一个名为RapperBot的僵尸网络正以技术进化为矛、网络时代狂妄为盾,对全球超过5万台设备发起攻击。与其他隐匿行事的恶意软件不同,RapperBot不仅引起威胁分析师的注意——它甚至嚣张地留下了说唱歌词。
根据XLAB最新报告,这个最早由中国国家互联网应急中心(CNCERT)在2022年披露(可追溯至2021年攻击活动)的僵尸网络,在2025年以超过5万个活跃节点再度肆虐,并开始要求受害者支付门罗币(XMR)作为停止DDoS攻击的赎金。
网络罪犯的挑衅表演
在罕见的网络犯罪"才艺展示"中,RapperBot样本包含针对逆向工程师的嘲弄内容,包括YouTube歌曲《I Am Da Bag》的链接。某段字符串写道:"各位逆向分析我的二进制文件时,有在听我的音乐吗?",紧接着嘲讽道:"可以想象中国(NETLAB360)的研究人员完全听不懂,还试图解码歌词背后的深意"。
另一份样本中,恶意软件甚至承诺在后续更新中"留下新消息"——就像恶意软件混音带的预告片。如今的RapperBot不再满足于单纯发起DDoS攻击,而是开始索要"保护费":"支付5000美元等值门罗币...即可被我们列入黑名单,免受当前及未来僵尸网络侵扰。联系邮箱:horse@riseup.net,需提供交易ID及IP段/ASN信息。"
技术架构深度进化
通过主动注册RapperBot未占用的C2域名,XLAB成功追踪到僵尸网络活动。关键发现包括:
- 近期攻击峰值涉及超5万个IP地址
- 主要感染物联网设备,特别是DVR、网络摄像头和路由器
- 被控设备常见Web界面包括"DVR组件下载"、"华硕登录页"和"RouterOS路由器配置页面"
这些遭劫持设备被用于攻击政府部门、金融机构、社交网络和AI平台。值得注意的是,RapperBot曾在中国春节期间攻击深度求索(DeepSeek),并于2025年3月袭击Twitter。
技术层面,RapperBot展现出极强的适应能力:
- 通过DNS-TXT记录获取C2地址,先后使用四种不同格式
- 采用自定义字符串解密算法,改进Mirai解密方法
- 每个样本使用多重加密密钥
- 新增代理支持、固件更新消息及多段载荷混淆
XLAB指出:"不同变种样本...大体相似,修改主要集中在消息数据结构、DNS-TXT记录解析方法和字符串解码方面。"
漏洞利用与传播手段
该僵尸网络主要通过以下途径传播:
- Telnet弱密码暴力破解
- 利用已知漏洞攻击:
- Zyxel NAS设备(CVE-2020-9054、CVE-2023-4473)
- D-Link路由器(CVE-2021-46229、CVE-2020-24581)
- KGUARD和LILIN品牌DVR
- 锐捷和Reolink系统
从Shodan直接获取目标列表后,这些存在漏洞的系统成为僵尸网络快速扩张的猎物。其自定义数据包格式包含登录凭证、本地网络数据、随机填充字段以及如下攻击指令:
- 开始攻击
- 创建代理
- 心跳检测
- 确认指令
这些数据包均经过XOR混淆处理,随机化字段旨在破坏基于特征码的检测。
扫一扫
268
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
