ZuoRAT攻击SOHO路由器以感染Mac、Windows设备，华硕等产品中标

研究人员发现一只名为ZuoRAT的木马程式攻击多款北美及欧洲等地小型企业及家用路由器，以便感染其他连网设备，包括思科、华硕在内等近80款产品曾遭到锁定。

Lumen Technologies的Black Lotus Labs研究人员近日发现一波锁定中小企业及家用（SOHO）路由器的攻击，允许攻击者劫持这些设备后以之为跳板，经由用户本地网络（LAN）感染其他同网络上的Windows、MacOS及Linux连网设备。研究人员目前发现有思科（Cisco）、华硕、Netgear及居易科技（DrayTek）等品牌的家用路由器产品成为目标。

研究人员分析，这波攻击是一种多阶段攻击，先由ZuoRAT打头阵。 Zuo取自中文的「左」，因它包含一个asdf.a的档案，是利用键盘左手的4个字母组成。 ZuoRAT是一个专为SOHO路由器撰写的MIPS档案，可能是经由路由器产品漏洞植入。 ZuoRAT具有列举主机及内部LAN、搜集感染装置封包，以及进行中间人攻击（person-in-the-middle）的能力。

图片来源/Black Lotus Labs

一旦进入路由器设备后，攻击就进入第二阶段。在列举连网装置及LAN网络，寻找到目标后，ZuoRAT利用两种方法进行中间人攻击以访问这些设备，包括以DNS劫持及HTTP劫持。 DNS劫持是置换路由器到外部服务网域如谷歌或Facebook的IP地址，后者则是在装置对外连线时注入HTTP连线，制造302错误信息。两者的目的皆是将用户连线导向恶意IP地址。研究人员指出，这2种劫持法相当难以侦测。

在攻击第3阶段ZuoRAT结合一个C++下载器程序，植入后续其他程序，包括CBeacon、GoBeacon及Cobalt Strike。其中CBeacon是针对Windows工作站等环境的C++木马程序，GoBeacon则是可横跨Linux及macOS平台。 Cobalt Strike则作为辅助之用，三者都是全功能型木马程序。可和其他被当成C&C服务器的装置建立联机，上传下载文件，执行代码及在装置内渗透潜伏。

研究人员分析第一阶段ZuoRAT活动，显示感染源自华硕、思科、居易科技及Netgear的设备。不过在研究期间出现开采活动者仅剩一台品牌Techdata的JCG-Q20路由器。研究人员解释，这是因为攻击者使用高明的潜伏手法。路由器重开机就能移除ZuoRAT及任何活动痕迹，此外攻击者也能远程删除装置内的ELF档，再下载新版C&C程序。

而被骇入的路由器产品也可以当成C&C代理服务器，和其他被感染的路由器相互通讯，例如Black Lotus Labs研究人员观察到，至少在去年最后3个月期间，北美的多台路由器连到1台位于的Vigor DrayTek路由器，但后来又转到位于加拿大的路由器。