经过协同举动,Lumen Technologies 旗下 Black Lotus Labs、美国司法部(DOJ)、联邦调查局(FBI)及荷兰国家差人成功瓦解了一个自 2004 年起运营的高度杂乱的违法署理网络。
该僵尸网络由 Black Lotus Labs 长时间追寻一年多,感染了数千台物联网(IoT)设备和已停止支撑(EoL)设备,为歹意行为者供给匿名保护,用于广告诈骗、DDoS 进犯、暴力破解和数据盗取等活动。
该僵尸网络运用针对未修正 IoT 设备和家庭/小型工作(SOHO)设备的歹意软件,保持每周均匀 1000 个独立僵尸节点的规划,并与坐落土耳其的指令与操控(C2)服务器通讯。其间超 50% 的受感染设备坐落美国,其次是加拿大和厄瓜多尔。僵尸网络运营者宣称每日具有 7000 台署理,但 Black Lotus Labs 的实践多个方面数据显现,规划虽较小但更具高效性。
C2 基础设施包含 5 台服务器,其间 4 台运用 HTTP 80 端口与受害者通讯,另一台运用 UDP 1443 端口搜集数据。僵尸网络的长时间存在和低检测率(仅有 10% 的署理被 VirusTotal 等东西符号)得益于其针对 EoL 设备——这些设备缺少厂商支撑且无法修正。
经过运用已知缝隙而非零日缝隙,运营者将僵尸生计周期保持在一周以上,保证网络的稳定性和用户的匿名性。
Lumen 陈述阐明:“受感染的 IoT 设备类型多样,标明该僵尸网络或许运用多个缝隙获取新受害者,但咱们评价运营者当时并未运用零日或单日缝隙。”
该署理服务选用“租借署理”形式,接纳暗码钱银付出,为用户更好的供给有效期为 24 小时的 IP 地址和端口。
特别有必要留意一下的是,该服务无需认证,任何发现署理的人均可无限制运用——这一战略相似 NSOCKS 和 Faceless 等僵尸网络。
这种敞开拜访方针加重了要挟,使得各类歹意行为者可免费运用其进行进犯。运营者还执行了黑名单检测,保证署理躲避常见监控东西,进一步添加检测难度。
Lumen 经过在其全球主干网上撤销与 C2 服务器的一切流量转发,成功切断了僵尸网络的运转。
