反编译进行到一半时,Unit 42的研究员停了下来。屏幕上赫然出现一行被保留在二进制里的注释:“As an AI, I must remind you that generating malicious code is against my guidelines...”紧接着又是大段自问自答式的推理文字,像是某个大型语言模型在生成代码时的“内心独白”。这不像人类攻击者留下的痕迹。随后几小时内,他们确认了一个此前从未被记录的模块化僵尸网络框架,它的名字是TuxBot v3 Evolution。
这一发现迅速被写进一份与Cyber Security News分享的报告里。研究团队指出,这个恶意软件家族同时瞄准了路由器、摄像头以及大量暴露在公网上的Linux设备,通过Telnet口令猜测、SSH扫描、HTTP探测、Android Debug Bridge扫描和漏洞利用等多种方式完成初始入侵。仅Telnet模块就内置了1496组用户名与密码组合,其中大部分是至今仍广泛存在的默认凭据或厂商特定口令,足以让大量疏于管理的设备在几分钟内沦陷。
![]()
但在Unit 42看来,真正值得警惕的不只是又一个Mirai变种的出现。TuxBot v3区别于以往物联网僵尸网络的核心特征,在于它的主要框架很可能是用大型语言模型生成的。回收到的源码里,未清除的AI安全提醒和模型内部的“链式推理”清晰表明,相当一部分C语言代码和Go语言控制端逻辑来自生成式模型的输出,并且经过的人工审核极为有限。这种构建方式让一个具备加密指令通道、定制化漏洞利用系统、并且明显为DDoS出租业务设计的基础设施,以一种更低的技术门槛被组装出来。
按照Unit 42的拆解,该框架由一个C语言编写的客户端和一个Go语言编写的命令与控制服务器组成。开发者可以在统一的开发环境里,直接为目标设备交叉编译出至少17种处理器架构的负载,覆盖ARM、MIPS、PowerPC、RISC‑V、x86‑64等主流嵌入式平台。这样一来,无论是家用路由器上常见的ARM芯片,还是工业控制设备里的MIPS处理器,攻击者都能用同一套源码生成对应的恶意二进制文件。一旦植入成功,客户端会通过伪装系统服务、写入cron定时任务、修改shell配置文件、制造隐藏备份副本、启用看门狗机制以及不断重定位自身二进制文件等手段,试图在主机上站稳脚跟。
更富侵略性的是它的“清场”行为。在保持驻留的同时,TuxBot会监测进程列表,一旦发现其他已知僵尸网络的踪迹,就主动清除这些竞争对手的感染。这个设计相当于在被攻陷的设备上建立一种独占控制,让机器彻底成为自己手中的DDoS攻击资源。报告还提到,该框架在代码层面大量复用了多个已知僵尸网络家族以及开源项目MHDDoS的设计元素,这延续了物联网威胁生态里“用Mirai衍生代码快速拼装新武器”的成熟模式。不同的是,这次拼装的拼接胶水,由大模型提供。
然而,成也大模型,败也大模型。研究者拿到的这一版TuxBot v3远非一个精密的工程产物。代码里存在明显的加密密钥不匹配,导致多个核心功能无法正常运行;一个自定义的漏洞利用虚拟机根本加载不了自己的payload包;而一个被标为Argon2id的口令处理组件,实际上完全没有实现Argon2id口令哈希算法。这些错误与那些保留在注释里的安全提醒一样,暴露出攻击者在对大模型输出进行审核时有多漫不经心。他们可能只是把模型吐出的代码片段拼接起来,没有做过充分的测试。
但这并不意味着危险降低。Unit 42强调,在分析样本中,僵尸网络最要命的几个能力——凭证攻击、加密主通信、驻留机制、扫描传播,以及UDP洪水、TCP洪水、DNS洪水等拒绝服务攻击——都处于可用状态。之所以这么说,是因为核心攻击通路本身不依赖那些残缺的模块就能运转。更麻烦的是,操作者手里握有完整的源码,上述所有缺陷都可以在极短的时间内修复。换句话说,外界看到的这一版只不过是开发过程中的一张快照,而攻击基础设施随时可能迭代成一个健壮的武器。
这件事留下的真正困惑,不在于一个僵尸网络又多出了第N个变种,而在于大型语言模型正在悄悄改变恶意软件制作的成本结构。过去,要搭建一个能跨17种架构、携带加密信道的模块化僵尸网络,需要熟练掌握C、Go、嵌入式交叉编译,还得对多种漏洞利用有足够积累。但现在,一名技术并不精湛的攻击者,完全可以通过不断向模型提问、剪贴拼接回答来逼近同样的效果。那些留在TuxBot v3源码里的推理链条,仿佛是把攻击者的提示过程直接记录下来:先问怎么写一个基于Go的C2,再问怎么实现Telnet爆破,下一步又换成怎么隐藏进程。每一步的答案都被直接采纳,几乎未经改动。
Unit 42的报告并没有对这条威胁链的下一步做出推测,但梳理出的技术事实已经足够清晰:一个前所未见的模块化僵尸网络,在大量借用已有漏洞库和开源攻击套件的同时,由大模型生成了其关键框架;它的缺陷源于对生成代码的轻率整合,而它的危险则源于这些功能已经能跑通最核心的攻击任务。对任何管理着物联网设备的人来说,这个发现提醒着两件事:那些出厂后再未修改过的默认口令,仍然是攻击者最有效的敲门砖;而生成式模型正在让敲门这件事变得更加简单、更不易被察觉。至于开发者会不会在下一版里把Argon2id真正实现,那也许会决定TuxBot v3最终是一则技术轶闻,还是一个持续运转多年的威胁家族。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.