AVrecon僵尸网络感染超7万台Linux路由器

根据Lumen Black Lotus Labs的报告，自2021年5月以来，AVrecon Linux恶意软件已感染超过7万台SOHO路由器，并将其中大部分设备纳入专门创建隐藏住宅代理的僵尸网络。

什么是住宅代理？

住宅代理允许僵尸网络运营商掩盖各种恶意活动，从数字广告欺诈到密码喷洒攻击。

AVrecon僵尸网络潜伏两年未被发现

尽管AVrecon远程访问木马（RAT）感染了超过7万台设备，但研究人员表示，只有4万台设备在恶意软件获得立足点后成为了僵尸网络的一部分。AVrecon在很长一段时间内几乎完全避开了检测，尽管该恶意软件早在2021年5月针对Netgear路由器时就被首次发现。从那时起，该僵尸网络两年未被发现，并逐渐增长，如今已成为全球最大的针对路由器的僵尸网络之一。

专家表示："我们怀疑攻击者专注于SOHO设备，因为这些设备不太可能修补各种CVE漏洞。僵尸网络运营商没有为了快速获利而使用僵尸网络，而是采取了更温和的方法，能够两年不被发现。由于恶意软件的隐蔽性，受感染设备的所有者很少注意到性能问题或带宽损失。"

感染过程分析

感染后，恶意软件会将有关被黑路由器的信息发送到命令与控制服务器的内置地址。建立联系后，被黑设备被指示与另一组服务器建立通信——第二阶段的控制服务器。研究人员根据x.509证书信息发现了15个这样的服务器，这些服务器自2021年10月以来一直在运行。

研究人员破坏AVrecon僵尸网络

专家指出，他们通过重置骨干网中僵尸网络控制服务器的路由，成功破坏了AVrecon的工作。这有效地切断了僵尸网络与其控制基础设施之间的连接，显著限制了恶意软件执行恶意操作的能力。

安全建议

AVrecon Linux恶意软件提醒我们，保持路由器更新最新安全补丁非常重要。同样重要的是使用强密码并定期更改。此外，了解路由器被入侵的迹象也很重要，例如性能突然变化、带宽损失和意外重启。如果您发现任何这些迹象，立即采取措施至关重要。