Hpingbot 的崛起:Pastebin 與 Hping3 的結合
FastNetMon 於 2025 年 7 月 7 日發布報告指出,一個名為 Hpingbot 的新型 Botnet 以其獨特的惡意軟體傳遞和 DDoS 攻擊方式引起了網絡安全社區的關注。該 Botnet 由 NSFOCUS 的 Fuying Lab 於 2025 年 6 月偵測到,並且正在快速演進。
利用 Pastebin 傳遞載荷
Hpingbot 不同於大多數 Botnet 使用傳統基礎設施傳遞惡意軟體,改用 Pastebin 這一公共文字分享平台來分發載荷。攻擊者在 Pastebin 上嵌入多個硬編碼的連結以主機指令或 shell 腳本 (payload.sh),用於下載和安裝惡意二進位檔,讓攻擊者能快速更新載荷而不需要重新配置 Botnet,並且保持低調運作。
使用 NetData 測試
在早期活動中,Hpingbot 被觀察到對托管 NetData 性能監控工具的 IP 發動攻擊,這些目標可能被用來測試和驗證 Hpingbot 的 DDoS 模組在實際環境中的有效性,顯示出攻擊者的膽大與自信。
Hping3 發動的 DDoS 攻擊
Hpingbot 的命名來自於其使用的 hping3 工具,該工具被重新用於發動定制化的 DDoS 攻擊,支持 SYN、ACK、RST 洪水攻擊,UDP 洪水攻擊,混合模式“BOTOX”攻擊,以及定制 TCP 標志組合。令人注意的是,Windows 版本不支持 hping3,但其仍積極傳播,顯示出超越 DDoS 的廣泛意圖。
持久且模塊化設計
Hpingbot 透過 Systemd、SysVinit 和 Cron 工作確保系統持久性,讓其在多樣的 Linux 環境中保持堅韌。其架構支持多種處理器類型 (如 amd64、ARM、MIPS 等),並且其傳播模塊與載荷分離,這是模塊化 Botnet 設計的趨勢之一,能夠提供更好的混淆和更嚴密的控制。
不斷演化與專業開發
自 6 月中旬以來,攻擊者至少對 Hpingbot 進行了 10 次更新,更新內容包括安裝腳本、載荷邏輯和 C&C 伺服器地址。更新速度和交付鏈的複雜性表明,這款 Botnet 由專業團隊維護,可能用於長期的攻擊活動。
在 APT 和勒索軟體生態中的戰略使用
除了 DDoS 攻擊,Hpingbot 能夠下載和執行任意載荷,使其成為高階持續性威脅 (APT) 或勒索軟體操作的理想選擇。隨著攻擊者日益將 Botnet 作為初始訪問向量,Hpingbot 可能成為通往更嚴重漏洞的踏腳石。
FastNetMon 的觀點
Hpingbot 清楚地表明 Botnet 正在進化,利用公共平台、開源工具和靈活的開發實踐以超越防禦者。雖然其 DDoS 足跡目前有限,但其載荷傳遞能力和快速迭代週期需要特別關注。在 FastNetMon,我們持續監控不斷變化的 DDoS 形勢,透過即時流量分析和偵測工具幫助客戶提前識別類似 Hpingbot 的威脅,防止損害發生。
保持安全
對於運行 Linux 或 IoT 系統的用戶,請監控是否有可疑的 hping3 使用、意外的計劃任務或流量指向 Pastebin。考慮加強 SSH 密碼策略並限制流出流量到已知的良好域名以減少暴露風險。
關於 FastNetMon
FastNetMon 是網絡安全方面的領導解決方案,提供先進的 DDoS 偵測和緩解功能,通過即時分析和快速響應能力,幫助組織保護其基礎設施免受不斷演變的網絡威脅。更多資訊請訪問:https://fastnetmon.com