一种使用 Rust 编程语言编写的复杂新型僵尸网络恶意软件已被发现，其目标是全球范围内存在漏洞的路由器设备。

由于该恶意软件是基于 Rust 语言编写的，因此被命名为 “RustoBot”。它利用了 TOTOLINK 和 DrayTek 路由器型号中的严重漏洞来执行远程命令注入，这有可能影响到日本、越南和墨西哥的科技产业。

该僵尸网络主要通过 cstecgi.cgi 文件中的漏洞攻击 TOTOLINK 型号的路由器，包括 N600R、A830R、A3100R、A950RG、A800R、A3000RU 和 A810R。cstecgi.cgi 是一个负责处理用户输入和管理命令的 CGI 脚本。

这些脚本包含命令注入缺陷，使得攻击者能够在被入侵的设备上实现远程代码执行。

同样，DrayTek Vigor2960 和 Vigor300B 路由器则受到 CVE-2024-12987 漏洞的影响，该漏洞是位于 cgi-bin/mainfunction.cgi/apmcfgupload 接口中的操作系统命令注入漏洞。

初始的攻击利用从简单但有效的有效载荷开始，这些有效载荷利用了上述漏洞。

对于 TOTOLINK 设备，攻击方会向存在漏洞的 cstecgi.cgi 端点发送精心构造的请求，并附带恶意命令字符串，以实现恶意软件的下载和执行。

它展示了利用有效载荷的攻击技术，该有效载荷使用 wget 命令下载并执行专门针对 TOTOLINK 架构的 “mpsl” 二进制文件。

Fortinet 的研究人员发现，在成功实现初始入侵后，RustoBot 会通过四个不同的下载器脚本部署多个针对特定架构的变体，目标架构包括 arm5、arm6、arm7、mips 和 mpsl。

多架构攻击方式

这种多架构的攻击方式确保了该恶意软件在各种路由器型号和嵌入式系统中具有广泛的兼容性。

该恶意软件的复杂设计包括多种用于运行和逃避检测的先进技术。

RustoBot 从全局偏移表（GOT）中检索系统 API 函数，并采用异或（XOR）加密对其配置数据进行编码。

该恶意软件使用复杂的指令序列来计算解码器密钥偏移量：

get_key_offset_4 proc near

xor esi, 803C490h

imul eax, esi, 0B0D0D74h

xor eax, 120ED6A5h

mov ecx, eax

shr ecx, 1Ch

xor ecx, eax

imul eax, ecx, 0D921h

movzx eax, ax

add rax, rdi

retn

get_key_offset_4 endp

一旦在被入侵的设备上站稳脚跟，RustoBot 就会通过解析诸如 dvrhelper.anondns.net、techsupport.anondns.net、rustbot.anondns.net 和 miraisucks.anondns.net 等域名，连接到其命令与控制基础设施，而所有这些域名都解析到同一个 IP 地址（5.255.125.150）。

然后，该僵尸网络等待指令以发动各种分布式拒绝服务（DDoS）攻击，包括 UDP 泛洪攻击。在 UDP 泛洪攻击中，它会生成大量包含 1400 字节有效载荷的 UDP 数据包，并发送到指定的目标 IP 地址和端口，从而使受害者的基础设施不堪重负。

这一新兴威胁凸显了物联网（IoT）和网络设备持续存在的脆弱性，以及僵尸网络恶意软件日益复杂的发展趋势，它们利用像 Rust 这样的现代编程语言来提高稳定性和跨平台兼容性。