Ballista 殭屍網路:利用 TP-Link Archer 路由器的網路威脅
網路安全研究人員發現了另一個名為 Ballista 的殭屍網路活動,該活動的目標是未修補的 TP-Link Archer 路由器。該活動於 2025 年 1 月 10 日首次發現,利用已知漏洞 (CVE-2023-1389) 滲透設備並在網路上傳播。與之前利用此漏洞的其他殭屍網路不同,Ballista 似乎正在積極開發中,這對全球用戶和組織構成了重大擔憂。
Table of Contents
什麼是 Ballista 殭屍網?
Ballista 是一項惡意軟體活動,旨在攻擊易受攻擊的 TP-Link Archer AX-21 路由器。它利用了 CVE-2023-1389,這是一個高嚴重性安全漏洞,允許命令注入並最終實現遠端程式碼執行 (RCE)。一旦路由器受到攻擊,Ballista 就會自行安裝,建立加密的命令和控制 (C2) 通道,並按照結構化的攻擊序列來實現其目標。
殭屍網路透過執行名為「dropbpb.sh」的惡意軟體植入程式來傳播,該植入程式會在受感染的裝置上取得並運行主要負載。該惡意軟體可以在各種系統架構上運行,包括 mips、mipsel、armv5l、armv7l 和 x86_64。一旦進入,殭屍網路就會執行命令、進行拒絕服務 (DoS) 攻擊,甚至刪除自身存在的痕跡以避免被發現。
Ballista 的目標是什麼?
Ballista 的主要目標似乎是控制受感染的設備以用於各種惡意目的。一些主要功能包括:
- 執行 Shell 命令:此惡意軟體允許攻擊者遠端執行 Linux shell 命令,讓他們能夠廣泛控制受感染的路由器。
- 拒絕服務 (DoS) 攻擊:使用稱為「flooder」的命令,Ballista 可以發動洪水攻擊,破壞網路運作。
- 傳播到其他路由器:該惡意軟體可以利用其他未修補的路由器上的相同漏洞,從而大大增加其覆蓋範圍。
- 資料存取和外洩:它嘗試從受感染的系統中讀取敏感文件,從而可能暴露機密資訊。
- 自我保存與進化: Ballista 的設計目的是刪除自身的先前版本,確保只有最新版本處於活動狀態。此外,最近的更新表明,殭屍網路已經從硬編碼 IP 位址轉變為使用 TOR 網路域,這使得追蹤和緩解變得更加困難。
這意味著什麼?
Ballista 的出現凸顯了網路連線裝置面臨的持續安全挑戰,尤其是經常未修補的消費級路由器。這個殭屍網路的影響範圍非常廣泛,目標設備超過 6,000 台,分佈在巴西、波蘭、英國、保加利亞和土耳其。它也與針對美國、澳洲、中國和墨西哥製造業、醫療保健、服務業和科技業企業的攻擊有關。
這個殭屍網路的影響遠不止單一路由器的感染。由於受感染的設備可用於發動大規模網路攻擊,Ballista 有可能加劇全球網路威脅,包括:
- 殭屍網路攻擊增加:隨著受感染設備數量的增加,攻擊者可以使用 Ballista 進行協同 DoS 攻擊,從而破壞目標服務。
- 資料外洩和間諜活動:存取敏感文件可能導致未經授權的資料洩露,使個人和組織面臨風險。
- 供應鏈漏洞:依賴受感染路由器的企業可能會在不知不覺中成為更大規模網路犯罪活動的一部分。
- 追蹤和消滅的難度:殭屍網路轉變為使用 TOR 網路域,這使得精確定位攻擊者和阻止其行動變得更加困難。
如何防禦弩砲?
鑑於威脅的嚴重性,用戶必須採取主動措施來保護他們的路由器:
- 更新路由器韌體:確保 TP-Link Archer AX-21 韌體更新到最新版本,因為製造商會定期發布修補程式來修復安全漏洞。
- 停用遠端管理:如果不需要,請關閉遠端存取功能以防止未經授權的連線。
- 使用強憑證:避免使用預設登入憑證並使用複雜密碼進行路由器管理。
- 監控網路流量:異常活動(例如出站流量激增)可能表示受到感染。
- 恢復出廠設定並重新配置:如果懷疑設備已被入侵,恢復出廠設定並從頭開始設定可能有助於清除惡意軟體。
- 實施防火牆規則:限制對管理連接埠不必要的存取並阻止可疑 IP 位址。
未來之路
Ballista 不是第一個利用路由器漏洞的殭屍網絡,當然也不會是最後一個。惡意軟體二進位檔案中存在義大利語字串表明可能存在其來源,但由於其不斷發展的性質,真正的操作者仍然未知。殭屍網路向匿名網路的轉變表明它正在積極完善,這使得緩解工作變得更具挑戰性。
雖然 Ballista 與Mirai和 Mozi 等其他殭屍網路有所不同,但其自我傳播和執行強大攻擊的能力使其成為網路安全領域值得關注的發展。隨著更多細節浮出水面,保持了解情況並採取必要的預防措施將是防止大規模損害的關鍵。
透過優先考慮安全性更新並遵循最佳實踐,使用者可以降低 Ballista 和類似威脅的風險。打擊殭屍網路的鬥爭仍在繼續,但認識和及時採取行動可以顯著限制其影響。
