游乐游手机版
首页/科技数码/文章详情

RondoDox僵尸网络武器库升级:漏洞利用能力激增650%

时间:2025-11-07 14:25
这一演变代表了僵尸网络开发策略的根本转变,弥合了机会型物联网攻击与针对性企业入侵之间的鸿沟。 RondoDox僵尸网络近期出现重大升级版本,其漏洞利用能力激增650%,标志着针对企业和物联网(IoT

这一技术演进标志着僵尸网络开发策略发生了根本性转型,弥合了机会型物联网攻击与针对性企业入侵之间的技术鸿沟。

RondoDox僵尸网络近期推出重大升级版本,其漏洞利用能力激增650%,这一变化标志着针对企业和物联网基础设施的威胁态势正在显著升级。

FortiGuard实验室在2024年9月首次记录到的原始RondoDox变种仅针对DVR系统,且仅具备两种漏洞利用途径。而最新发现的RondoDox v2则展现出惊人扩张能力,拥有超过75种不同的漏洞利用方式,攻击目标涵盖从老旧路由器到现代企业应用的各类设备。

此次升级代表了僵尸网络运营策略的根本转变,有效衔接了针对物联网设备的随机攻击与企业网络的定向入侵。2025年10月30日,研究人员通过蜜罐遥测技术检测到该恶意软件,当时研究基础设施开始接收到来自新西兰IP地址124.198.131.83的自动化漏洞利用尝试。

攻击特征与技术分析

该攻击模式凭借其规模和复杂程度立即引起关注,攻击者在短时间内连续部署了75种不同的漏洞利用载荷。所有载荷均尝试针对路由器和IoT设备漏洞实施命令注入攻击,并从位于74.194.191.52的命令与控制服务器下载恶意脚本。

值得注意的是,威胁行为者一反僵尸网络运营者惯用的匿名操作策略,直接在User-Agent字符串中嵌入了公开归属签名——bang2013@atomicmail.io。Beelzebub分析师通过其原生AI欺骗平台识别出该恶意软件,该平台完整捕获了攻击链,使研究人员能够全面分析该僵尸网络的技术能力。

RondoDox v2的攻击目标覆盖多个厂商生态系统中存在漏洞的设备,涉及十余年来的CVE漏洞历史记录。其武器库包含多个关键漏洞,包括:

CVE-2014-6271(Shellshock)CVE-2018-10561(Dasan GPON路由器)CVE-2024-41773(Apache HTTP服务器)CVE-2024-3721(TBK DVR系统)

该恶意软件展现出跨平台灵活性,部署了16种针对特定架构的二进制文件,包括x86_64、多种ARM变体、MIPS、PowerPC,甚至包括m68k和SPARC等老旧架构。这种全面的架构支持确保了其在各类嵌入式系统和企业服务器上的最大感染潜力。

命令与控制基础设施运行在分布于多个ASN的被入侵住宅IP地址上,提供了传统拦截策略难以应对的韧性和规避能力。

技术基础设施与混淆机制

RondoDox v2使用的投放脚本展示了精密的规避和持久化技术,旨在绕过安全控制并清除竞争性恶意软件。执行后,脚本立即使用setenforce 0和service apparmor stop等命令禁用SELinux和AppArmor安全框架,为恶意活动创造有利环境。

随后脚本会进行激进的竞争者清除操作,系统性终止与xmrig等加密货币挖矿程序以及redtail等其他已知僵尸网络家族相关的进程。这种行为确保了在被感染系统上的资源独占,同时通过消除嘈杂的竞争性恶意软件降低了检测概率。

二进制载荷本身采用基于XOR的字符串混淆技术(密钥值为0x21),以隐藏静态分析工具可能发现的关键配置数据。解码后的字符串揭示了命令与控制协议的实现细节,包括用于C2初始化的"handshake"和表明DDoS能力的"udpraw"。

该恶意软件展现出反分析意识,会检查退出代码137——这是自动化沙箱环境常用的SIGKILL终止信号。检测到该条件会导致脚本立即终止,有效规避许多自动化恶意软件分析系统。

