RondoDox僵尸网络武器库升级：漏洞利用能力激增650%-优快云博客

RondoDox僵尸网络近期出现重大升级版本，其漏洞利用能力激增650%，标志着针对企业和物联网（IoT）基础设施的威胁态势显著升级。

FortiGuard Labs于2024年9月首次记录的原始RondoDox变种仅针对DVR系统，仅具备两种漏洞利用途径。而新发现的RondoDox v2则展现出惊人扩张，拥有超过75种不同的漏洞利用途径，攻击目标涵盖从老旧路由器到现代企业应用的各类设备。

这一演变代表了僵尸网络开发策略的根本转变，弥合了机会型物联网攻击与针对性企业入侵之间的鸿沟。2025年10月30日，研究人员通过蜜罐遥测技术检测到该恶意软件，当时研究基础设施开始接收到来自新西兰IP地址124.198.131.83的自动化漏洞利用尝试。

攻击特征与技术分析

该攻击模式凭借其规模和复杂程度立即引起关注，攻击者在短时间内连续部署了75种不同的漏洞利用载荷。所有载荷均尝试针对路由器和IoT设备漏洞实施命令注入攻击，并从位于74.194.191.52的命令与控制（C2）服务器下载恶意脚本。

值得注意的是，威胁行为者一反僵尸网络运营者惯用的匿名操作安全策略，直接在User-Agent字符串中嵌入了公开归属签名——bang2013@atomicmail.io。Beelzebub分析师通过其原生AI欺骗平台识别出该恶意软件，该平台完整捕获了攻击链，使研究人员能够全面分析该僵尸网络的技术能力。

RondoDox v2的攻击目标涵盖多个厂商生态系统中存在漏洞的设备，涉及十余年来的CVE漏洞历史记录。其武器库包含多个关键漏洞，包括：

CVE-2014-6271（Shellshock）
CVE-2018-10561（Dasan GPON路由器）
CVE-2021-41773（Apache HTTP服务器）
CVE-2024-3721（TBK DVR系统）

该恶意软件展现出跨平台灵活性，部署了16种针对特定架构的二进制文件，包括x86_64、多种ARM变体、MIPS、PowerPC，甚至包括m68k和SPARC等老旧架构。这种全面的架构支持确保了其在各类嵌入式系统和企业服务器上的最大感染潜力。

命令与控制基础设施运行在分布于多个ASN的被入侵住宅IP地址上，提供了传统拦截策略难以应对的韧性和规避能力。

技术基础设施与混淆机制

RondoDox v2使用的投放脚本展示了精密的规避和持久化技术，旨在绕过安全控制并清除竞争性恶意软件。执行后，脚本立即使用setenforce 0和service apparmor stop等命令禁用SELinux和AppArmor安全框架，为恶意活动创造有利环境。

随后脚本会进行激进的竞争者清除操作，系统性地终止与xmrig等加密货币挖矿程序以及redtail等其他已知僵尸网络家族相关的进程。这种行为确保了在被感染系统上的资源独占，同时通过消除嘈杂的竞争性恶意软件降低了检测概率。

二进制载荷本身采用基于XOR的字符串混淆技术（密钥值为0x21），以隐藏静态分析工具可能发现的关键配置数据。解码后的字符串揭示了命令与控制协议的实现细节，包括用于C2初始化的"handshake"和表明DDoS能力的"udpraw"。

该恶意软件展现出反分析意识，会检查退出代码137——这是自动化沙箱环境常用的SIGKILL终止信号。检测到该条件会导致脚本立即终止，有效规避许多自动化恶意软件分析系统。

#!/bin/sh
# bang2013@atomicmail.io
exec > /dev/null 2>&1
[ -t 0 ] && exit 0
for p in /proc/[0-9]*; do pid=${p##*/}; [ ! -e "$p/exe" ] && kill -9 $pid 2>/dev/null; done
setenforce 0
service apparmor stop
mount -o remount,rw /||sudo mount -o remount,rw /