随着物联网设备的广泛普及和网络环境的日益复杂,相关安全隐患也日益凸显。近期,安全研究人员揭露了一种名为RondoDox的僵尸网络,它通过利用TBK数字视频录像机(DVR)和Four-Faith路由器中的关键漏洞,成功入侵大量设备,形成庞大的僵尸网络,从事恶意的分布式拒绝服务(DDoS)攻击。RondoDox不仅代表了今后僵尸网络演变的新趋势,也再次敲响了设备安全与固件更新的重要警钟。RondoDox的核心攻击目标为市场中广泛使用的TBK DVR-4104与DVR-4216型号,以及Four-Faith系列路由器中的F3x24和F3x36两款型号。这些设备主要部署于零售、仓储和小型办公环境,因其长期缺乏监控更新,成为攻击者理想的入侵门户。针对这些设备的两个主要漏洞分别为CVE-2024-3721和CVE-2024-12856,均属于操作系统命令注入类缺陷,使得攻击者能够远程执行恶意指令,轻松劫持设备。
值得注意的是,在此之前,这些漏洞已经被多个恶意软件阵营反复利用,尤其是Mirai僵尸网络的多个变种。Fortinet FortiGuard Labs的资深研究员Vincent Li指出,这些漏洞自公开以来,一直处于被积极攻击的状态,严重危害设备安全和整个网络的完整性。2024年9月,安全团队首次捕获到RondoDox的ELF文件二进制样本,该恶意程序具备模拟游戏服务器和虚拟专用网络(VPN)流量的能力,能够有效规避传统检测机制。RondoDox的危险不仅是简单的设备入侵,其背后更具高度隐蔽和多元化的恶意用途。感染设备除了作为传统僵尸节点参与DDoS攻击外,还会被用作隐蔽代理,隐藏指挥控制(C2)流量,辅助多层级诈骗活动,甚至牵涉金融诈骗与基础设施破坏的结合,极大增加溯源和防御难度。此僵尸网络尤其针对多种Linux操作系统分发,涵盖ARM、MIPS等多种CPU架构,由一个shell脚本下载器控制传播。
该脚本能够操作目标主机忽略Unix系统中用于终止进程的信号,且具备在多个常用路径检测并写入的能力,确保恶意程序的顺利安装和启动。执行过程中,RondoDox会下载并运行恶意负载,同时清除命令执行历史,尽可能抹去攻击痕迹。更为隐蔽的是,它会持续扫描运行中的进程,优先杀死如wget、curl、Wireshark、gdb等系统分析工具以及其他可能妨碍其活动的恶意程序,如挖矿软件和某些已知的恶意变种,维持自身的隐匿状态和持续存在性能。这种设计反映了当前僵尸网络趋向于多架构支持、采用依赖域名服务(DoH)进行C2解析、以及将载荷进行异或(XOR)加密的高级技术实力。这些技术有效绕过了传统入侵检测系统(IDS)和防火墙的规则,令防御系统难以捕捉。RondoDox与诸如RustoBot、Mozi等新一代适应性僵尸网络一起,代表了当下针对物联网“卫生”管理不善和路由器安全加固不足的恶意软件发展方向。
威胁分析还揭示,RondoDox会对Linux常见可执行文件路径中部分系统关键工具进行重命名,如iptables被替换为jsuJpf,ufw变为nqqbsc,passwd重命名为ahwdze,shutdown改成hhrqwk等,通过这种方式阻碍恶意程序被发现与恢复,增加事件响应难度。启动完成后,恶意软件会联系外部服务器83.150.218.93接收指令,并使用HTTP、UDP和TCP三大协议发起定向DDoS攻击。为了混淆视听,RondoDox在生成恶意流量时,还会模仿市面上多款热门游戏和通信平台的数据包特征,包括但不限于Valve游戏平台、Minecraft、Roblox、DayZ、Fortnite、GTA、Discord以及OpenVPN、WireGuard和RakNet等网络工具。通过假扮这些合法流量,攻击流量能与正常业务数据高度融合,极大提高检测筛查难度,令防御方束手无策。此外,RondoDox还支持多种实时通信协议(如STUN、DTLS和RTC),强化其流量伪装与躲避能力。这种伪装不仅限于游戏和聊天软件,还涵盖多种隧道和实时通信服务,呈现出极强的多样性和适应性。
Fortinet专家称,RondoDox在反分析技术、异或编码配置数据、自建库调用以及持久化机制上展现出高度成熟的设计,令恶意程序长期潜伏且不易被发现。实验室研究表明,攻击者通过不断完善指令集及隐藏策略,成功实现了稳定的远程控制和持续渗透,对受害设备形成长期威胁。面对如此复杂和灵活的攻击,网络安全防御需要加强对IoT设备的监控和固件管理,及时安装厂商发布的安全补丁。企业应避免将关键设备直接暴露于公网,定期检查端口配置,利用入侵检测与防御系统增强边界安全。同时,提升员工安全意识,杜绝默认密码和弱密码使用,结合多层身份验证技术,才能构筑坚实防线。除了技术层面的升级,行业监管和设备制造厂商也需加强合作,提升设备出厂时的安全性,坚持安全设计理念,支持远程更新与漏洞修复,为用户提供长期安全保障。
RondoDox的出现再次警示我们,在智能设备无处不在的时代,任何安全疏漏都可能被不法分子利用,造成巨大的经济与信誉损失。只有多方合力、持续投入安全建设,方能有效遏制此类针对物联网及专业网络设备的高级威胁,守护数字化时代的安全生态。
