背景介绍 2019年7月24号，360Netlab未知威胁检测系统发现一个可疑的ELF文件，目前在VirusTotal上还没有一款杀毒引擎检测识别。通过详细分析，我们确定这是一款针对Fiberhome路由器设备Reporter程序。它会定时获取设备IP等信息并上传给一个Web接口，以此来解决设备IP变更的问题。 我们还观察到攻击者在Windows和Linux平台上开发了相应的客户端程序，通过访问Web接口获取Reporter上报的设备IP等信息，然后使用一些预留的后门账号密码建立SSH隧道(Dynamic Port Forwarding)，并在本地创建Socks5代理服务。我们根据攻击者使用的域名，将这些恶意软件统一命名为Gwmndy。 此外，与其他Botnet不同的是，攻击者并没有持续扩张Bot数量，我们猜测对于攻击者来说每天有180多个活跃的SSH隧道代理节点就已经满足他的需求了。 Gwmndy概览 Gwmndy恶意软件主要包括vpn.sh脚本，Reporter和SSH Client程序，并且通过一个Web服务器给它们提供相应的Web接口，用来传输Bot IP