摘要:网络安全研究人员发现一种名为AyySSHush的新型隐蔽僵尸网络正在全球范围内针对华硕路由器发起攻击。该僵尸网络最早由GreyNoise在2025年3月发现,随后被Censys持续追踪,其通过滥用路由器合法功能建立长期控制,使得检测和修复变得极其困难。
固件级持久化攻击
AyySSHush僵尸网络采用多阶段攻击链,通过华硕AiProtection系统(原本用于保护用户的安全功能)实施入侵。攻击者通过官方配置界面注入恶意SSH公钥,从而获得持久访问权限,甚至能在固件更新后继续保持控制,某些情况下连恢复出厂设置也无法清除。Censys报告指出:"AyySSHush通过多阶段攻击序列滥用可信固件功能,在路由器上建立后门并跨越固件更新保持持久性。"这种手法体现了"寄生固件"(living off the firmware)的新趋势——攻击者通过操纵厂商认可的机制来维持隐蔽性和韧性。Part02三阶段攻击剖析
该僵尸网络的攻击过程分为三个精密阶段:初始入侵:利用弱凭证或旧版认证绕过漏洞(如login.cgi)命令注入:通过CVE-2023-39780漏洞利用AiProtection_HomeProtection.asp功能注入命令SSH后门安装:在TCP/53282端口启用SSH访问并将密钥注入authorized_keys文件报告特别警告:"由于SSH密钥是通过路由器官方配置界面添加的,它会在固件更新时被保留。"这种策略性滥用意味着,除非管理员主动检查特定文件或端口,否则许多受感染路由器不会显示任何异常迹象。Part03全球感染态势
截至2025年5月28日,Censys已发现4,504台受感染的华硕路由器,受害者主要分布在美国、瑞典、台湾地区、新加坡和香港地区。HINET、MobileOne、HKT、Telia、Comcast和Charter等住宅ISP用户的设备受影响最为严重。从2025年1月至5月的感染数据呈现显著波动:年初稳定增长(1月6,622台设备)4月突然激增至10,454台以上近期回落至4,504台——可能与安全披露或僵尸网络重新配置有关Censys强调:"尽管近期出现大幅下降,但仍有数千台潜在受感染主机在线,表明这是一个成熟且具有韧性的僵尸网络基础设施。"Part04防御建议
使用Censys提供的查询工具,通过检测TCP 53282端口和ASUS品牌设备识别暴露的路由器监控未经授权的SSH密钥对路由器进行系统重装在禁用持久性配置同步功能后再考虑硬件重置研究人员特别提醒:"即使是主动升级路由器固件的用户也可能在不知情的情况下持续遭受入侵。"这种针对住宅网络基础设施的攻击策略,使得僵尸网络能够利用住宅IP相对可信的特性,有效规避基于IP的检测系统,非常适合用于构建分布式代理基础设施和匿名恶意活动。参考来源:
AyySSHush: New Stealthy Botnet Backdoors ASUS Routers, Persists Through Firmware Updateshttps://securityonline.info/ayysshush-new-stealthy-botnet-backdoors-asus-routers-persists-through-firmware-updates/来源:FreeBuf