只用一天，黑客利用华为路由器漏洞“集结”了1.8万台设备

在一天的时间里，恶意软件作者已构建了由超过1.8万台路由器组成的巨大的僵尸网络。

前天，NewSky Security 公司的安全研究员发现了这个新的僵尸网络，并在昨天得到了奇虎360 Netlab、Rapid7 和 Greynoise 的证实。

只需一个利用代码即构建完成

攻击者利用华为 HG532 路由器中的一个漏洞 CVE-2017-17215 构建了这个僵尸网络。奇虎360 Netlab 通过 NetScan 系统收集的数据指出，这个可经由端口37215暴露的漏洞在7月18日也就是前天开始扫描，而在晚上晚些时候，NewSky 公司的安全研究员 Ankit Anubhav 表示该僵尸网络已经集结了1.8万台路由器。Anubhav 指出，这款僵尸网络的作者向他炫耀自己的战果，甚至HIA共享了所有受害者的 IP 地址清单。

僵尸网络作者是老手 Anarchy

这款僵尸网络的作者网名为 “Anarchy”，他并未解释创建僵尸网络的原因。

但 Anubhav 认为 Anarchy 实际上可能是此前被识别为 “Wicked” 的黑客。Wicked/Anarchy 是有名的恶意软件作者，他过去曾创建了 Mirai 物联网恶意软件的多个变种。这些变种及其对应的僵尸网络是 Wicked、Omni 和 Owari（Sora），它们曾发动 DDoS 攻击。

Realtek 路由器也将遭殃

但真正的问题并不在于一个恶意软件作者在做自己最擅长的事情，而是一天内 Anarchy 就构建了一个巨大的僵尸网络的事实。

Anarchy 并未利用 0day 漏洞，或者此前未遭利用的漏洞。他使用的只是此前曾遭很多僵尸网络利用过的漏洞。

CVE-2017-17215 广为人知，至少遭两个 Satori 僵尸网络版本以及很多更小规模的基于 Mirai 的分支的利用。你可能认为本应该修复设备的用户或互联网服务提供商现在应该拦截端口37215上的连接了。

但 Anarchy 的动作尚未结束。他报纸 Anubhav 表示计划利用 Realtek 路由器中可经由端口52869 利用的 CVE-2014-8361。Anubhav 表示在夜晚，Anarchy 已开始针对 Realtek 利用的测试。Rapid7 和 Greynoise 公司证实称对该漏洞的扫描已飞涨。

竟然有人能够在一天内构建如此庞大的 DDoS 僵尸网络这一事实让人既兴奋又悲伤。这只能表明 SOHO 路由器令人遗憾的安全现状。

NewSky 安全和突尼斯 CERT公司发布的妥协指标如下：

SHA-256: 61440574aafaf3c4043e763dd4ce4c628c6c92fb7d7a2603076b3f60f2813f1b

C2: hxxp://104.244.72.82 

本文由360代码卫士翻译自BleepingComputer

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。