FortiGuard Labs 最新发布的一份研究指出，研究人员在 11 月观察到了一个用 Go 语言编写的独特僵尸网络正在通过 IoT 漏洞进行传播。这个被称为 Zerobot 的僵尸网络包含多个模块，包括自我复制、针对不同协议的攻击和自我传播；还使用 WebSocket 协议与其命令和控制服务器通信。它主要针对 Linux 操作系统，以控制易受攻击的设备。

根据介绍，Zerobot 的目的是将受感染的设备添加到分布式拒绝服务 (DDoS) 僵尸网络中，以对指定目标发起强大的攻击。可以扫描网络并自我传播到邻近的设备，以及在 Windows (CMD) 或 Linux (Bash) 上运行命令。

Zerobot 有两个版本，11 月 24 日之前使用的第一个只包含基本功能，随后出现的新版本则包含额外的模块和针对新漏洞的漏洞利用。这一行为表明，该恶意软件正在积极开发中。

Zerobot 整合了对 21 个漏洞的利用，并利用这些漏洞获得对设备的访问；然后下载脚本以进一步传播。它使用文件名"zero,"进行保存，这也是其命名的由来。影响范围涵盖 F5 BIG-IP、Zyxel 防火墙、Totolink 和 D-Link 路由器以及 Hikvision cameras 等。除了一些物联网漏洞外，还包括 Spring4Shell、phpAdmin、F5 Big 等，以提高其成功率。

它可以针对一系列系统架构和设备，包括 i386、AMD64、ARM、ARM64、MIPS、MIPS64、MIPS64le、MIPSle、PPC64、PPC64le、RISC64 和 S390x。

当前下载脚本

Zerobot 中的漏洞利用列表

Zerobot 攻击的易受攻击的设备

此外，僵尸网络还使用了四个未分配标识符的漏洞。其中两个针对 GPON 终端和 D-Link 路由器。关于另外两个的细节目前还不清楚。

在受感染的设备上建立存在后，Zerobot 会设置到命令和控制 (C2) 服务器的 WebSocket 连接，并发送有关受害者的一些基本信息。C2 可能会响应以下命令之一：“ping”、“attack”、“stop”、“update”、“kill”、“disable_scan”、“enable_scan'”和“command”。

该恶意软件还使用一个“anti-kill”模块，旨在防止终止或杀死其进程的。目前，Zerobot 主要专注于发起 DDoS 攻击，但是它也可以用作 initial access。

Fortinet 总结称，Zerobot 是一种用 Go 编程语言编写的新型僵尸网络，通过 WebSocket 协议进行通信。自 11 月 18 日首次出现以来，Zerobot 开发人员已通过字符串混淆、复制文件模块、自我传播模块和几个新的漏洞进行了改进，使其更难检测并赋予它感染更多设备的更高能力。用户应该意识到这一新威胁，并在补丁可用时积极应用补丁。