RondoDox肆虐:多厂商"漏洞霰弹枪"僵尸网络
执行摘要
RondoDox是一个新兴的多向量僵尸网络,已被观察到利用56个不同漏洞攻击30多种设备和厂商类型(路由器、DVR/NVR、CCTV、SOHO设备、Web服务器等),以构建大规模DDoS僵尸网络并部署次级有效载荷(通过加载器即服务分发Mirai/Morte变种)。该活动自2025年中开始活跃扫描和利用,采用"漏洞霰弹枪"方法(尝试多个CVE和弱/未清理的输入)、自定义混淆二进制文件和shell脚本加载器、多层持久化以及高级规避技术,如模仿游戏和VPN流量来隐藏攻击流量。
RondoDox背景
RondoDox首次由FortiGuard在2024年中/2025年7月的遥测数据中公开记录为一个基于ELF的轻量级机器人,具有自定义库和加载器脚本;趋势科技和其他研究人员后来的报告显示它已演变为一个加载器操作,将RondoDox与Mirai/Morte有效载荷捆绑并针对广泛的设备。研究人员将该活动描述为一个机会主义的自动化利用框架,执行广泛扫描并尝试数十种利用(包括N-day和未分配CVE的供应商端点),以将各种IoT/SOHO/边缘设备招募到DDoS僵尸网络中。
漏洞详情
以下是RondoDox活动中利用的部分漏洞详情:
| CVE ID | CVSS评分 | EPSS评分 | 漏洞类型 | 受影响软件/设备 | 修复版本/备注 |
|---|---|---|---|---|---|
| CVE-2015-2051 | 9.8(严重) | 93.18% | 命令注入(HNAP接口) | D-Link DIR-645路由器固件1.04b12及更早版本 | 固件v1.05B01 / 如果生命周期结束则断开连接 |
| CVE-2016-6277 | 8.8(高) | 94.28% | 命令注入 | Netgear R6400、R7000、R8000等路由器 | 固件1.0.1.18.Beta、1.0.1.14.Beta、1.0.3.26.Beta等 |
| CVE-2021-42013 | 9.8(严重) | 94.41% | 远程代码执行 | Apache HTTP Server 2.4.49和2.4.50 | Apache 2.4.51 |
| CVE-2025-1829 | 5.3(中) | 1.07% | OS命令注入 | TOTOLINK X18 9.1.0cu.2024_B20220329 | 无 |
| CVE-2025-4008 | 8.7(高) | 45.70% | 远程代码执行 | Meteobridge版本6.2之前 | 版本6.2 |
感染方法
RondoDox活动遵循快速自动化链:
侦察与扫描:大规模扫描互联网暴露的服务和端点(路由器、DVR、NVR、Web接口)。研究人员首次在2025年6月至10月观察到广泛的扫描和利用尝试。
漏洞霰弹枪:尝试跨多个供应商特定端点的利用载荷库(例如,TBK DVR的/device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___和操纵的mdb/mdc参数;Four-Faith路由器的apply.cgi;已知的TP-Link和Netgear RCE向量)。如果成功,加载器继续执行。
加载器/下载器执行:受害者运行shell脚本下载器(BASH),该脚本:忽略常见信号,检查可写位置(/dev、/dev/shm、/tmp、/var/tmp、/data/local/tmp、/run/user/0等),创建/tmp/lib或类似目录,下载并执行适当的架构二进制文件(ARM/MIPS/x86/x86_64/AArch64等),然后清除命令历史记录。加载器还可能同时分发Mirai/Morte变种和RondoDox。
二进制执行与解包:RondoDox ELF解码XOR混淆配置(密钥0x21或变种),恢复XOR编码的C2和文件名,然后执行其主要有效载荷。
持久化与篡改:RondoDox建立多层持久化:写入/etc/init.d/rondo,创建/etc/rc3.d/S99rondo,将启动命令附加到/etc/rcS、/etc/init.d/rcS、/etc/inittab,并为用户/root添加crontab条目。它还更改权限并创建符号链接以保持重启持久化。
