随着物联网和智能设备的普及,家用及小型办公设备(SOHO)成为网络生态中的重要组成部分。然而,安全防护却常常被忽视,特别是许多设备长期运行未经更新的Linux固件,安全风险不断积累。来自SecurityScorecard的STRIKE团队近期披露了一种名为LapDogs的隐秘后门,针对SOHO设备展开攻击行动,使得网络安全形势更加严峻。 LapDogs与传统网络攻击模式的显著区别在于其隐蔽性与针对性。传统僵尸网络多表现为大范围、粗放式传播,而LapDogs则通过一张称为Operational Relay Box (ORB)的网络精心掩饰自己的行踪。这些被感染的设备包括路由器、IP摄像头以及早期智能设备,它们被用作中继点,实现数据收集与流量转发,且不易被传统防御系统察觉。
该后门程序带有极高的权限,能够获得设备的root级访问权,确保攻击者能够实现长期驻留。LapDogs在入侵设备后会启动一个伪装的Nginx轻量级Web服务器,同时生成仿冒洛杉矶警察局(LAPD)的自签名TLS证书。研究人员借助该证书的独特指纹,成功追踪到全球超过一千个感染节点,足见其全球影响之广。 从攻击目标来看,LapDogs主要瞄准基于Linux的SOHO设备,其中以老旧固件及未及时更新的设备最为脆弱。设备厂商中,Ruckus Wireless和Buffalo AirStation路由器首当其冲,尤其在日本、美国、韩国、台湾及香港地区的设备感染率较高。这些设备多数带有轻量级HTTP服务器如mini_httpd,或暴露OpenSSH及DropBear SSH服务,进一步扩大了被入侵的风险。
老旧设备固件存在默认配置和管理工具未关闭的端口,管理接口缺乏安全加固,使得攻击者能够轻松渗透。部分设备甚至运行着2000年代初的软件版本,使得安全漏洞层出不穷却未被修补。结果是,这些设备成为攻击链中隐秘而强大的跳板。 攻击者采用的战术颇为谨慎,通常以批次形式分阶段发动攻击。每天或仅针对单一国家,或同时攻击多地,但所有感染节点均使用相同端口进行通信,如TCP 42532端口等不常见高端口设置,这有助于研究人员通过时间和端口关联感染事件,从而追踪攻击链条和关联入侵组。 更有趣的是,某些设备会在两个不同IP地址间共享同一伪造证书,显示出攻击者对设备控制的多面性和灵活性。
或许一个设备同时支持多用途,或多网络接口被攻击者利用,反映出其对感染设备的高度掌控力。 LapDogs背后据推测与中国背景的高级持续威胁(APT)组织有关。代码中的中文注释、攻击聚焦区域、战术行为均指向此线索。此前,Cisco Talos披露过名为UAT-5918的组织,可能与此次后门基础设施存在关联,曾针对台湾关键基础设施发动攻击,展现了威胁的现实危害性。 这类攻势暴露出当前SOHO设备安全管理的薄弱环节。许多企业,特别是房地产及传媒行业,依赖大量边缘设备,但对设备安全监控和漏洞修补却不够重视。
设备缺乏安全默认设置、无法实时上报威胁以及缺失补丁机制,使得攻击面急速扩大。 安全专家建议,企业需调整采购及供应商管控策略。采购时应优先选择安全设计完善、支持远程监控及补丁更新能力的设备。加强对mini_httpd、DropBearSSH等旧版服务的检测,也至关重要。更应实施严密的网络分割策略,将SOHO设备与核心网络隔离,减少潜在威胁扩散风险。 托管服务供应商(MSSP)和安全运营中心(SOC)应提升检测手段,将TLS证书被动检查及JARM指纹识别纳入常规监测。
对于伪装Nginx服务器及异常Web服务表现应保持高度警惕,通过Netflow及DNS流量分析识别异常出站连接,关注与可疑C2域名如northumbra[.]com的流量交互。 此外,引入基线行为分析对边缘设备行为进行正常态定义,并积极追踪异常网络活动,是发现隐蔽后门的重要手段。对设备端口异常使用警报设定,尤其是发现高端口通信以及自签证书应及时响应,有助于快速遏制威胁扩散。 同时,建议企业在服务协议中加入安全通报条款,确保第三方服务商在发现资产被攻陷时,能及时向企业报告风险状况。漏洞暴露与潜伏攻击的爆发往往与第三方设备管理疏漏密切相关,完善供应链安全管理至关重要。 LapDogs的发现再次提醒业界,SOHO设备虽然计算能力有限,却仍是黑客瞄准的重要目标。
随着设备智能化水平提升,攻防博弈将更加复杂。只有持续加强设备供应商的安全基线,完善企业安全架构,加强全链路监测与响应能力,才能筑牢网络安全防线。 未来,行业应推动标准化安全设计,包括设备默认启用安全功能、内建遥测能力及自动补丁管理。同时,强化多方合作,促进威胁情报共享,提高应对复杂APT攻击的能力。用户个人亦不能忽视常规设备维护,如及时更新固件、关闭不必要服务、修改默认密码等基本安全措施,才能最大限度减少被跨网络攻击的风险。 综上所述,LapDogs背后的隐秘运作模式及其对SOHO设备的精确利用,标志着物联网安全威胁进入全新阶段。
安全团队需正视这一威胁,通过技术手段与管理策略相结合,推动网络边缘设备安全治理向纵深发展。只有这样,才能保障数字空间中每个环节的安全,免遭后门攻击带来的数据泄露和业务中断风险。
