ZuoRAT如何運作?
ZuoRAT 是Mirai的後代,Mirai 是歷史上最著名的物聯網 (IoT) 殭屍網路之一。 Mirai 的原始碼於 2016 年洩露,使得其他惡意軟體能夠在其現有程式碼庫上建置。
ZuoRAT 利用了受 COVID-19 大流行啟發的遠距工作熱潮。 由於疫情的影響,現在有更多的業務流量透過 SOHO 路由器,這些路由器將家庭辦公室或小型企業連接到網路。 這些路由器通常比大型路由器受到更少的監控和保護,這可能是 RAT 在被發現之前在雷達下飛行一年多的原因。
ZuoRAT 透過利用未打補丁的脆弱性來存取 SOHO 路由器。 這些脆弱性是眾所周知的;然而,很少有個人和小型企業應用這些補丁,這使得他們很容易受到剝削。 在獲得路由器的存取權限後,ZuoRAT 的主要目標是收集敏感資料。 它竊聽通過路由器的通訊並對 HTTP 和 DNS 流量執行中間人 (MitM) 攻擊。
作為一種RAT ,惡意軟體也為攻擊者提供了遠端控制受感染裝置的能力。 在收集有關受感染裝置及其所連接的網路的資訊後,惡意軟體操作員可以決定在系統上執行某些命令或下載其他模組。
ZuoRAT 的模組化特性為其提供了廣泛的功能。 據估計,該惡意軟體已識別出 2,500 個不同的模組,使攻擊者能夠針對受感染的系統和網路發動高度客製化的攻擊。
ZuoRAT 惡意軟體如何影響網路系統
ZuoRAT 惡意軟體旨在隱藏在 SOHO 路由器的雷達之下。 除了利用這些路由器通常不受管理的事實之外,惡意軟體還使用路由器到路由器的通訊和代理伺服器進行命令和控制 (C2),這使得檢測惡意軟體或將其追溯到更困難。
除了建構受感染路由器網路之外,ZuoRAT 還可能對組織的網路系統產生各種影響。 該惡意軟體可以竊聽和攔截網路流量,並透過其各種模組,有可能利用惡意軟體的資源和對網路流量的存取來執行其他攻擊,例如密碼噴射或程式碼注入。
ZuoRAT惡意軟體附有Check Point偵測與保護
ZuoRAT 是一種多功能惡意軟體變體,它利用遠端工作激增的機會,針對突然被託管敏感業務資料的未受保護的小型網路。 透過存取未打補丁的 SOHO 路由器,它獲得了監控網路流量的完美立足點,並從這些通常不受管理的裝置中執行其他攻擊。
到 2023 年,此類技術仍然很常見,這表明網路犯罪分子已經採取了成功的策略。 然而,這只是公司正在應對的眾多安全威脅之一。 請參閱 Check Point 的2024 年網路安全報告,以了解更多有關目前網路安全威脅情勢的資訊。
Check Point的Harmony端點為公司提供了識別和管理 ZuoRAT 和其他惡意軟體變體所構成的威脅所需的可見性和控制力。 透過免費演示 了解有關Harmony 端點及其以預防為中心的方法的更多資訊。
反映意見