量和攔截敏感網(wǎng)絡(luò)的憑據(jù)；窺探設(shè)備網(wǎng)絡(luò)流量并部署針對(duì) ICS 基礎(chǔ)設(shè)施的專門(mén)惡意軟件；利用受感染設(shè)備的僵尸網(wǎng)絡(luò)隱藏其他惡意攻擊的來(lái)源；使路由器癱瘓并使其易受攻擊 受到攻擊的大部分 基礎(chǔ)設(shè)施不可用。此類命令可以大規(guī)模執(zhí)行，如果需要，可以使數(shù)千臺(tái)設(shè)備無(wú)法使用。

目前受影響的設(shè)備主要包括小型和家庭辦公室 (SOHO) 中使用的 、 、 和 TP-Link 路由器，以及 QNAP 網(wǎng)絡(luò)附加存儲(chǔ) (NAS) 設(shè)備。未發(fā)現(xiàn)其他網(wǎng)絡(luò)設(shè)備供應(yīng)商受到感染。

騰云網(wǎng)絡(luò)發(fā)布攻擊過(guò)程示意圖

據(jù)報(bào)道，它是一個(gè)高度模塊化的框架，允許快速更改作戰(zhàn)目標(biāo)設(shè)備，同時(shí)為情報(bào)收集和尋找攻擊平臺(tái)提供支持。其攻擊路徑主要分為三個(gè)階段。階段 1 惡意軟件通過(guò)重啟植入網(wǎng)站建設(shè)，該階段的主要目的是獲得持久的立足點(diǎn)并允許部署階段 2 惡意軟件。

第 2 階段惡意軟件具有智能收集平臺(tái)所期望的功能，例如文件收集、命令執(zhí)行、數(shù)據(jù)過(guò)濾和設(shè)備管理。重啟設(shè)備，使其無(wú)法使用。

此外，還有多個(gè)第 3 階段模塊作為第 2 階段惡意軟件的插件，可提供附加功能，目前思科團(tuán)隊(duì)發(fā)現(xiàn)了兩個(gè)插件模塊：一個(gè)數(shù)據(jù)包嗅探器，用于收集通過(guò)設(shè)備的流量php網(wǎng)站入侵工具網(wǎng)站建設(shè)，包括竊取網(wǎng)站憑據(jù)和監(jiān)控協(xié)議，以及允許 2 與 Tor 通信的通信模塊，據(jù)稱還有其他幾個(gè)插件模塊php網(wǎng)站入侵工具，但尚未被發(fā)現(xiàn)。

“我們針對(duì)惡意軟件和潛在的擴(kuò)展攻擊面提供了幾項(xiàng)保護(hù)建議。” 25日，阿里巴巴安全部獵戶座實(shí)驗(yàn)室資深安全專家表示，由于大部分受影響的設(shè)備都是直連互聯(lián)網(wǎng)的，攻擊者與設(shè)備之間大多沒(méi)有安全保障，大部分受影響的設(shè)備都有公開(kāi)漏洞，而且大多數(shù)都沒(méi)有內(nèi)置的反惡意軟件功能，因此很難防御此類威脅。

“阿里巴巴安全獵戶座實(shí)驗(yàn)室持續(xù)關(guān)注系統(tǒng)平臺(tái)、軟硬件基礎(chǔ)設(shè)施，以及底層的傳統(tǒng)和新興威脅?！? Lab安全專家表示，解決方案主要包括幾個(gè)方面。

首先要保證設(shè)備和補(bǔ)丁都是最新版本，同時(shí)更新的補(bǔ)丁要及時(shí)應(yīng)用，避免出現(xiàn)漏洞；此外，設(shè)備應(yīng)盡量減少對(duì)外開(kāi)放的端口服務(wù)，以減少攻擊面；需要及時(shí)更改設(shè)備的默認(rèn)密碼，以滿足復(fù)雜性要求；開(kāi)發(fā)和部署了 100 多個(gè)簽名，以暴露與此威脅相關(guān)的設(shè)備的已知漏洞。這些規(guī)則已部署在公共集合中，可用于保護(hù)設(shè)備；將涉及的域名/IP地址列入黑名單，并將其與威脅關(guān)聯(lián)起來(lái)進(jìn)行檢測(cè)、攔截和防御；路由器和NAS設(shè)備被感染，建議用戶恢復(fù)出廠默認(rèn)值，升級(jí)最新版本，打最新補(bǔ)丁后重啟。