2025年3月初,安全团队首次观测到一个前所未有的L7 DDoS僵尸网络,针对多行业Web应用发起攻击。
该僵尸网络从初始133万台受感染设备迅速扩张,通过HTTP GET泛洪耗尽服务器资源并绕过传统速率限制。
到5月中旬,威胁进一步升级,僵尸网络规模增长至460万个节点,利用受感染物联网(IoT)设备和防护薄弱的端点扩大攻击面。
至9月,这个庞大网络已调动576万个IP地址协同攻击某政府机构,每秒生成数千万次请求。
Qrator Labs分析师指出,恶意流量的地理分布发生显著变化,巴西、越南和美国成为主要来源地。
攻击分两波展开:首轮约280万台设备参与,一小时后新增300万台节点加入。第二波攻击的HTTP头包含随机化User-Agent字符串,旨在规避简单流量过滤。
Qrator Labs研究人员发现,僵尸网络的控制机制出现关键改进,使其能够快速扩张。恶意软件通过加密通道与去中心化命令控制(C2)基础设施通信,攻击者频繁轮换C2节点以避免被拉黑。由于每个C2端点仅活跃数小时,基于特征的防御手段难以有效应对。
感染机制与持久化
核心感染向量依赖暴力破解默认凭证和常见IoT固件中的未修补漏洞。
设备被入侵后,恶意软件部署轻量级rootkit,挂钩网络接口并拦截固件更新程序。
Qrator Labs提取的代码片段揭示了其持久化策略:
// Intercept firmware update calls
int hook_update(char *path) {
if (!strcmp(path, "/usr/bin/fw_update")) {
launch_payload();
return 0;
}
return orig_update(path);
}这种手段确保恶意模块在每次系统重启后重新加载,使基于简单重启的修复措施失效。
隐蔽的rootkit还会隐藏可疑进程列表,进一步增加检测与清除难度。
发表评论
您还未登录,请先登录。
登录