#!/bin/sh# bang2013@atomicmail.ioexec > /dev/null 2>&1[ -t 0 ] && exit 0for p in /proc/[0-9]*; do pid=${p##*/}; [ ! -e "$p/exe" ] && kill -9 $pid 2>/dev/null; donesetenforce 0service apparmor stopmount -o remount,rw /||sudo mount -o remount,rw /

\

持久化机制利用基于cron的调度和@reboot指令,确保系统重启后自动执行。恶意软件尝试在多个文件系统位置安装自身,包括/tmp/lib/rondo、/dev/shm/lib/rondo和/var/tmp/lib/rondo,显示出对不同系统配置和权限结构的了解。

网络通信通过TCP端口345进行,使用自定义二进制协议,首先向位于74.194.191.52的C2服务器发送"handshake"消息。恶意软件会伪造User-Agent字符串,伪装成合法的iPhone iOS 18.5设备,进一步在企业环境中隐藏恶意流量。

DDoS能力包括:

模仿游戏流量的HTTP洪水攻击UDP原始套接字操作TCP SYN洪水攻击对OpenVPN、WireGuard以及Minecraft、Fortnite和Discord等流行游戏平台的协议模仿攻击
来源:https://www.51cto.com/article/829079.html
上一篇小米王化回应“小米通话”停运:业务聚焦调整,与通话功能无关 下一篇AI引爆存储需求,华尔街投行上调闪迪目标价,美银看好估值重塑
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
OpenClaw手机App上线,结果翻车了
科技数码 · 2026-07-01

OpenClaw手机App上线,结果翻车了

OpenClaw 官方宣布,已正式推出 iOS 和 Android 原生移动 App,用户如今可以在手机上使用这款主打“能真正帮你做事”的个人 AI 助手。官方在 X 上给出的定位也很直接:把 Agent 放进口袋里,让用户可以在移动端处理频道消息、任务和回复。从功能上看,OpenClaw 移动端并

优必选CEO周剑:家庭机器人生态核心投入过半精力
科技数码 · 2026-07-01

优必选CEO周剑:家庭机器人生态核心投入过半精力

先说几个核心判断:优必选正在布局一盘长远战略。创始人兼CEO周剑在近期一场媒体沟通会上,直接亮出了公司未来的发展路线——工业、商用、家庭陪伴机器人三条业务主赛道并行推进,现阶段每条线各占约一半精力。一边是已经能够稳定创造收入的工业场景,另一边则是他眼中“最具想象力与未来空间”的家庭陪伴领域。工业人形

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛
科技数码 · 2026-07-01

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛

6月30日,申银万国在光连接系列研报中重点指出,MPO光连接器领域的投资机会值得高度关注。通俗来说,随着AI算力集群持续扩张,光互联升级带来的连锁效应——数据中心光纤通道数量、前面板端口密度、机柜内光纤管理复杂度——均在同步攀升。光连接器的角色早已超越传统的低价值标准件,如今它直接决定着链路插损、可

龙岗AR实景剧本游内测体验短板有效破解之道
科技数码 · 2026-07-01

龙岗AR实景剧本游内测体验短板有效破解之道

在今年龙岗区第二届人工智能与机器人发展大会上,区级部门一次性推出了7个AI“龙搭子”。其中,名为“龙导游”的成果成为文商旅融合领域的核心亮点。据南都N视频记者了解,依托“龙导游”打造的全区全域AR实景剧本游“龙岗大陆”,已在今年五一假期发布了内测版本。经过一个月市场验证后,该项目正式启动面向全社会的

南下资金6月30日净买入中芯国际与建滔积层板
科技数码 · 2026-07-01

南下资金6月30日净买入中芯国际与建滔积层板

6月30日,南下资金持续大举买入港股,单日净流入金额高达58 95亿港元。接下来,我们直接盘点哪些个股获得资金青睐、哪些遭到减持: 净买入方面,中芯国际领跑全场,单日吸金19 33亿港元;建滔积层板紧随其后,净买入10 59亿港元;腾讯控股获得7 65亿港元净流入;智谱(02513 HK)也有6 5