一个新被识别出的僵尸网络,追踪代号为 Eleven11bot,已入侵了约 30,000 台联网设备 —— 主要是安全摄像头和网络视频录像机(NVR),用于对关键基础设施发动分布式拒绝服务(DDoS)攻击。
2025 年 2 月 26 日,Nokia Deepfield 应急响应团队(ERT)发现了这个僵尸网络,此后它与针对电信供应商、游戏平台和企业网络的多日攻击活动相关联。
参与分析该僵尸网络的安全研究员Jérôme Meyer将其描述为 “自 2022 年 2 月以来观察到的已知最大规模 DDoS 僵尸网络攻击活动之一”。
利用HiSilicon漏洞的 Mirai 变种
Eleven11bot 并非独立的僵尸网络,而是 Mirai 的一个变种,它利用针对基于HiSilicon芯片的物联网设备的一种新漏洞,尤其是那些运行 TVT – NVMS9000 视频管理软件的设备。
该恶意软件利用固件中的默认凭据和未修复的漏洞来控制设备。
与早期的 Mirai 版本不同,Eleven11bot 使用一种优化的扫描算法来识别暴露的 Telnet(端口 23)和 SSH(端口 22)服务,随后使用针对 VStarcam 等物联网制造商定制的凭据字典进行暴力破解攻击。
GreyNoise Intelligence 分析了与该僵尸网络相关的 1400 个 IP 地址,确认其中 1042 个为主动恶意 IP。
该僵尸网络的命令与控制(C2)基础设施使用加密通道来分发攻击有效载荷,包括 UDP 泛洪和 HTTP/HTTPS 放大向量,观察到的攻击强度范围从每秒 100,000 个数据包到超过 5 亿个数据包(pps)。
最初的报告基于在流量日志中检测到的一个被误解的网络特征 ——“head […] 1111”,估计有 86,400 台受感染设备。
这个特征后来被认定为HiSilicon SDK 协议,这是白标物联网硬件中远程设备管理的一个合法组件。
GreyNoise 的修正分析表明,实际被入侵的活跃设备少于 5000 台,不过该僵尸网络集中的火力仍然不容小觑。
Eleven11bot 的操控者优先将电信行业的目标作为攻击对象,其攻击扰乱了像 VoIP 和云游戏这类对延迟敏感的服务。
值得注意的是,该僵尸网络避开了由Nokia Deepfield 的 Defender 平台保护的网络,该平台使用实时流量分析来过滤恶意有效载荷。
迈耶强调,由于预先对僵尸网络 IP 进行了阻止列表设置以及行为异常检测,Deepfield 的客户 “得到了充分的保护”。
企业的缓解策略
GreyNoise 建议采取以下措施来对抗 Eleven11bot 及类似威胁:
网络层面封锁:部署防火墙或入侵防御系统(IPS),封锁 GreyNoise 识别出的 1042 个恶意 IP 的流量。
强化物联网设备安全:禁用基于HiSilicon芯片设备的远程管理功能,更改默认凭据,并应用固件更新。TVT – NVMS9000 软件需要立即针对 CVE – 2024 – 32899(未认证远程代码执行漏洞)进行修补。
缓解 DDoS 攻击:对 UDP/53(DNS)和 UDP/123(NTP)协议启用速率限制,并在攻击期间部署基于云的流量清洗服务。
行为监测:使用安全信息和事件管理(SIEM)工具标记 Telnet/SSH 端口上的重复登录尝试以及物联网设备意外的出站流量。
虽然 Eleven11bot 最初的感染设备数量被高估了,但其发动高 pps DDoS 攻击的能力对未受保护的网络构成了切实风险。
这一事件凸显了在物联网环境中进行固件更新和实施零信任策略的迫切必要性。
随着研究人员继续监测该僵尸网络的 305 个活跃恶意 IP,企业被敦促对其设备情况进行审计,并采取主动的威胁搜寻措施。
发表评论
您还未登录,请先登录。
登录