你的DVR可能已成殭屍網路一員？ C0XMO利用舊漏洞大規模擴散

物聯網設備與家用路由器長期被視為資安防護的薄弱環節，而近期資安研究再次證明，即使是數年前公開的漏洞，只要裝置沒有持續更新，仍可能成為駭客建立殭屍網路的重要目標。

資安業者 Fortinet 旗下 FortiGuard Labs 近日揭露，一個名為 C0XMO 的新型殭屍網路正持續擴大感染規模。研究人員發現，攻擊者利用 DD-WRT 開源路由器韌體於 2021 年曝光的漏洞 CVE-2021-27137 作為入侵入口，成功控制未更新的路由器後，再進一步向外擴散，感染 DVR、網路影音管理平台以及 Android 裝置等多種設備。

DD-WRT 是相當知名的第三方路由器韌體，提供 VPN、流量管理、無線橋接及進階防火牆等功能，因此受到許多技術玩家、中小企業及進階使用者採用。然而，部分設備長期未更新韌體，反而成為攻擊者眼中的理想目標。

研究指出，此類攻擊的技術基礎來自知名殭屍網路家族 Gafgyt，但其攻擊架構已有明顯進化。與傳統殭屍網路不同，此類攻擊將掃描與感染功能拆分成獨立的 Python 模組，使攻擊者能更靈活地針對不同設備與系統架構進行調整，大幅提升擴散效率。

當路由器遭到入侵後，惡意程式會先建立持久化機制，確保重新開機後仍能持續運作。接著下載專門的掃描工具，主動搜尋外部網路中的潛在目標。

這些掃描工具主要鎖定：

• Telnet 服務
• SSH 服務
• HTTP 管理介面
• Android Debug Bridge（ADB）

攻擊者會利用弱密碼、預設帳號或已知漏洞嘗試入侵設備。一旦成功取得控制權，系統便會根據裝置的處理器架構，自動下載對應版本的惡意程式。

FortiGuard Labs 發現，駭客已準備支援 ARM、MIPS、PowerPC、SuperH、x86 與 x86_64 等多種架構的惡意程式版本，代表其目標已不再侷限於單一設備類型，而是涵蓋各種物聯網設備與網路基礎設施。

更值得注意的是，此類攻擊在完成感染後，還會主動搜尋系統中的其他惡意程式、安全工具與紅隊測試工具，並嘗試終止相關程序與刪除設定檔，藉此獨占受害裝置資源，避免被其他攻擊者搶奪控制權。

完成部署後，受感染設備便會連線至駭客的指揮控制（C2）伺服器，等待後續指令。根據研究人員分析，C0XMO 目前已支援多達 19 種 DDoS 攻擊方式，包括：

• TCP Flood
• UDP Flood
• SYN Flood
• HTTP Flood
• NTP 放大攻擊
• Memcached 放大攻擊

這代表受害設備很可能在毫不知情的情況下，被用於發動大規模網路攻擊。

從近期觀察來看，許多殭屍網路已不再依賴最新漏洞，而是持續利用多年未修補的舊漏洞與弱密碼設備進行擴散。原因很簡單——即使漏洞早已公開，全球仍有大量設備長期未更新，對駭客而言依舊具有極高價值。

對企業與一般使用者而言，真正的風險往往不是遭遇高階駭客攻擊，而是那些被遺忘在角落、長期未維護的設備。路由器、DVR、NAS 以及各類物聯網設備，一旦缺乏定期更新與管理，很容易成為攻擊者建立殭屍網路的跳板。

Fortinet 建議企業與使用者定期更新韌體版本、停用不必要的 Telnet 與 UPnP 服務、避免使用預設密碼，並持續監控異常對外連線與掃描行為。隨著物聯網設備數量持續增加，設備管理與漏洞修補能力，已逐漸成為企業資安防線中不可忽視的一環。

如何避免成為 殭屍網路受害者？

參考來源 : https://www.ithome.com.tw/news/176469

延伸閱讀 / 參考資料

Bitdefender Official Blog

Accept All Cookies? ICO Prompts Top UK Websites to Make It Clear What Data They Collect from Users

Bitdefender Releases 2025 Consumer Cybersecurity Survey

了解更多我們提供的服務

www.bhv.com.tw