去年8月下旬电玩平台Steam发生大规模DDoS攻击,传出与当时推出不久的大型电玩游戏黑神话:悟空有关,奇安信X实验室Alex.Turing、Wang Hao等4名研究人员指出,Aisuru在上述攻击行动曝光后,9月短暂停止攻击行动,但背后的骇客组织在利益的驱动下,先后在10月、11月对僵尸网路进行翻新,其中11月底出现的僵尸网路Aisuru变种,骇客称为Airashi。
新的僵尸网路变种更换主要绑架的网路设备,骇客针对美国网路设备业者Cambium Networks提供的无线基地台cnPilot而来,利用零时差漏洞散布恶意程式;再者,为避免C2通讯内容被察觉异常,骇客运用RC4演算法处理字串,其通讯协定导入HMAC-SHA256杂凑值检验,并经由演算法ChaCha20进行处理。
而对于这些设备发动攻击的威力,奇安信指出具有稳定的TB等级DDoS攻击输出。此外,下达命令的C2后台也具备更充足的IP位址资源,他们根据网域进行分析,有近60IP位址,分散于不同国家及服务供应商。研究人员认为,骇客这么做的目的,可能是为了能够控制更多机器人,并增加研究人员及执法单位摧毁僵尸网路的难度。
附带一提的是,骇客似乎也对于奇安信揭露他们上回的攻击事故耿耿于怀,在C2的网域名称使用带有XLab的字串,或是其他针对该公司而来的名称。
奇安信将收集到的僵尸网路病毒归纳为3种类型:Airashi-DDoS、Go-Proxisdk、Airashi-Proxy,并指出攻击者有意拓张DDoS攻击以外的业务。
首先是最早在10月底出现的Airashi-DDoS,主要功能就是发动DDoS攻击,也支援执行任意指令,或是搭配反向Shell运作。
接著就是在11月底开始出现的Go-Proxisdk,这是以muxado为基础打造的Go代理伺服器工具。
第三种是12月初出现的Airashi-Proxy,这也是代理伺服器工具,但不同的是骇客以Airashi-DDoS的原始码打造而成,并使用专属的通讯协定运作。
值得一提的是,奇安信提及骇客使用的cnPilot零时差漏洞,他们在去年6月进行通报,但迄今尚未得到回应,为了避免漏洞遭到更多人利用,研究人员并未透露相关资讯。