针对中国游戏《黑色神话:悟空传》发行平台的一系列分布式拒绝服务(DDoS)攻击背后的威胁行为者又推出了一个新的改进型僵尸网络。
2024 年 8 月,一场大规模的 DDoS 攻击活动破坏了负责发行备受期待的游戏《黑色神话:悟空传》的平台 Steam 和完美世界。攻击由一个自称为 AISURU 的僵尸网络发起,目标是全球 13 个地区的数百台服务器。
现在,XLab 的研究人员发现,AISURU 背后的威胁行动者又出现了一个名为 AIRASHI 的新僵尸网络。这个更新的僵尸网络拥有更强大的功能和更复杂的基础设施,旨在逃避检测和清除工作。
AIRASHI 展示了僵尸网络能力的不断发展。AIRASHI 利用 cnPilot 路由器中的 0-day 漏洞,高效传播其样本。AIRASHI 利用的漏洞如下:
漏洞
AMTK Camera cmd.cgi 远程代码执行
谷歌 Android ADB 调试服务器 – 远程有效载荷执行
AVTECH IP 摄像机 / NVR / DVR 设备
CVE_2013_3307
CVE_2016_20016
CVE_2017_5259
CVE_2018_14558
CVE_2020_25499
CVE_2020_8515
CVE_2022_40005
CVE_2022_44149
CVE_2023_28771
Gargoyle Route run_commands.sh 远程代码执行
LILIN Digital Video Recorder 多個遠端執行程式碼
CVE-2022-3573
cnPilot 0DAY
OptiLink ONT1GEW GPON 2.1.11_X101
深圳市广电运通数码科技有限公司 Ltd & OEM {DVR/NVR/IPC} API RCE
僵尸网络采用了复杂的加密协议,包括 RC4 和 ChaCha20,并结合 HMAC-SHA256 进行消息完整性验证。值得注意的是,XLab 的报告强调了该僵尸网络使用了分布在 19 个国家的近 60 个指挥和控制 (C2) IP,从而使清除工作变得更加复杂。
报告中的一个细节显示了 AIRASHI 对安全研究人员的嘲弄语气。CNC 域名 “xlabsecurity ”和嵌入式字符串 “来吧,摇动你的身体 XLab,跳康加舞吧!”显示了它与试图摧毁它的人之间不寻常的互动。
通过在 Telegram 上分享的演示,AIRASHI 僵尸网络始终保持着 1 到 3 Tbps 的攻击能力。报告强调了该僵尸网络执行 “稳定的 T 级 DDoS 攻击能力 ”的能力,每天攻击全球数百台服务器。主要目标包括中国、美国、波兰和俄罗斯的一些部门,显示了其广泛、无差别的影响。
AIRASHI 僵尸网络一直在不断发展。从被称为 “Kitty ”的精简版 AISURU 变种到 AIRASHI-DDoS 和 AIRASHI-Proxy,每一次迭代都融入了新的功能。代理工具和反向外壳功能的引入标志着其意图超越传统的 DDoS 操作。
XLab 研究人员强调了 AIRASHI 网络协议的复杂性,指出其通信过程包括密钥协商、HMAC 验证和通过 ChaCha20 进行加密信息交换。
虽然 AIRASHI 仍是一个活跃的威胁,但 XLab 已采取措施,为防御者配备了打击其传播的工具。该报告包括用于检测利用企图的 Snort 规则,但 0-day 漏洞的详细信息仍未披露,以防止进一步滥用。
如需进一步了解该报告和详细的技术细节,请访问 XLab 的博客。
发表评论
您还未登录,请先登录。
登录