00后黑客落网,曾操控僵尸网络攻击腾讯游戏与DeepSeek
网络安全战场从不平静——僵尸网络死而不僵,DDoS攻防较量永不休战。每一轮攻击都像在警示我们:“世上从不存在绝对的爆款安全,唯有在持续爆发中构筑的防御体系才真正可靠。”
根据美国司法部最新通报,活跃多年的高危DDoS僵尸网络"RapperBot"终于被成功瓦解。这个曾频繁攻击腾讯游戏、DeepSeek、X平台的幕后黑手,其主谋——22岁的美国俄勒冈州男子Ethan Faulds已于2025年8月6日被搜查住所,其基础设施控制权被执法部门依法接管。目前他面临协助教唆计算机入侵罪的指控,最高可判10年监禁。这一消息与腾讯宙斯盾情报系统监测到的RapperBot活跃度数据高度吻合。Ethan Faulds在6号被捕后,7号该僵尸网络活跃度直接归零,其攻击趋势如下图所示。
一、RapperBot僵尸网络家族回顾
1. 家族简介
RapperBot最早于2024年5月开始活动,主要通过暴力破解攻击入侵数字视频录像机、Wi-Fi路由器等物联网设备,组建僵尸网络并发起大规模分布式拒绝服务攻击。该恶意软件技术继承自fBot和Mirai家族,具备高度破坏性和隐蔽性。
该僵尸网络规模一度达到6.5万至9.5万台受控设备,发动超过37万次DDoS攻击,影响了包括中国、日本、美国、爱尔兰和香港在内的18,000名受害者,单次攻击峰值流量据称突破6+Tbps。除DDoS外,该网络还被用于门罗币加密货币劫持和勒索型DDoS攻击。
2. 样本分析
RapperBot新变种主要通过SSH爆破、漏洞利用等方式进行传播,入侵成功后会在目标设备植入木马程序,随后连接C2并根据下发的攻击指令对目标发起DDoS攻击。以x86版本样本garm5为例进行分析,样本基本信息如下:
bot运行后会在终端输出标志性字符串"Firmware update in progress",并删除自身。
接着利用STUN协议获取公网IP地址和端口信息,解析OpenNIC域名iranistrash.libre获取C2服务器IP,与其建立连接。然后发送上线包,上线信息包含机器名称、样本运行位置等。发送和接收数据均经过加密处理,需要与数据种指定字节进行异或运算来解密。收到上线请求后,服务器端会返回两个数据包,第二个数据包种带有攻击指令。
对收到数据进行异或运算后的值对应各攻击参数示意:
其中第12字节0x05,代表命令类型为执行DDoS攻击;第13,14字节0x0001代表攻击类型为upd_flood;第8,9字节0x004B代表攻击时长75秒;第10,11,12,13个字节代表攻击IP 5...37;第14字节0x20代表子网掩码32;第15字节0x00代表选项类型是payload长度;第16字节0x04代表通过4个字节的ASCII显示payload长度;随后的4个字节0x31343030代表payload长度为1400(对于ASCII码)。
僵尸样本按照该指令发出的DDoS攻击包为:
3. 攻击手段
RapperBot的攻击手法随着技术迭代变得愈发刁钻:
(1) “组合拳”升级:指令不再只控制单一攻击手法,部分指令由单一攻击手法升级为多种手法混合攻击。特别是TCP连接型攻击明显增多,攻击时与目标建立大量真实TCP连接,然后循环利用每个连接发送数据包,防护难度飙升。
(2) “地毯炮”成主流:RapperBot按照网段进行攻击的指令上升明显,通过设置攻击时的子网掩码为24/23/22/21/17/16/12等,将单条指令的攻击范围扩大到整个网段。近期捕获到RapperBot攻击子网网段的DDoS手法有7种,其中udp_connect_flood手法进行网段攻击的指令有297条,按照子网掩码24进行计算,仅这个攻击手法通过扫段可以覆盖的攻击范围就多达297*254=75438个IP,极大拓宽了攻击的威胁范围。
4. 典型攻击案例
2025年春节期间,针对deepseek发起大规模DDoS攻击2025年2月28日-3月11日期间针对马斯克的X平台发起了3波攻击2025年3月23-3月24+ 针对暴雪服务器发起多轮DDoS攻击2025年暑期针对腾讯游戏业务的批量化DDoS攻击二、DDoS僵尸网络背后的盈利模式
1. 黑产链条
