CNR上海5月25日電（記者 付文杰 韓曉宇 通訊員 楊文）5月23日晚，騰云網(wǎng)絡(luò)團(tuán)隊(duì)發(fā)布預(yù)警，一種名為“”的新型惡意軟件正在全球蔓延。估計有54個國家被攻陷，受感染設(shè)備數(shù)量至少50萬臺。

團(tuán)隊(duì)的研究和分析表明，它更具破壞性，可以通過燒毀用戶的設(shè)備來掩蓋痕跡。它比簡單地刪除惡意軟件痕跡更深入。使用惡意軟件，攻擊者可以實(shí)現(xiàn)各種其他目的。例如監(jiān)控網(wǎng)絡(luò)流量和攔截敏感網(wǎng)絡(luò)的憑據(jù)；窺探設(shè)備網(wǎng)絡(luò)流量并部署針對 ICS 基礎(chǔ)設(shè)施的專門惡意軟件；利用受感染設(shè)備的僵尸網(wǎng)絡(luò)隱藏其他惡意攻擊的來源；使路由器癱瘓并使其易受攻擊 受到攻擊的大部分 基礎(chǔ)設(shè)施不可用。此類命令可以大規(guī)模執(zhí)行，如果需要，可以使數(shù)千臺設(shè)備無法使用。

目前受影響的設(shè)備主要包括小型和家庭辦公室 (SOHO) 中使用的 、 、 和 TP-Link 路由器，以及 QNAP 網(wǎng)絡(luò)附加存儲 (NAS) 設(shè)備。未發(fā)現(xiàn)其他網(wǎng)絡(luò)設(shè)備供應(yīng)商受到感染。

騰云網(wǎng)絡(luò)發(fā)布攻擊過程示意圖

據(jù)報道，它是一個高度模塊化的框架，允許快速更改作戰(zhàn)目標(biāo)設(shè)備，同時為情報收集和尋找攻擊平臺提供支持。其攻擊路徑主要分為三個階段。階段 1 惡意軟件通過重啟植入網(wǎng)站建設(shè)，該階段的主要目的是獲得持久的立足點(diǎn)并允許部署階段 2 惡意軟件。

第 2 階段惡意軟件具有智能收集平臺所期望的功能，例如文件收集、命令執(zhí)行、數(shù)據(jù)過濾和設(shè)備管理。重啟設(shè)備，使其無法使用。

此外，還有多個第 3 階段模塊作為第 2 階段惡意軟件的插件，可提供附加功能，目前思科團(tuán)隊(duì)發(fā)現(xiàn)了兩個插件模塊：一個數(shù)據(jù)包嗅探器，用于收集通過設(shè)備的流量php網(wǎng)站入侵工具網(wǎng)站建設(shè)，包括竊取網(wǎng)站憑據(jù)和監(jiān)控協(xié)議，以及允許 2 與 Tor 通信的通信模塊，據(jù)稱還有其他幾個插件模塊php網(wǎng)站入侵工具，但尚未被發(fā)現(xiàn)。

“我們針對惡意軟件和潛在的擴(kuò)展攻擊面提供了幾項(xiàng)保護(hù)建議?！?25日，阿里巴巴安全部獵戶座實(shí)驗(yàn)室資深安全專家表示，由于大部分受影響的設(shè)備都是直連互聯(lián)網(wǎng)的，攻擊者與設(shè)備之間大多沒有安全保障，大部分受影響的設(shè)備都有公開漏洞，而且大多數(shù)都沒有內(nèi)置的反惡意軟件功能，因此很難防御此類威脅。

“阿里巴巴安全獵戶座實(shí)驗(yàn)室持續(xù)關(guān)注系統(tǒng)平臺、軟硬件基礎(chǔ)設(shè)施，以及底層的傳統(tǒng)和新興威脅?！? Lab安全專家表示，解決方案主要包括幾個方面。

首先要保證設(shè)備和補(bǔ)丁都是最新版本，同時更新的補(bǔ)丁要及時應(yīng)用，避免出現(xiàn)漏洞；此外，設(shè)備應(yīng)盡量減少對外開放的端口服務(wù)，以減少攻擊面；需要及時更改設(shè)備的默認(rèn)密碼，以滿足復(fù)雜性要求；開發(fā)和部署了 100 多個簽名，以暴露與此威脅相關(guān)的設(shè)備的已知漏洞。這些規(guī)則已部署在公共集合中，可用于保護(hù)設(shè)備；將涉及的域名/IP地址列入黑名單，并將其與威脅關(guān)聯(lián)起來進(jìn)行檢測、攔截和防御；路由器和NAS設(shè)備被感染，建議用戶恢復(fù)出廠默認(rèn)值，升級最新版本，打最新補(bǔ)丁后重啟。