奇安信X实验室持续监控CatDDoS僵尸网络，发现其近期利用80多个漏洞，攻击目标峰值达300+/天。文章深入分析了CatDDoS的活跃情况、攻击目标分布、漏洞利用情况，并探讨了其与Aterna Botnet的关系，以及衍生变种的特征。研究揭示了该僵尸网络的演变、技术细节及可能的幕后关联，为安全社区提供了宝贵的情报参考。

🌐 CatDDoS攻击目标遍布全球，主要集中在美国、法国、德国、巴西和中国等地，攻击目标涉及云厂商、教育科研、信息传输、公共管理和建筑等行业。

⚠️ CatDDoS系团伙在近3个月内利用了80多个已知漏洞传播样本，部分漏洞可能为0day，例如skylab0day和Cacti-n0day，具体细节有待进一步调查。

🔄 CatDDoS可能源于去年12月关停的Aterna Botnet，因源代码泄露或出售，导致RebirthLTD、Komaru、Cecilio Network等变种陆续出现。

🕵️‍♀️ v-snow_slide变种最早发现于2023年10月，其指令数量在Aterna关停后骤降，推测仍由Aterna开发运营，并保留了大量Fodcha僵尸网络的代码特征，如使用OpenNIC域名作为C2。

原创 奇安信X实验室 2024-05-22 10:43 北京

XLab的大网威胁感知系统会对当前活跃的主流DDoS僵尸网络家族进行持续跟踪和监控，最近3个月，这套系统观察到CatDDoS系团伙持续活跃，利用的漏洞数量达80+，攻击目标数量最大峰值300+/d，我们整理了一份近期的各种数据分享给社区。

概述

XLab大网威胁感知系统会对当前活跃的主流DDoS僵尸网络家族进行持续跟踪和监控，最近3个月，这套系统观察到CatDDoS系团伙持续活跃，利用的漏洞数量达80+，攻击目标数量最大峰值300+/d，鉴于其活跃程度，我们整理了一份近期的各种数据分享给社区以供参考。

漏洞利用

根据视野内的数据，我们观察到CatDDoS系团伙最近3个月使用了大量的已知漏洞传播样本，总数达80多个。其中某些漏洞暂未找到线索，但根据投递样本的运行参数猜测，可能是0day，比如skylab0day，Cacti-n0day等。

DDoS攻击

下图是视野内的数据，从我们的系统中可以方便地查询CatDDoS的历史活跃情况以及各个维度的详细信息比如cc、指令、被打目标等。可以看到CatDDoS攻击目标遍布全球，主要分布在美国、法国、德国、巴西、中国等，被攻击目标分布在云厂商，教育、科研、信息传输、公共管理、建筑等行业。

CatDDoS的衍生

通过对Telegram相关频道的观察，我们推测CatDDoS应该就是去年12月份关停的 Aterna Botnet，该频道的历史消息如今已经删除，下图是作者在群里发布的关停通知。在关停后由于出售或泄露了源代码，导致陆续出现了新的变种，比如RebirthLTD、Komaru、Cecilio Network等。

未曾披露的v-snow_slide

v-snow_slide最早发现于2023年10月，在Aterna关停后 v-snow_slide的指令数量骤降，我们推测v-snow_slide还是由Aterna开发运营。通过逆向分析发现保留了大量Fodcha僵尸网络的代码，比如运行成功后输出"snow slide"、使用xxtea解密字符串、使用OpenNIC域名作为C2、在通信协议部分也拥有相同的switch-case结构以及流量加密算法（xxtea+chacha20），莫非是Fodcha借尸还魂？此外比较有意思的是这个变种在上线时使用了诸如N3tL4b360G4y、paloaltoisgaytoo等字样，表达了作者对于安全厂商的“致敬”。

详细内容请访问：

https://blog.xlab.qianxin.com/catddos-derivative-cn/

或者点击下方的阅读原文

阅读原文

跳转微信打开