信息安全公司Incapsula提醒称目前或有数十万甚至上百万台的SOHO族专用路由器已成为僵尸路由器，被黑客用来执行大规模的分散式阻断服务(DDoS)攻击，而且操控这些僵尸路由器的黑客集团还不只一家。

僵尸路由器及C&C中心的全球分布图

Incapsula从去年12月开始协助客户处理各种DDoS攻击事件，并维护旗下60个网域的安全。最近一个月以来黑客的攻击规模在大幅扩增，用来攻击的IP数量增加了一倍。Incapsula展开进一步调查之后发现这波攻击行动锁定了数百个网域，Incapsula只是其中一个受害者，而且攻击目标从应用层升级到网路层。遭受黑客操纵、用来发动DDoS攻击的僵尸网路是由大量的SOHO路由器所组成，特别是基于ARM架构的Ubiquiti设备。

Incapsula原以为是Ubiquiti设备上的固件漏洞所造成，之后则发现Ubiquiti设备允许任何远端使用者通过HTTP与SSH存取，而且绝大多数都采用预设的帐号与密码。在门户大开的情况下，所有被黑的路由器都被植入了MrBlack恶意程序的各式变种，每台路由器平均含有4个MrBlack变种，以及其他的恶意程序文件。这些恶意程序主要为DDoS工具，也有少数是属后门程序。

在为期111天的调查中，Incapsula找到超过4万个不重覆攻击IP，其中有64%位于泰国，21%位于巴西，并牵涉到全球109个国家与1600家的ISP相关公司，而且这些攻击IP连结了60个命令与控制(C&C)系统。

Incapsula分析，从攻击目标与模式来看，这些路由器显然由许多不同的集团及个人所掌控，由于这些设备太容易攻陷，预期还会有其他黑客集团加入，在调查期间也看到了黑客仍继续在已遭攻击的路由器上植入新的恶意程序。

Incapsula已联系受到影响的路由器相关公司与ISP相关公司，同时强烈建议路由器用户关闭所有自远端存取管理界面的功能，以及变更路由器的登入凭证。

【点击进入“天极网企业频道”认证微博】