CNR上海5月25日電（記者 付文杰 韓曉宇 通訊員 楊文）5月23日晚，騰云網絡團隊發(fā)布預警，一種名為“”的新型惡意軟件正在全球蔓延。估計有54個國家被攻陷，受感染設備數量至少50萬臺。

團隊的研究和分析表明，它更具破壞性，可以通過燒毀用戶的設備來掩蓋痕跡。它比簡單地刪除惡意軟件痕跡更深入。使用惡意軟件，攻擊者可以實現(xiàn)各種其他目的。例如監(jiān)控網絡流量和攔截敏感網絡的憑據；窺探設備網絡流量并部署針對 ICS 基礎設施的專門惡意軟件；利用受感染設備的僵尸網絡隱藏其他惡意攻擊的來源；使路由器癱瘓并使其易受攻擊 受到攻擊的大部分 基礎設施不可用。此類命令可以大規(guī)模執(zhí)行，如果需要，可以使數千臺設備無法使用。

目前受影響的設備主要包括小型和家庭辦公室 (SOHO) 中使用的 、 、 和 TP-Link 路由器，以及 QNAP 網絡附加存儲 (NAS) 設備。未發(fā)現(xiàn)其他網絡設備供應商受到感染。

騰云網絡發(fā)布攻擊過程示意圖

據報道，它是一個高度模塊化的框架，允許快速更改作戰(zhàn)目標設備，同時為情報收集和尋找攻擊平臺提供支持。其攻擊路徑主要分為三個階段。階段 1 惡意軟件通過重啟植入網站建設，該階段的主要目的是獲得持久的立足點并允許部署階段 2 惡意軟件。

第 2 階段惡意軟件具有智能收集平臺所期望的功能，例如文件收集、命令執(zhí)行、數據過濾和設備管理。重啟設備，使其無法使用。

此外，還有多個第 3 階段模塊作為第 2 階段惡意軟件的插件，可提供附加功能，目前思科團隊發(fā)現(xiàn)了兩個插件模塊：一個數據包嗅探器，用于收集通過設備的流量php網站入侵工具網站建設，包括竊取網站憑據和監(jiān)控協(xié)議，以及允許 2 與 Tor 通信的通信模塊，據稱還有其他幾個插件模塊php網站入侵工具，但尚未被發(fā)現(xiàn)。

“我們針對惡意軟件和潛在的擴展攻擊面提供了幾項保護建議?！?25日，阿里巴巴安全部獵戶座實驗室資深安全專家表示，由于大部分受影響的設備都是直連互聯(lián)網的，攻擊者與設備之間大多沒有安全保障，大部分受影響的設備都有公開漏洞，而且大多數都沒有內置的反惡意軟件功能，因此很難防御此類威脅。

“阿里巴巴安全獵戶座實驗室持續(xù)關注系統(tǒng)平臺、軟硬件基礎設施，以及底層的傳統(tǒng)和新興威脅?！? Lab安全專家表示，解決方案主要包括幾個方面。

首先要保證設備和補丁都是最新版本，同時更新的補丁要及時應用，避免出現(xiàn)漏洞；此外，設備應盡量減少對外開放的端口服務，以減少攻擊面；需要及時更改設備的默認密碼，以滿足復雜性要求；開發(fā)和部署了 100 多個簽名，以暴露與此威脅相關的設備的已知漏洞。這些規(guī)則已部署在公共集合中，可用于保護設備；將涉及的域名/IP地址列入黑名單，并將其與威脅關聯(lián)起來進行檢測、攔截和防御；路由器和NAS設備被感染，建議用戶恢復出廠默認值，升級最新版本，打最新補丁后重啟。