【安全圈】20年代理僵尸网络被捣毁：每周利用1000台未修复设备经过协同行动

关键词

网络攻击

经过协同行动，Lumen Technologies 旗下 Black Lotus Labs、美国司法部（DOJ）、联邦调查局（FBI）及荷兰国家警察成功瓦解了一个自 2004 年起运营的高度复杂的犯罪代理网络。

该僵尸网络由 Black Lotus Labs 长期追踪一年多，感染了数千台物联网（IoT）设备和已终止支持（EoL）设备，为恶意行为者提供匿名掩护，用于广告欺诈、DDoS 攻击、暴力破解和数据窃取等活动。

僵尸网络运作与基础设施

该僵尸网络利用针对未修复 IoT 设备和家庭/小型办公（SOHO）设备的恶意软件，维持每周平均 1000 个独立僵尸节点的规模，并与位于土耳其的命令与控制（C2）服务器通信。其中超 50% 的受感染设备位于美国，其次是加拿大和厄瓜多尔。僵尸网络运营者声称每日拥有 7000 台代理，但 Black Lotus Labs 的实际数据显示，规模虽较小但更具高效性。

C2 基础设施包括 5 台服务器，其中 4 台使用 HTTP 80 端口与受害者通信，另一台使用 UDP 1443 端口收集数据。僵尸网络的长期存在和低检测率（仅有 10% 的代理被 VirusTotal 等工具标记）得益于其针对 EoL 设备——这些设备缺乏厂商支持且无法修复。

通过利用已知漏洞而非零日漏洞，运营者将僵尸生存周期维持在一周以上，确保网络的稳定性和用户的匿名性。

Lumen 报告指出：“受感染的 IoT 设备类型多样，表明该僵尸网络可能利用多个漏洞获取新受害者，但我们评估运营者当前并未使用零日或单日漏洞。”

代理即服务模式

该代理服务采用“租用代理”模式，接收加密货币支付，为用户提供有效期为 24 小时的 IP 地址和端口。

特别值得注意的是，该服务无需认证，任何发现代理的人均可无限制使用——这一策略类似 NSOCKS 和 Faceless 等僵尸网络。

这种开放访问政策加剧了威胁，使得各类恶意行为者可免费利用其进行攻击。运营者还执行了黑名单检测，确保代理逃避常见监控工具，进一步增加检测难度。

Lumen 通过在其全球骨干网上取消与 C2 服务器的所有流量转发，成功切断了僵尸网络的运行。

此次行动得到了 Spur 的情报支持，并基于 CERT Orange Polska 2023 年报告的早期发现。Black Lotus Labs 已在其 GitHub 页面发布了危害指标（IoCs）和 C2 详细信息，以协助防御者应对。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！