马壳恶意软件

一个被称为“Camaro Dragon”的黑客组织，据信是由中国政府资助的，被发现用一种名为 Horse Shell 的自定义恶意软件感染了住宅 TP-Link 路由器。此次攻击活动专门针对欧洲外交事务组织。

黑客通过为 TP-Link 路由器量身定制的具有威胁性的定制固件来部署此后门恶意软件。通过这样做，他们可以进行看似源自住宅网络的攻击。

这种类型的攻击针对常规住宅和家庭网络。因此，家用路由器被感染并不一定表明房主本身就是特定目标；相反，他们的设备为攻击者实现目标提供了便利。

一旦部署了恶意软件，威胁行为者就可以完全访问受感染的设备。这包括执行 shell 命令、上传和下载文件以及将路由器用作 SOCKS 代理以促进设备之间通信的能力。

该研究于 2023 年 1 月发现了 Horse Shell TP-Link 固件植入程序。他们观察到黑客的活动与另一个名为 Mustang Panda 的中国黑客组织重叠，但他们正在以单独的 Camaro Dragon 名称追踪威胁行为者。

Horse Shell 通过不安全的 TP-Link 固件部署

根据网络安全研究人员的调查结果，攻击者通过引入具有威胁性的固件映像来感染 TP-Link 路由器。这可能是通过利用路由器软件中的漏洞或尝试通过蛮力方法猜测管理员的凭据来实现的。

一旦威胁者获得对路由器管理界面的管理访问权限，他们就能够使用包含 Horse Shell 恶意软件的自定义固件映像远程更新设备。

到目前为止，已经发现了两个专门为 TP-Link 路由器设计的木马化固件图像样本。这些有害的固件版本包含对原始文件的大量修改和添加。

在将被篡改的 TP-Link 固件与合法版本进行比较时，专家发现内核和 uBoot 部分是相同的。但是，不安全的固件包含一个自定义 SquashFS 文件系统，其中包含与 Horse Shell 后门植入相关的其他损坏文件组件。此外，不安全的固件还改变了管理 Web 面板，有效地防止设备所有者将新的固件映像刷写到路由器上，并确保感染的持久性。

马壳植入物的有害功能

一旦 Horse Shell 后门植入程序被激活，它就会采用多种技术来确保其持久性和隐蔽性。首先，它指示操作系统在发出某些命令（例如 SIGPIPE、SIGIN 或 SIGABRT）时不要终止其进程。此外，它将自身转换为守护进程，使其能够在后台静默运行。

接下来，后门与操作的命令和控制（C2）服务器建立连接。它发送受害者的机器配置文件，其中包括用户名、操作系统版本、设备详细信息、IP 地址、MAC 地址和植入程序支持的功能等信息。

完成设置阶段后，Horse Shell 耐心等待 C2 服务器的指令。它侦听三个特定命令：

• 启动远程 shell：此命令授予威胁参与者对受感染设备的完全访问权限，使他们能够执行命令并执行不安全的活动。
• 执行文件传输活动：后门有助于文件的上传和下载、基本的文件操作和目录枚举，允许威胁行为者操纵受感染设备上的数据。
• 启动隧道： Horse Shell 可以启动隧道以混淆网络流量的目的地和来源。通过隐藏 C2 服务器地址，此技术有助于保持攻击者操作的隐秘性。

研究人员指出，Horse Shell 固件植入并不局限于特定类型的固件，而是与固件无关的。因此，从理论上讲，它可能会用于来自不同供应商的路由器的固件映像中。

国家资助的黑客以安全性差的路由器为目标并不奇怪。路由器经常成为僵尸网络的目标，以进行分布式拒绝服务 (DDoS) 攻击或加密挖掘操作等活动。这些攻击利用路由器经常被忽视的安全措施，让受感染的设备充当有害活动的不显眼的发射台，同时掩盖攻击者的来源。