SOHO路由器安全漏洞：ZuoRAT恶意软件的威胁

关键要点

• 研究人员发现名为ZuoRAT的恶意软件，针对北美和欧洲家庭网络的SOHO路由器。
• ZuoRAT允许攻击者入侵本地网络，未被发现地获取更广泛的访问权限。
• SOHO路由器通常缺乏必要的安全防护，成为攻击者的热门目标。

在远程办公时代的副产品中，研究人员本周报告称他们发现了一项复杂的网络攻击活动，针对的是来自华硕、思科和网件等公司的小型办公室/家庭办公室（SOHO）路由器，主要目标为北美和欧洲家庭网络。

在中，黑莲花实验室（Black LotusLabs），Lumen的威胁情报部门，表明他们识别出了一种开发用于SOHO设备的（RAT），名为ZuoRAT。它可以让攻击者通过劫持网络通信进入本地网络，进一步获取公司局域网中的其他系统，且不会被发现。

研究人员表示，ZuoRAT的命名基于中文“左”的意思，因为攻击者的文件名为“asdf.a”，这暗示着对左手家用键位的键盘操作。

虽然通过攻击SOHO路由器来获取局域网访问权限并非新技术，但这类攻击较少被报告。研究人员补充说，利用中间人攻击的方法，如DNS和HTTP劫持，则更为罕见，标志着一项复杂且有针对性的操作。采用这些技术的结合，表明攻击者的高水平技术，可能是由某个国家赞助的组织实施的。

Huntress公司的高级安全研究员JohnHammond表示，SOHO设备是攻击者的丰厚目标，因为它们提供了灵活的控制。Hammond指出，路由器网关往往不会像典型工作站或服务器终端那样受到严格监控或审计。在成功侵入路由器后，攻击者可能保持隐蔽状态，监视本地网络流量，或者重新刷写固件，以获得更强的持久性。

“坦白说，你很少看到SOHO攻击被公众关注——需要高级对手才能为嵌入式系统编写有效载荷和恶意软件，因此黑莲花实验室推测ZuoRAT可能来自一个资源丰富的国家支持的参与者并不意外。”——Hammond说道。

Hammond补充说，在研究中，黑莲花实验室表示ZuoRAT利用了SOHO设备中十分常见的漏洞：逻辑错误导致的认证绕过和未消毒输入造成的代码注入。他表示，很多情况下，这类路由器的最终用户并未配置以更改默认凭证，甚至没有应用补丁和更新。

“令我印象深刻的细节是，如果ZuoRAT无法确定公共IP地址，它就不会触发，自行从目标中删除，”Hammond说。“这是一种常用于传统端点恶意软件的防御规避技术，用于检测其是否在沙盒内运行——但对于路由器基础的恶意软件并不常见。”

Bugcrowd安全运营的高级总监MichaelSkelton表示，SOHO路由器通常缺乏更商业化产品的安全特性，并且一般不会经过深入的配置审查或更新默认设置。

“有推测认为ZuoRAT基于，但这是一个经过深度修改的版本，”Skelton说。“根据黑莲花实验室的说法，该恶意软件使攻击者能够进入本地网络并通过劫持网络通信来获取LAN中其他系统的访问权限，保持隐蔽的立足点。由于SOHO路由器通常用于监测不如商业网络活跃的环境，这就给攻击者提供了一个更容易潜行的攻击面。”

Netenrich的主