自2025年初以来,网络安全界见证了分布式拒绝服务(DDoS)攻击带宽出现前所未有的激增,最终出现了一场由名为AISURU的僵尸网络发起的、创下纪录的11.5太比特每秒的攻击。
该僵尸网络源于XLab对全球分布式拒绝服务(DDoS)事件的持续监控,它利用受感染的路由器固件,在全球范围内聚集了约30万台活跃设备。
研究人员首先检测到针对主要基础设施提供商的异常恶意流量峰值,这促使他们对潜在威胁展开更深入的调查。
XLab的分析师指出,AISURU的攻击方法与早期活动存在显著相似之处,但此次行动的规模和复杂程度远超以往的基准。
AISURU的传播始于2025年4月,当时威胁者利用了Totolink路由器固件更新服务器中的一个漏洞。
通过将固件URL修改为指向恶意脚本,每台进行自动更新的设备都受到了感染。
短短几周内,AISURU网络的规模就膨胀到了10万多台路由器,到2025年9月,这个僵尸网络已经整合了约30万个节点。
XLab的研究人员发现,该僵尸网络利用GRE隧道在多个命令与控制(C2)服务器之间分配流量负载,从而能够协调发起同步数据包洪流,轻松击垮目标网络。
这场11.5 Tbps的攻击产生了全球性影响,服务提供商纷纷紧急采取措施,以缓解大量的SYN、UDP和DNS放大请求。
受影响的组织报告出现间歇性中断和服务降级,这凸显了将大规模物联网入侵与先进规避技术相结合的威力。
XLab的分析师发现,传统的放大载体正迅速转向定制的数据包序列,这些序列旨在绕过传统的缓解工具,这一创新使AISURU在DDoS吞吐量方面创下了新的世界纪录。
尽管AISURU的分布式架构和带宽容量本身就令人震惊,但其恶意软件的底层行为却展现出更深层次的技术精进。
其双版本传播引擎展现出持续进化能力,整合了零日漏洞和已知的N日漏洞以扩大其影响范围。
同样令人担忧的是其模块化设计,这种设计有助于在无需对恶意软件代码库进行彻底改造的情况下,快速更新加密方式、通信协议和攻击指令。
感染机制:固件更新劫持
深入研究AISURU的感染机制,会发现其采用的方法看似简单,实则具有毁灭性。
2025年4月,攻击者入侵了Totolink的固件更新服务器,植入了一个名为t.sh的shell脚本,该脚本会将设备重定向以下载AISURU有效载荷。
脚本执行后,会通过修改/etc/rc.local条目来设置持久化执行,并通过/proc/self/oom_score_adj禁用Linux的OOM杀手,确保僵尸网络程序在重启后仍能驻留。
这个有效载荷二进制文件被重命名为libcow.so,它通过伪装成常见的系统守护进程(如telnetd或dhclient)来躲避检测。
初始化时,AISURU会通过扫描虚拟化痕迹和调试工具来执行环境检查,以便在虚拟化或分析环境中终止自身运行。
然后,它通过自定义的AES-XOR混合协议与C2服务器建立安全通道,交换的命令涵盖从DDoS指令到住宅代理分配等内容。
以下是持久性程序的一个示例片段:-
# Persistence setup in /etc/rc.local echo "/usr/lib/libcow.so &" >> /etc/rc.local chmod +x /usr/lib/libcow.so这一机制凸显了威胁行为者对传统Linux管理和定制恶意软件设计的精通,使AISURU能够在DDoS生态系统中保持主导地位。
这一机制凸显了威胁行为者对传统Linux管理和定制恶意软件设计的精通,使AISURU能够在DDoS生态系统中保持主导地位。1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