自我保护/反分析:它扫描分析和管理员工具(例如wget、curl、wireshark、gdb、tcpdump、strace、lsof、netstat、ss、ngrep、tcpdump、gdbserver、valgrind、sysdig等),如果存在已知分析工具则终止或退出;它清除痕迹并可能重命名系统二进制文件(iptables -> 随机字符串)以干扰恢复并使分析复杂化。
C2与命令执行:恶意软件解码C2(示例XOR解码IP 83.150.218.93)并连接以接收DDoS任务命令。命令支持HTTP、UDP和TCP洪水模式,并可请求伪造流量以模仿游戏(Valve/Minecraft/Fortnite)、聊天平台(Discord)或VPN/隧道流量(OpenVPN、WireGuard、STUN/DTLS/RTC)以规避检测。
恶意软件行为与能力
RondoDox展示了一系列组合能力:
- 多架构加载器:Shell脚本下载器,检测可写、非noexec挂载点并获取多个CPU架构的二进制文件。
- XOR编码配置与混淆:配置和C2字符串使用XOR混淆(报告密钥0x21);在运行时解码。
- 持久化:写入init脚本(/etc/init.d/rondo)、rc脚本(/etc/rc3.d/S99rondo)、修改/etc/rcS并添加crontab条目。
- 反分析与反工具:检测并终止分析/监控工具(例如wireshark、gdb、tcpdump、strace、valgrind)并杀死竞争恶意软件/矿工。
- 二进制篡改/干扰:将关键系统二进制文件(iptables、ufw、passwd、shutdown、reboot等)重命名为随机字符串以干扰恢复并隐藏持久化。
- C2驱动的DDoS:能够进行HTTP、UDP和TCP洪水;可以制作模仿游戏和VPN协议的数据包(例如OpenVPN魔术字节\x38)并使用STUN/DTLS/RTC签名,增加检测复杂性。
- 加载器即服务/共同打包:观察到在加载器链中分发,该链还分发Mirai/Morte变种,实现更具破坏性/多功能的僵尸网络。
技术包括(MITRE ATT&CK映射)
- T1190 – 利用面向公众的应用程序:远程利用设备Web接口(例如TBK /device.rsp、Four-Faith apply.cgi、TP-Link、Netgear、Apache路径遍历)。
- T1040 / T1595 – 主动扫描与侦察:广泛互联网扫描暴露端点和服务(漏洞霰弹枪)。
- T1105 – 入口工具传输:Shell脚本下载器获取二进制文件和有效载荷(RondoDox、Mirai/Morte)。
- T1547 – 启动或登录自动执行:通过init脚本(/etc/init.d/rondo)、/etc/rcS、/etc/inittab和crontab条目实现持久化。
- T1498 – 网络拒绝服务:HTTP、UDP和TCP洪水DDoS能力。
- T1027 – 混淆文件或信息:XOR编码配置和自定义混淆。
- T1499 – 端点拒绝服务/干扰:重命名或破坏系统实用程序以阻碍恢复(重命名iptables、passwd、shutdown等)。
- T1071.001 – 应用层协议:Web协议:C2和攻击流量伪装成游戏、Discord、OpenVPN/WireGuard、STUN/DTLS/RTC以与合法流量混合。
可视化:RondoDox攻击流程
[互联网规模扫描 -> 跨已知端点/CWE的漏洞霰弹枪] -> [成功利用(例如TBK DVR CVE-2024-3721 / Four-Faith CVE-2024-12856 / TP-Link CVE-2023-1389)] -> [执行Shell脚本下载器 -> 获取架构特定ELF(rondo.x86_64 / arm / mips等)] -> [解码XOR配置(密钥0x21) -> 设置持久化(/etc/init.d/rondo、/etc/rc3.d/S99rondo、crontab)] -> [禁用/杀死分析工具;重命名系统二进制文件以阻碍恢复] -> [连接到C2(例如83.150.218.93) -> 接收DDoS命令] -> [启动模仿游戏/VPN/RTC流量的HTTP/UDP/TCP洪水或通过加载器即服务移交到Mirai/Morte有效载荷]
IoC(入侵指标)
网络/主机:观察到的示例C2和基础设施:83[.]150[.]218[.]93、45[.]135[.]194[.]34、14[.]103[.]145[.]202、14[.]103[.]145[.]211、78[.]153[.]149[.]90、154[.]91[.]254[.]95。
