Ballista 僵尸网络:利用 TP-Link Archer 路由器的网络威胁
网络安全研究人员发现了另一个名为 Ballista 的僵尸网络活动,该活动一直针对未打补丁的 TP-Link Archer 路由器。该活动于 2025 年 1 月 10 日首次被发现,利用已知漏洞 (CVE-2023-1389) 渗透设备并在互联网上传播。与之前利用此漏洞的其他僵尸网络不同,Ballista 似乎正在积极开发中,这对全球用户和组织构成了重大担忧。
Table of Contents
什么是 Ballista 僵尸网络?
Ballista 是一种恶意软件活动,旨在入侵易受攻击的 TP-Link Archer AX-21 路由器。它利用 CVE-2023-1389,这是一个高严重性安全漏洞,允许命令注入,并最终导致远程代码执行 (RCE)。一旦路由器被入侵,Ballista 就会自行安装,建立加密的命令和控制 (C2) 通道,并遵循结构化的攻击序列来实现其目标。
僵尸网络通过执行恶意软件植入程序(标识为“dropbpb.sh”)进行传播,该程序会获取受感染设备的主要负载并运行。该恶意软件可在各种系统架构上运行,包括 mips、mipsel、armv5l、armv7l 和 x86_64。一旦进入,僵尸网络就会执行命令、进行拒绝服务 (DoS) 攻击,甚至删除自身存在的痕迹以避免被发现。
Ballista 的目标是什么?
Ballista 的主要目标似乎是控制受感染的设备,以用于各种恶意目的。一些主要功能包括:
- 执行 Shell 命令:该恶意软件允许攻击者远程运行 Linux shell 命令,从而让他们能够广泛控制受感染的路由器。
- 拒绝服务 (DoS) 攻击:使用称为“flooder”的命令,Ballista 可以发起洪水攻击,破坏网络运行。
- 传播到其他路由器:该恶意软件可以利用其他未修补的路由器上的相同漏洞,从而大大增加其覆盖范围。
- 数据访问和泄露:它尝试从受感染的系统中读取敏感文件,从而可能暴露机密信息。
- 自我保护和进化: Ballista 旨在删除自身的先前版本,确保只有最新版本处于活动状态。此外,最近的更新表明,僵尸网络已从硬编码 IP 地址转变为使用 TOR 网络域,这使其更难以跟踪和缓解。
这意味着什么?
Ballista 的出现凸显了互联网连接设备面临的持续安全挑战,尤其是经常未打补丁的消费级路由器。僵尸网络的覆盖范围很广,超过 6,000 台目标设备分布在巴西、波兰、英国、保加利亚和土耳其。它还与美国、澳大利亚、中国和墨西哥的制造业、医疗保健、服务业和技术行业企业的攻击有关。
该僵尸网络的影响不仅限于单个路由器感染。由于受感染的设备可用于大规模网络攻击,因此 Ballista 有可能加剧全球网络威胁,包括:
- 僵尸网络攻击增多:随着受感染设备数量的增加,攻击者可以使用 Ballista 进行协同 DoS 攻击,从而破坏目标服务。
- 数据泄露和间谍活动:访问敏感文件可能导致未经授权的数据泄露,使个人和组织面临风险。
- 供应链漏洞:依赖受感染路由器的企业可能会在不知不觉中成为更大规模网络犯罪活动的一部分。
- 追踪和消灭的难度:僵尸网络转变为使用 TOR 网络域,这使得精确定位攻击者和阻止其行动变得更加困难。
如何防御弩炮?
鉴于威胁的严重性,用户必须采取主动措施来保护他们的路由器:
- 更新路由器固件:确保 TP-Link Archer AX-21 固件更新到最新版本,因为制造商会定期发布补丁来修复安全漏洞。
- 禁用远程管理:如果不需要,请关闭远程访问功能以防止未经授权的连接。
- 使用强凭证:避免使用默认登录凭证并使用复杂密码进行路由器管理。
- 监控网络流量:异常活动(例如出站流量激增)可能表明受到感染。
- 恢复出厂设置并重新配置:如果怀疑设备已被入侵,恢复出厂设置并从头开始设置可能有助于清除恶意软件。
- 实施防火墙规则:限制对管理端口的不必要访问并阻止可疑 IP 地址。
未来之路
Ballista 不是第一个利用路由器漏洞的僵尸网络,当然也不会是最后一个。恶意软件二进制文件中存在意大利语字符串,表明可能存在该病毒,但由于其不断发展的特性,真正的操作者仍然未知。僵尸网络转向匿名网络表明它正在积极完善,这使得缓解措施更具挑战性。
尽管 Ballista 与Mirai和 Mozi 等其他僵尸网络仍存在区别,但其自我传播和执行强大攻击的能力使其成为网络安全领域值得关注的发展。随着更多细节浮出水面,保持知情并采取必要的预防措施将成为防止大规模破坏的关键。
通过优先考虑安全更新并遵循最佳实践,用户可以降低 Ballista 和类似威胁的风险。对抗僵尸网络的斗争仍在继续,但提高意识和及时采取行动可以大大限制其影响。
