针对中国游戏《黑色神话：悟空传》发行平台的一系列分布式拒绝服务（DDoS）攻击背后的威胁行为者又推出了一个新的改进型僵尸网络。

2024 年 8 月，一场大规模的 DDoS 攻击活动破坏了负责发行备受期待的游戏《黑色神话：悟空传》的平台 Steam 和完美世界。攻击由一个自称为 AISURU 的僵尸网络发起，目标是全球 13 个地区的数百台服务器。

现在，XLab 的研究人员发现，AISURU 背后的威胁行动者又出现了一个名为 AIRASHI 的新僵尸网络。这个更新的僵尸网络拥有更强大的功能和更复杂的基础设施，旨在逃避检测和清除工作。

AIRASHI 展示了僵尸网络能力的不断发展。AIRASHI 利用 cnPilot 路由器中的 0-day 漏洞，高效传播其样本。AIRASHI 利用的漏洞如下：

漏洞AMTK Camera cmd.cgi 远程代码执行谷歌 Android ADB 调试服务器 – 远程有效载荷执行AVTECH IP 摄像机 / NVR / DVR 设备CVE_2013_3307CVE_2016_20016CVE_2017_5259CVE_2018_14558CVE_2020_25499CVE_2020_8515CVE_2022_40005CVE_2022_44149CVE_2023_28771Gargoyle Route run_commands.sh 远程代码执行LILIN Digital Video Recorder 多個遠端執行程式碼CVE-2022-3573cnPilot 0DAYOptiLink ONT1GEW GPON 2.1.11_X101

深圳市广电运通数码科技有限公司 Ltd & OEM {DVR/NVR/IPC} API RCE

僵尸网络采用了复杂的加密协议，包括 RC4 和 ChaCha20，并结合 HMAC-SHA256 进行消息完整性验证。值得注意的是，XLab 的报告强调了该僵尸网络使用了分布在 19 个国家的近 60 个指挥和控制 (C2) IP，从而使清除工作变得更加复杂。

报告中的一个细节显示了 AIRASHI 对安全研究人员的嘲弄语气。CNC 域名 “xlabsecurity ”和嵌入式字符串 “来吧，摇动你的身体 XLab，跳康加舞吧！”显示了它与试图摧毁它的人之间不寻常的互动。

通过在 Telegram 上分享的演示，AIRASHI 僵尸网络始终保持着 1 到 3 Tbps 的攻击能力。报告强调了该僵尸网络执行 “稳定的 T 级 DDoS 攻击能力 ”的能力，每天攻击全球数百台服务器。主要目标包括中国、美国、波兰和俄罗斯的一些部门，显示了其广泛、无差别的影响。

AIRASHI 僵尸网络一直在不断发展。从被称为 “Kitty ”的精简版 AISURU 变种到 AIRASHI-DDoS 和 AIRASHI-Proxy，每一次迭代都融入了新的功能。代理工具和反向外壳功能的引入标志着其意图超越传统的 DDoS 操作。

XLab 研究人员强调了 AIRASHI 网络协议的复杂性，指出其通信过程包括密钥协商、HMAC 验证和通过 ChaCha20 进行加密信息交换。

虽然 AIRASHI 仍是一个活跃的威胁，但 XLab 已采取措施，为防御者配备了打击其传播的工具。该报告包括用于检测利用企图的 Snort 规则，但 0-day 漏洞的详细信息仍未披露，以防止进一步滥用。

如需进一步了解该报告和详细的技术细节，请访问 XLab 的博客。