HackerNews中文版

嘿，HN，我是一名渗透测试员，最近发现了一个新的基于Mirai的僵尸网络，名为Gayfemboy（是的，这个名字听起来像个梗，但威胁是真实存在的）。它目前每天感染超过15,000台设备，主要针对思科、TP-Link、DrayTek和Raisecom的路由器和网络设备。它的功能包括： - 发起DDoS攻击（UDP、TCP、ICMP） - 使用XMRig挖掘门罗币 - 作为恶意流量的代理 - 安装后门并规避分析（例如，UPX头部篡改、纳秒级延迟）目前利用的漏洞包括： - CVE-2025-20281（思科ISE） - CVE-2023-1389（TP-Link AX21） - CVE-2020-8515（DrayTek） - CVE-2024-7120（Raisecom MSG）我正在测试的缓解措施包括： - 扫描客户端网络以寻找易受攻击的固件 - 在防火墙层面阻止已知的恶意域名和IP - 编写脚本检测向这些IOC的外发流量 - 建议在路由器上禁用远程管理访问我很想听听其他人是如何检测或遏制这个僵尸网络的。有没有人在企业环境中见过它？你们有什么创意或有效的缓解策略推荐吗？

查看原文

Hey HN,I’m a pentester and recently came across a new Mirai-based botnet called Gayfemboy (yes, the name sounds like a meme, but the threat is real). It’s currently infecting over 15,000 devices daily, mostly targeting routers and network gear from Cisco, TP-Link, DrayTek, and Raisecom.What it does:Launches DDoS attacks (UDP, TCP, ICMP) Mines Monero using XMRig Acts as a proxy for malicious traffic Installs backdoors and evades analysis (e.g., UPX header tampering, nanosecond delays)Vulnerabilities exploited (At this moment):CVE-2025-20281 (Cisco ISE) CVE-2023-1389 (TP-Link AX21) CVE-2020-8515 (DrayTek) CVE-2024-7120 (Raisecom MSG)Mitigation ideas I’m testing:Scanning client networks for vulnerable firmware Blocking known malicious domains and IPs at the firewall level Writing scripts to detect outbound traffic to those IOCs Recommending disabling remote admin access on routers I’d love to hear what others are doing to detect or contain this botnet. Has anyone seen it in enterprise environments? Any creative or effective mitigation strategies you’d recommend?

Mirai变种“Gayfemboy”每天感染超过15000台设备 – 有什么缓解措施的建议吗？