AVrecon 僵尸网络感染超 7 万台 Linux 路由器

根据 Lumen Black Lotus Labs 的报告，自 2021 年 5 月以来，AVrecon Linux 恶意软件已感染超过 7 万台 SOHO 路由器，并将其中大部分设备纳入专门创建隐藏住宅代理的僵尸网络。

什么是住宅代理？

住宅代理允许僵尸网络运营商掩盖各种恶意活动，从数字广告欺诈到密码喷洒攻击。

AVrecon 僵尸网络潜伏两年未被发现

尽管 AVrecon 远程访问木马（RAT）感染了超过 7 万台设备，但研究人员表示，只有 4 万台设备在恶意软件获得立足点后成为了僵尸网络的一部分。AVrecon 在很长一段时间内几乎完全避开了检测，尽管该恶意软件早在 2021 年 5 月针对 Netgear 路由器时就被首次发现。从那时起，该僵尸网络两年未被发现，并逐渐增长，如今已成为全球最大的针对路由器的僵尸网络之一。

专家表示："我们怀疑攻击者专注于 SOHO 设备，因为这些设备不太可能修补各种 CVE 漏洞。僵尸网络运营商没有为了快速获利而使用僵尸网络，而是采取了更温和的方法，能够两年不被发现。由于恶意软件的隐蔽性，受感染设备的所有者很少注意到性能问题或带宽损失。"

感染过程分析

感染后，恶意软件会将有关被黑路由器的信息发送到命令与控制服务器的内置地址。建立联系后，被黑设备被指示与另一组服务器建立通信——第二阶段的控制服务器。研究人员根据 x.509 证书信息发现了 15 个这样的服务器，这些服务器自 2021 年 10 月以来一直在运行。

研究人员破坏 AVrecon 僵尸网络

专家指出，他们通过重置骨干网中僵尸网络控制服务器的路由，成功破坏了 AVrecon 的工作。这有效地切断了僵尸网络与其控制基础设施之间的连接，显著限制了恶意软件执行恶意操作的能力。

安全建议

AVrecon Linux 恶意软件提醒我们，保持路由器更新最新安全补丁非常重要。同样重要的是使用强密码并定期更改。此外，了解路由器被入侵的迹象也很重要，例如性能突然变化、带宽损失和意外重启。如果您发现任何这些迹象，立即采取措施至关重要。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享