Aquabot 僵尸网络：DDoS 威胁领域中的另一个参与者

了解 Aquabot 僵尸网络

Aquabot 是一个基于Mirai 框架构建的僵尸网络，Mirai 是一种众所周知的恶意软件，用于控制联网设备以进行破坏性网络活动。自 2023 年底出现以来，它一直被认为是一种主要用于执行大规模分布式拒绝服务 (DDoS) 攻击的工具。它最近因试图利用 Mitel 手机的安全漏洞而受到关注，旨在扩大其受感染设备的网络。

目标漏洞 CVE-2024-41710 是某些 Mitel SIP 电话型号启动过程中的命令注入漏洞。如果成功利用，攻击者便能够在受影响的设备上运行任意命令，从而有效地将它们注册到 Aquabot 不断增长的网络中。尽管 Mitel 在 2024 年中期发布了针对此问题的安全修复程序，但攻击者仍在继续努力入侵尚未修复的设备。

Aquabot 的目标

Aquabot 的核心目的是进行 DDoS 攻击。这类攻击涉及用过多的流量压垮目标网络或服务，从而造成中断和潜在的中断。有报道称，Aquabot 背后的人可能以服务的形式提供对该僵尸网络的访问，允许客户发起自己的 DDoS 攻击。此类行动的证据已在 Telegram 上浮出水面，网络犯罪分子似乎在用 Cursinq Firewall、The Eye Services 和 The Eye Botnet 等别名做广告。

虽然有些人声称 Aquabot 纯粹用于测试或教育目的，但深入分析却推翻了这些说法。僵尸网络的基础设施与付费网络攻击服务常见的模式一致，这进一步加深了人们对其真实意图的怀疑。

Aquabot 如何传播

Aquabot 的最新活动涉及利用 Mitel 手机漏洞以外的多个漏洞。据观察，该僵尸网络针对的是已知的安全漏洞，包括 CVE-2018-10561、CVE-2018-10562、CVE-2018-17532、CVE-2022-31137 和 CVE-2023-26801 等。其中一些漏洞会影响路由器和其他互联网连接硬件，从而使 Aquabot 能够渗透到广泛的设备中。

一旦设备被入侵，就会执行脚本来获取僵尸网络恶意软件。在最近的攻击中，Aquabot 被发现使用“wget”命令检索其有效负载，这使其能够下载并安装执行所需的组件。

该僵尸网络的最新版本包含一个值得注意的功能，称为“report_kill”，当受感染的设备收到终止信号时，它会向命令和控制 (C2) 服务器发出警报。虽然在收到此通知后没有检测到 C2 服务器的立即响应，但此功能表明僵尸网络的架构正在不断改进。此外，Aquabot 试图通过将自身重命名为“httpd.x86”并终止可能干扰其操作的特定进程来逃避检测。

Aquabot 活动的影响

基于 Mirai 的僵尸网络（如 Aquabot）的持续发展凸显了与互联网连接设备相关的持续安全挑战。许多目标设备要么缺乏强大的安全措施，要么已达到支持期限，要么仍使用默认凭据配置。这使得它们成为寻求以最小努力构建大规模僵尸网络的网络犯罪分子的诱人目标。

人们越来越担心网络犯罪分子可能会利用 Aquabot 网络对企业、政府或关键基础设施进行大规模攻击。DDoS 攻击可能导致服务中断、财务损失和声誉受损，尤其是对于依赖在线平台的组织而言。此外，黑市服务出售 Aquabot 访问权限的存在增加了广泛滥用的可能性，因为技术知识很少的个人可能会发起自己的攻击。

更大的图景

Aquabot 的出现凸显了物联网 (IoT) 和联网设备领域更广泛的网络安全问题。许多制造商仍然优先考虑功能而非安全性，从而留下了攻击者可以快速利用的漏洞。虽然软件更新和补丁可以防御已知漏洞，但挑战仍然在于确保用户及时应用这些更新。

随着僵尸网络不断发展，攻击者正在改进其方法以保持持久性并避免被发现。引入“report_kill”等功能表明他们正在转向更复杂的策略，这可能为未来更隐蔽的变体铺平道路。

最后的想法

Aquabot 是威胁行为者利用现有漏洞扩大影响范围的另一个例子。虽然修补受影响设备的努力至关重要，但解决根本原因（例如薄弱的安全措施和过时的硬件）仍然是一项根本挑战。随着网络犯罪分子积极在地下平台上提供僵尸网络服务，强大的网络安全措施的重要性从未如此清晰。

组织和个人都必须保持警惕，确保他们的设备得到妥善保护，以抵御 Aquabot 等新兴威胁。在不断发展的网络安全环境中，定期更新、强大的身份验证实践和网络监控是减轻僵尸网络带来的风险的重要步骤。