Gafgyt新變體威脅超3萬臺路由器，某國內大廠遭殃

IOT設備的集體“叛變”，或許會置人于尷尬處境。比如，電影《終結者:黑暗命運》里就描述了這樣的場景：

一個名為軍團的人工智能防御系統被制造出來，它擁有極強的學習能力，并且控制著全球70%以上的核武和人形兵器。

很快，它通過自我進化得出一個結論——消滅人類才是終止戰爭的唯一辦法。于是，這些究極IOT產品徹底發狂，末日之戰拉開序幕。

▲《終結者：黑暗命運》中REV-9機器人正入侵軍事網絡

盡管不知道未來是否會有軍團這樣的東西存在，但現在已經有不少類似的僵尸網絡，它們會進化、會想方設法操控每一臺主機，打造自己的“反叛軍團”。

10月31日，研究人員發布報告稱，已經檢測到一種最新的Gafgyt僵尸網絡變體。該變體針對的是Zyxel、華為和Realtek在內的32000個小型辦公室和家庭無線路由器中的缺陷，可以降低此類產品網絡連接通暢性，并大幅削弱登錄服務時的安全性。

Gafgyt僵尸網絡“進化史”

Gafgyt于2014年首次被發現。從那時起，它就以大規模的分布式拒絕服務攻擊而聞名，它的許多變體已經開始針對跨行業企業的一系列產品。

從2016年開始，網絡安全公司Zingbox的研究人員就注意到，無線路由器是所有組織中最常見的IoT設備之一，并且是IoT僵尸網絡的主要目標。

這期間，Gafgyt僵尸網絡已經完成了多輪“進化”：

2014年8月，索尼PSN遭受來自Gafgyt家族的DDoS攻擊，以至完全癱瘓，黑客組織LizardSquad聲稱對此次事件負責。

同年12月，LizardSquad再次利用該家族對微軟Xbox Live發動DDOS攻擊，致使數百萬游戲玩家無法連接到游戲服務器。

2015年1月，Gafgyt家族的源代碼被公開，其源碼僅由一個.c文件構成，共計1600+行代碼（含telnet掃描模塊及弱口令字典）。

此后，各黑產從業者開始以該家族為基礎開發大量變種（如Bashlite、Qbot、Tsunami等），使原本只屬于LizardSquad的攻擊痕跡得到隱藏。

僵尸網絡攻擊時，可能會降低網絡和IP地址的可信度。僵尸網絡利用漏洞而不是嘗試通過不安全的服務登錄來訪問連接的設備。因此，即使企業管理員禁用了不安全的服務并使用了強大的登錄憑據，僵尸網絡也可以更輕松地在IoT設備中傳播。

進擊的Gafgyt家族新變體

最新檢測到的Gafgyt變體是JenX僵尸網絡的競爭對手。JenX利用遠程代碼執行漏洞來訪問和招募僵尸網絡來攻擊游戲服務器（尤其是那些運行Valve Source引擎的服務器）并發起拒絕服務（DDoS）攻擊。

Gafgyt使用三個“掃描程序”來嘗試利用上述路由器中的已知遠程代碼執行攻擊。這些掃描程序替代了其他物聯網僵尸網絡所采用的典型“字典式”攻擊，這些攻擊通常旨在通過不安全的服務來破壞連接的設備。

該漏洞被設計為用作二進制刪除程序，根據要感染的設備類型從惡意服務器中提取相應的二進制文件。Zingbox研究人員在一篇博客文章中寫到，新的Gafgyt變體可根據從口令和控制服務器收到的命令，同時執行不同類型的DDoS攻擊。

這種新的Gafgyt變體針對三種無線路由器中的漏洞，其中兩種與JenX相同——兩者共享CVE-2017-17215（在華為HG532中）和CVE-2014-8361（在Realtek的RTL81XX芯片組中），CVE-2017-18368（在Zyxel P660HN-T1A中）則是Gafgyt的新增功能。

Zingbox威脅情報副總監Jen Miller-Osborn稱，Gafgyt是根據JenX僵尸網絡代碼開發的，這也突出顯示黑客在該范圍內構建僵尸網絡的興趣。

“Gafgyt的這種演變表明，有一群人正在努力更新這些僵尸網絡，他們會將最新的漏洞同步到僵尸網絡之中，并以此強大其陣容，”他說到。

游戲服務器躺槍

最新的Gafgyt變體可以執行一種名為Vaf的有效載荷DDoS攻擊。這可以用于攻擊運行Valve Source Engine的游戲服務器，使得游戲進入宕機狀態。

Valve Source Engine是運行《半條命》《軍團要塞2》等游戲的引擎，這些游戲的受眾玩家已達到數百萬人，一旦服務器宕機，游戲公司將面臨大范圍的用戶投訴。

▲游戲《半條命2》

當然，最新的Gafgyt變體并非只和Valve Source Engine的游戲服務器過不去。通過其他的DDoS攻擊方法，黑客還可以將目標鎖定到諸如托管《Fortnite》之類流行游戲的其他服務器上。

Zingbox研究人員米勒-奧斯本（Miller-Osborn）稱，利用Gafgyt僵尸網絡，黑客可以輕易阻斷游戲服務器的正常運行，但這并不能讓其獲得巨大的收入。因此，會做這件事的人，有可能僅是為了追求干壞事的快感而已。

“盡管游戲服務器已成為受害對象，但針對這些攻擊的物聯網設備的種類卻在增加。從單純攻擊路由器到影響中小企業甚至某個家庭的游戲玩家，這也是此次Gafgyt變體的可怕之處，”她補充到。

參考來源：darkreading

更多精彩內容請關注雷鋒網網絡安全欄目或雷鋒網旗下微信公眾號宅客頻道。雷鋒網

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。