一款设计精良的新型僵尸网络家族在网络安全领域浮出水面,展现了前所未有的恶意软件设计和攻击手法创新。
Hpingbot恶意软件首次被发现于2025年6月,明显区别于传统僵尸网络架构,它巧妙利用合法的在线服务和网络测试工具,在保持隐蔽运营的同时发动分布式拒绝服务攻击(DDoS)。
与通常源自Mirai或Gafgyt等知名僵尸网络泄露源代码的恶意软件不同,hpingbot完全由Go语言从零开发,具备跨平台特性,覆盖Windows及Linux/物联网环境,且支持多种处理器架构,包括amd64、mips、arm和80386。
该恶意软件开发者展现出极高的资源整合能力,利用流行的文本分享平台Pastebin进行负载分发,并结合合法的网络诊断工具hping3发动DDoS攻击。
通过NSFOCUS全球威胁狩猎系统(Fuying Lab Global Threat Hunting System),分析师发现该僵尸网络自首次部署以来不断迭代升级。
攻击者重点瞄准德国目标,美国和土耳其也遭受相关攻击。
该僵尸网络的特别之处在于其双重用途设计:除能发动多种DDoS攻击外,核心价值还在于其能够下载并执行任意负载,使其成为更危险恶意软件(如勒索软件或高级持续性威胁组件)的潜在分发平台。
hpingbot支持超过十种不同的DDoS攻击方式,包括ACK FLOOD、TCP FLOOD、SYN FLOOD、UDP FLOOD以及复杂的混合攻击模式。监测数据显示,自2025年6月17日起,攻击者已下发数百条DDoS指令,但僵尸网络在攻击间歇期大多保持休眠状态,显示出其具有战略性运营规划,而非持续攻击。
基于Pastebin的负载投放机制
hpingbot最具创新性的部分在于其精巧的负载投放系统,该系统利用了Pastebin这一合法平台的基础设施。恶意软件在其二进制文件中硬编码了4个Pastebin URL,形成动态指挥控制(C2)机制,有效绕过传统C2检测手段。
这种设计使攻击者能够无需通过常规渠道直接与被感染主机通信,即可远程更新指令、分发新负载及调整攻击参数。
负载投放流程始于hpingbot访问其嵌入的Pastebin链接以获取最新指令。
这些链接的内容频繁变化,涵盖从简单IP地址到包含下载额外恶意组件的复杂Shell脚本。
恶意软件内置专用的UPDATE模块处理这些Pastebin上的指令,允许攻击者远程推送新功能或完全替换现有组件。
此系统反映出攻击者高度的运营安全意识,使其能迅速调整基础设施,同时通过Pastebin平台保持对被控系统的持续访问。
发表评论
您还未登录,请先登录。
登录