文件/脚本:创建/tmp/lib、清除历史记录并写入rondo二进制文件的下载器shell脚本;/etc/init.d/rondo、/etc/rc3.d/S99rondo;包含vanillabotnet@protonmail[.]com的/tmp/contact.txt。
行为:二进制文件中存在密钥0x21的XOR编码配置;系统实用程序意外重命名为随机字符串(iptables、ufw、passwd、shutdown、reboot、halt、poweroff等);新的crontab条目或对/etc/inittab和/etc/rcS的修改。
一些与RondoDox僵尸网络相关的二进制文件的已知SHA-256哈希值如下:
下载器: c88f60dbae08519f2f81bb8efa7e6016c6770e66e58d77ab6384069a515e451ceb3e2a6a50f029fc646e2c3483157ab112f4f017406c3aabedaae0c94e0969f6f4cd7ab04b1744babef19d147124bfc0e9e90d557408cc2d652d7192df61bda9
RondoDox: e3c080e322862d065649c468d20f620c3670d841c30c3fe5385e37f4f10172e7e62df17150fcb7fea32ff459ef47cdd452a21269efe9252bde70377fd2717c1053e2c2d83813d1284ddb8c68b1572b17cca95cfc36a55a7517bf45ff40828be543d4847bf237c445ed2e846a106e1f55abefef5c3a8545bd5e4cad20f5deb9a4
网络流量:HTTP/UDP/TCP上的洪水流量,模仿OpenVPN/WireGuard/游戏协议的长时间运行流(载荷中的OpenVPN魔术字节\x38),以及到上述IP的持久C2连接。
威胁行为者归因
尚未公开确认RondoDox有单一的国家级APT归因。研究表明,一个机会主义的网络犯罪操作(或犯罪运行的加载器即服务生态系统)是RondoDox分发的幕后黑手,有时共同打包Mirai/Morte有效载荷。观察到的流量地理分布和僵尸网络IP聚合表明基础设施全球分布,可能与现有的DDoS僵尸网络运营商有联系(在相关活动中观察到来自巴西、中国、伊朗等的流量来源),但正式归因仍待确定。分析师警告,RondoDox的模块化加载器模型使多个附属运营商能够快速武器化。
缓解步骤
补丁/固件更新:立即应用已知CVE的供应商补丁(例如,针对CVE-2024-3721、CVE-2024-12856、CVE-2023-1389以及趋势科技/FortiGuard列出的其他设备CVE的供应商公告)。如果不存在补丁,禁用/取消暴露受影响的管理接口。
移除互联网暴露:阻止对设备管理端口的直接互联网访问;将设备置于VPN、管理跳板主机或分段管理网络之后。
凭证卫生:替换默认凭证并实施强唯一密码;禁用弱/匿名账户;对登录尝试实施速率限制。
强化主机与检测篡改:监控/etc/init.d/rondo、/etc/rc3.d/S99rondo的创建、意外的crontab条目以及系统二进制文件的重命名(iptables、passwd、shutdown、reboot)。维护不可变备份并验证二进制完整性(校验和)。
网络出口与协议控制:阻止或检查到已知C2 IP的出站连接;使用协议感知过滤检测OpenVPN/WireGuard/游戏协议模仿模式(例如OpenVPN魔术字节\x38)。
行为检测:创建EDR/IDS/IPS规则以检测加载器shell脚本模式(清除历史记录、创建/tmp/lib)、XOR解码模式和RondoDox二进制签名。Fortinet检测列表:BASH/RondoDox.A!tr.dldr和ELF/RondoDox.CTO!tr。
搜寻次级有效载荷:查找与RondoDox感染同一主机上共存的Mirai/Morte指标(telnet暴力/弱凭证、默认密码使用);卸载或阻止已知Mirai变种。
分段与速率限制:网络分段以限制设备的横向招募;对来自IoT设备段的流量进行速率限制,防止其用于大规模洪水攻击。
威胁情报与阻止列表:将IoC(C2 IP)纳入防火墙/IPS/URL过滤解决方案,并订阅供应商源(FortiGuard/趋势科技)以获取更新的检测信息。