近期，安天捕風蜜網系統監測并捕獲 到大量異常的 TCP 流量，經分析，發現針 對 52869/TCP 端口的掃描、攻擊次數有較 為明顯的增加，通信流量中存在位于美國 的僵尸網絡 Gafgyt 家族的控制節點（C2）。 經研究分析發現，攻擊者利用僵尸網絡 Gafgyt 家 族 結 合 CVE-2014-8361 漏 洞 對 世界多個地區的路由設備進行掃描攻擊， 且發現 CVE-2014-8361 漏洞允許未經身 份驗證的攻擊者使用 root 特權在受害者系 統上執行任意代碼。

     CVE-2014-8361 漏 洞 是 一 個 針 對 Realtek 平臺軟件開發工具包（下稱 Realtek SDK） 的 漏 洞，Realtek SDK 的 miniigd SOAP 服 務 中 存 在 安 全 漏 洞， 而 Realtek SDK 主要用于開發 RTL81xx 芯片 組。攻擊者可通過構建一個基于 SOAP 服務的含有 Payload 的 XML 文件，對集成了 RTL81xx 芯片組的供應商設備進行攻擊。

     Gafgyt 家族被控端木馬主要有以下 3 個功能模塊：
1、Downloader（Payload） 模 塊。 通 過樣本硬編碼的 url 下載 shell 腳本并運行， 執行腳本枚舉下載其中的 url 并運行關聯 的樣本，實現“肉雞”感染。
2、Scanner 模塊。使用“肉雞”集群 爆破方式實現高效率蠕蟲式感染指定 IP 網 段中存在弱口令的 IoT/Linux 設備。
3、DDoS 攻擊模塊。“肉雞”在執行 Tel 掃描爆破的同時，會和 C2 保持正常通 訊，等待 C2 的相關指令，例如 DDoS 攻 擊指令。

      在 CVE-2014-8361 漏 洞 與 Gafgyt 家 族木馬組成的僵尸網絡架構中，漏洞掃描Vulne_Scanner 功能模塊的隱蔽性較高，是 獨立運行在幾臺服務器中的。攻擊者通過 自定義配置對掃描 IP 網段進行掃描探測以 獲取存在 CVE-2014-8361 漏洞的 IP，并 通過后門默認密碼登錄“肉雞”，然后遠 程執行 Gafgyt 木馬或下載植入木馬的 Shell 腳本的 Payload。無論是 Vulne_Scanner 還 是 Telnet 掃描爆破，獲取到的遠程代碼任 意執行權限，都會下載并運行存放在 FTP 服務器里面的 Gafgyt 家族木馬。

      從目前掌握的 Gafgyt 發展史判斷， Gafgyt 家族后續仍將會利用更多的物聯網 漏洞，繼續拓展其僵尸網絡規模并發起攻 擊，同時也將增加更高效的攻擊模式。安 天捕風小組建議廣大用戶及時更新設備系 統并修補相關漏洞，修改設備登陸的默認 密碼，避免弱口令的使用。