當代威脅:從模組化載入器到多向量攻擊引擎
隨著安全防護技術的進步,早期僵屍網路如 BASHLITE、Mirai 及 GameOver Zeus 的經典手法逐漸被防禦者識破。於是,威脅行為者轉向設計更具韌性且難以察覺的網路攻擊手段。在本系列文章的第三部分,我們將深入探討現代僵屍網路如何利用加密技術、點對點架構及多平台負載以保持其效能與隱蔽性。
現代僵屍網路的傳播方式
現代的僵屍網路避免單一故障點,而不再依賴硬編碼的控制命令 IP 或簡單的憑證暴力破解技術。它們會掃描各種裝置類型(尤其是路由器和物聯網設備),並使用域名生成或 DNS 隧道技術來保持持久性,支持多種 CPU 架構,如 ARM、MIPS 和 x86。
這些僵屍網路不僅難以偵測和阻止,還具備跨平台、加密功能,並設計為能夠在網路內持續存在,同時靜悄悄地產生收益。
實例分析
PumaBot:以暴力破解 SSH 攻擊侵入基於 Linux 的物聯網設備,建立加密控制通道,並低調地進行加密貨幣挖礦、代理流量或憑證竊取。
HTTPBot:自 2024 年開始,專注於應用層(第七層)DDoS 攻擊,針對智能設備和伺服器,發送 HTTP/2 洪水以耗盡網頁服務。
Ballista:利用已知的路由器漏洞,安裝後隱藏於 Tor 網絡中,並通過加密通道進行遠程控制。
Vo1d:瞄準 Android TV 盒,通過受感染的韌體植入,進行 DDoS 攻擊、廣告欺詐或流量重定向。
Chaos:支援多平台,包括 Windows 和 Linux,配備集中 C2 和加密貨幣挖礦功能。
FritzFrog:不依賴中央控制,通過 SSH 橫向傳播,形成每個節點都可接收和轉發命令的點對點網絡。
現代架構的趨勢
現代僵屍網路不再依賴簡單的集中式架構,而是呈現多樣化趨勢:
加密的集中化 C2:如 HTTPBot,通過加密的 TCP 發送第七層洪水指令,並使用自更新配置適應目標。
點對點架構:如 FritzFrog,透過 SSH 依賴點對點模型,讓偵測與映射變得更加複雜。
混合控制系統:如 GorillaBot 和 AIRASHI,結合中央伺服器與加密中繼層或域名變動的 C2 地址來避免 IP 黑名單。
更難以阻止的現實
現代僵屍網路不僅因加密或點對點技術而變得難以阻止,許多還包含自我修補機制、混淆其二進制文件,並盡可能頻繁地輪換基礎設施。
這些特性讓它們變得更加難以防範,對網路安全構成了更大的挑戰。企業在選擇網路安全方案時,應考慮到這些進化的威脅,例如北斗數位提供的 DDoS 防禦服務來保障網絡穩定。