攻击者通过DDoS攻击迫使目标支付赎金以恢复服务,常见于金融、游戏、电商等行业。近期高发的“攻击前预警勒索”模式中,威胁行为者会先发出勒索信,如未付款即发动实际攻击。
2. 盈利渠道
(1) 租赁服务。当前主要的盈利模式,攻击团伙将控制的僵尸网络作为攻击资源出租给其他犯罪分子
(2) 敲诈勒索。直接向目标企业或发起DDoS攻击威胁,并以此索要“保护费”以停止攻击。
(3) 售卖攻击资源与服务。将僵尸网络对应攻击能力封装成攻击页面端或者API形式,对外按照次数或者时间维度进行售卖。
(4) 多元化利用僵尸网络资源。例如广告点击欺诈、针对特定游戏的DDoS炸房功能,并以此获取对应收益
三、腾讯宙斯盾情报系统简介
1. 系统架构介绍
我们的DDoS情报收集主要基于自研的蜜罐,同时也会对外部开源的情报渠道进行监控互补。整个自研蜜罐的架构如图:
技术上我们开发了一个高交互、高仿真、全端口开放并响应的蜜罐,并在全球多地部署捕获攻击者样本。为了能及时监控僵尸网络的最新动向,我们将捕获到的最新样本置入养鸡场中,通过分析样本与C2通信的流量,提取攻击指令信息。
2. AI助力样本分析提效
在DDoS情报获取的关键环节——僵尸网络样本分析过程中,我们结合了大模型能力进行提效。利用大模型接口对样本反编译后代码进行推理分析,通过MCP方式调用调试器提高样本动态调试效率,并且通过大模型对样本的家族特征进行分析。得益于多种场景下的大模型助力,僵尸网络样本核心解密逻辑代码逆向效率提升80%,样本家族分类也实现了90%自动化,为DDoS情报的威胁发现、态势感知和联动防护等应用提供了有力支持。
四、DDoS安全防护建议
1. 避免沦为“肉鸡”
强化设备级安全,杜绝僵尸节点植入。排查并更换默认密码与弱口令,关闭非必要服务,及时修补已知漏洞。建议部署IoT设备准入控制与微隔离策略,限制横向移动。
2. 自动化灾备调度能力建设
在业务面临极端对抗场景或平台级攻击场景下,能够基于自动化灾备调度能力降低业务影响的同时,提高攻击成本。
3. 定期DDoS蓝军演练主动排雷
制定演练计划以及应急响应处置流程。明确不同攻击规模、不同影响情况下的处置流程,通过定期开展红蓝对抗与恢复演练,提升实战应对能力。
僵尸网络死而不僵,DDoS攻防较量永不休战。每一次攻击都在警示我们:没有绝对安全的爆款,只有在持续爆发中构筑的坚固防线。腾讯宙斯盾致力于守护每一局游戏畅玩、每一次丝滑体验!
免责声明
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
东方甄选启示录:告别流量喧嚣,做产品才是电商出路
当直播电商行业仍在为流量争夺而陷入内卷时,东方甄选已悄然开启一场从“流量至上”到“产品为王”的深度变革。这场变革不仅重塑了企业的增长逻辑,更在行业格局中刻下新的坐标。最新财报数据显示,东方甄选的战略
江苏纳芯微港股上市:252亿市值背后,年销芯片超30亿颗
江苏苏州的模拟芯片龙头企业纳芯微,近日向港交所重新提交了上市申请。这家成立于2013年的公司,在模拟芯片领域已占据重要地位。按2024年中国模拟芯片市场收入计算,纳芯微位列中国模拟芯片厂商第五、汽车
iQOO Neo11起价2599元:骁龙8至尊版双芯+同档唯一2K LTPO屏
10月30日消息,iQOO Neo11今晚正式发布,首发限时优惠,起售价只要2599元。具体配置如下:屏幕:6 78英寸2K 144Hz珠峰屏,联合研发BOE最新Q10+发光材料,支持硬件级圆偏振光
胡润谈雷军财富暴增:弯腰捡钱反亏万元的商业启示
在最新发布的2025胡润百富榜中,小米集团创始人雷军以3260亿元身家位列第五,成为本年度财富增长最快的企业家。数据显示,其个人财富较上一年度激增1960亿元,平均每小时财富增值达37万元,相当于每
2025年Q3手机市场:三星苹果领跑,小米稳居全球第三
根据Omdia(原Canalys)发布的最新市场研究报告,2025年第三季度全球智能手机出货量达到3 201亿台,较去年同期增长3%。这一增长态势反映出全球消费电子市场在经历波动后逐步企稳,头部品牌
热门教程
更多- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程
