馬殼惡意軟件

一個被稱為“Camaro Dragon”的黑客組織，據信是由中國政府資助的，被發現用一種名為 Horse Shell 的自定義惡意軟件感染了住宅 TP-Link 路由器。此次攻擊活動專門針對歐洲外交事務組織。

黑客通過為 TP-Link 路由器量身定制的具有威脅性的定制固件來部署此後門惡意軟件。通過這樣做，他們可以進行看似源自住宅網絡的攻擊。

這種類型的攻擊針對常規住宅和家庭網絡。因此，家用路由器被感染並不一定表明房主本身就是特定目標；相反，他們的設備有助於為攻擊者實現目標提供便利。

一旦部署了惡意軟件，威脅行為者就可以完全訪問受感染的設備。這包括執行 shell 命令、上傳和下載文件以及將路由器用作 SOCKS 代理以促進設備之間通信的能力。

該研究於 2023 年 1 月發現了 Horse Shell TP-Link 固件植入程序。他們觀察到黑客的活動與另一個名為 Mustang Panda 的中國黑客組織重疊，但他們正在以單獨的 Camaro Dragon 名稱追踪威脅行為者。

Horse Shell 通過不安全的 TP-Link 固件部署

根據網絡安全研究人員的調查結果，攻擊者通過引入具有威脅性的固件映像來感染 TP-Link 路由器。這可能是通過利用路由器軟件中的漏洞或嘗試通過蠻力方法猜測管理員的憑據來實現的。

一旦威脅者獲得對路由器管理界面的管理訪問權限，他們就能夠使用包含 Horse Shell 惡意軟件的自定義固件映像遠程更新設備。

到目前為止，已經發現了兩個專門為 TP-Link 路由器設計的木馬化固件圖像樣本。這些有害的固件版本包含對原始文件的大量修改和添加。

在將被篡改的 TP-Link 固件與合法版本進行比較時，專家發現內核和 uBoot 部分是相同的。但是，不安全的固件包含一個自定義 SquashFS 文件系統，其中包含與 Horse Shell 後門植入相關的其他損壞文件組件。此外，不安全的固件還改變了管理 Web 面板，有效地防止設備所有者將新的固件映像刷寫到路由器上，並確保感染的持久性。

馬殼植入物的有害功能

一旦 Horse Shell 後門植入程序被激活，它就會採用多種技術來確保其持久性和隱蔽性。首先，它指示操作系統在發出某些命令（例如 SIGPIPE、SIGIN 或 SIGABRT）時不要終止其進程。此外，它將自身轉換為守護進程，使其能夠在後台靜默運行。

接下來，後門與操作的命令和控制（C2）服務器建立連接。它發送受害者的機器配置文件，其中包括用戶名、操作系統版本、設備詳細信息、IP 地址、MAC 地址和植入程序支持的功能等信息。

完成設置階段後，Horse Shell 耐心等待 C2 服務器的指令。它監聽三個特定命令：

• 啟動遠程 shell：此命令授予威脅參與者對受感染設備的完全訪問權限，使他們能夠執行命令並執行不安全的活動。
• 執行文件傳輸活動：後門有助於文件的上傳和下載、基本的文件操作和目錄枚舉，允許威脅行為者操縱受感染設備上的數據。
• 啟動隧道： Horse Shell 可以啟動隧道以混淆網絡流量的目的地和來源。通過隱藏 C2 服務器地址，此技術有助於保持攻擊者操作的隱秘性。

研究人員指出，Horse Shell 固件植入並不局限於特定類型的固件，而是與固件無關的。因此，從理論上講，它可能會用於來自不同供應商的路由器的固件映像中。

國家資助的黑客以安全性差的路由器為目標並不奇怪。路由器經常成為殭屍網絡的目標，以進行分佈式拒絕服務 (DDoS) 攻擊或加密挖掘操作等活動。這些攻擊利用路由器經常被忽視的安全措施，讓受感染的設備充當有害活動的不顯眼的發射台，同時掩蓋攻擊者的來源。