14000 台路由器感染「抗清除」恶意软件：P2P 架构、多重持久化机制

14000 台路由器感染「抗清除」恶意软件：P2P 架构、多重持久化机制

安全研究人员发现了一个广泛的恶意软件活动，已在多个国家约 14,000 台路由器中感染了专门设计来抵抗清除工作的恶意软件。

恶意软件：为韧性而设计

该恶意软件集成了专门设计来在清理中存活的功能：

• P2P 架构：没有中央命令和控制服务器可供关闭
• 加密通信：所有 C2 流量经过加密，使流量分析困难
• 多阶段持久化：多个备份机制确保恶意软件在恢复出厂设置后仍能存活
• 路由器多样性：针对多个品牌和型号，使补丁更难协调

规模和范围

• 14,000+ 被感染路由器：分布在多个国家和 ISP
• 住宅和企业：家庭和企业路由器都受影响

威胁

被感染的路由器服务于多种恶意目的：

1. 代理网络：路由器被用作其他攻击的中继节点
2. 流量拦截：对连接设备进行中间人攻击
3. DDoS 放大：参与分布式拒绝服务攻击
4. 凭证收集：拦截连接设备的凭证

为什么路由器恶意软件难以对抗

• 用户意识：大多数用户从不检查路由器固件更新
• ISP 协调：清理需要跨多个 ISP 的协调行动
• 供应链：一些路由器可能在到达消费者之前已被篡改

缓解措施

• 恢复出厂设置 + 固件更新：最可靠的清理方式
• 通知 ISP：如果怀疑感染，通知你的 ISP
• 更换旧路由器：考虑升级不再接收安全更新的路由器

来源: Ars Technica | 完整报道