ViciousTrap利用思科漏洞构建全球蜜罐网络:5300余台设备沦为监控工具

发布于 作者:

ViciousTrap利用思科漏洞构建全球蜜罐网络:5300余台设备沦为监控工具

原创 道玄安全 道玄网安驿站 2025-05-23 23:00


 思科。

PS:有内网web自动化需求可以私信

01

导语

2025年5月,网络安全公司Sekoia.io揭露了一项名为
ViciousTrap
的高级持续性威胁活动。该组织通过利用思科(Cisco)路由器的漏洞(CVE-2023-20118),成功入侵全球超过
5500台边缘设备
(包括SOHO路由器、SSL VPN设备等),并将其改造成分布式蜜罐网络,用于监控网络活动、收集潜在漏洞信息,甚至窃取其他攻击者的入侵成果。这一行动不仅暴露了物联网设备的安全脆弱性,也揭示了攻击者如何通过合法漏洞构建“攻击基础设施”的新趋势。

一.攻击手法解析

  1. 漏洞利用:思科CVE-2023-20118漏洞

ViciousTrap的攻击始于对
思科SOHO路由器
中高危漏洞CVE-2023-20118的利用。该漏洞允许攻击者远程执行代码,并通过下载恶意脚本(如
NetGhost
)控制设备。值得注意的是,思科设备近年频繁曝出安全漏洞,例如2024年7月曝出的管理员密码篡改漏洞(CVE-2024-20419,CVSS 10分),以及2025年Webex Meetings的HTTP缓存投毒漏洞(CVE-2025-20255),均显示出其设备在安全设计上的持续挑战。

  1. 感染链:从入侵到蜜罐部署

  2. 初始访问
    :攻击者通过漏洞利用下载并执行名为
    a
    的Bash脚本,进一步下载定制的
    wget
    工具以连接C2服务器。

  3. 流量劫持
    :NetGhost脚本将设备特定端口的流量重定向至攻击者控制的服务器,形成蜜罐网络。攻击者可借此
    拦截未加密数据
    、监控其他黑客的入侵行为,甚至窃取未公开的零日漏洞。

  4. 横向扩展
    :ViciousTrap还针对D-Link、Linksys、QNAP等品牌设备发起攻击,意图扩大蜜罐覆盖范围。

  5. 攻击者背景与动机

Sekoia.io分析指出,ViciousTrap可能
来自中文地区
,其基础设施与已知的GobRAT组织存在部分重叠。攻击目标主要分布在亚洲,推测其动机包括
漏洞情报收集
、构建攻击跳板,或为后续高级持续性威胁(APT)活动做准备。

二.潜在风险与影响

  1. 数据泄露与监控

被控设备可截获企业内网的未加密通信(如文件传输、登录凭证),甚至渗透至核心系统(如Active Directory)。

  1. 漏洞武器化

蜜罐网络可捕获其他攻击者的漏洞利用手法,使ViciousTrap能够快速复用这些技术,形成“攻击即服务”的商业模式。

  1. 网络分区隔离失效

类似思科CDP协议漏洞(2020年披露)的利用,攻击者可能突破企业网络的“隔离区”,横向控制关键设备(如交换机、防火墙)。

三.防御建议

  1. 紧急修补漏洞

  2. 升级思科设备固件至最新版本,尤其是涉及CVE-2023-20118的SOHO路由器。

  3. 定期检查设备日志,识别异常流量(如频繁的端口扫描或未授权访问)。

  4. 强化网络监控

  5. 部署新一代防火墙(如Palo Alto Networks的VM系列)或Web应用防火墙(WAF),阻断恶意流量。

  6. 启用端到端加密,减少敏感数据在传输中被截获的风险。

  7. 蜜罐技术的反向利用

  8. 企业可参考Rippling在商业间谍诉讼中的“蜜罐陷阱”策略,设置虚假敏感信息诱捕潜在攻击者。

四.行业警示

此次事件再次印证了
边缘设备安全
的严峻性。随着物联网设备的普及,攻击者正将目光转向这些“薄弱环节”,通过漏洞构建庞大的监控网络。企业需意识到:
默认配置风险
:弱密码(如admin:admin)和未关闭的冗余服务(如SSH、RDP)是主要攻击入口。

  • 自动化响应的重要性
    : Palo Alto Networks建议通过自动化工具实时修复错误配置,并审计所有开放端口。

结语

ViciousTrap的蜜罐网络不仅是技术层面的威胁,更揭示了网络攻击的“生态化”趋势——攻击者之间既竞争又协作,通过共享基础设施提升攻击效率。企业需从被动防御转向主动威胁狩猎,方能在这场无声的战争中占据先机。

免责声明:

本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。

第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具;明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助

第十二条:  国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条:  国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。