據(jù)美國(guó)司法部通報(bào)，活躍多年的高危DDoS僵尸網(wǎng)絡(luò)“RapperBot”（歷史頻繁攻擊騰訊游戲、DeepSeek、X平臺(tái)的幕后黑手）現(xiàn)已被成功取締。該僵尸網(wǎng)絡(luò)主謀、22歲的美國(guó)俄勒岡州男子Ethan Faulds已于2025年8月6日被搜查住所，其基礎(chǔ)設(shè)施控制權(quán)被執(zhí)法部門依法接管，目前他面臨協(xié)助及教唆計(jì)算機(jī)入侵罪的指控，最高可判處10年監(jiān)禁。這一消息與騰訊宙斯盾情報(bào)系統(tǒng)監(jiān)測(cè)到RapperBot僵尸網(wǎng)絡(luò)活躍度數(shù)據(jù)吻合。Ethan Faulds于6號(hào)被捕后，7日該僵尸網(wǎng)絡(luò)活躍度直接清零，其攻擊趨勢(shì)如下圖所示。

一、RapperBot僵尸網(wǎng)絡(luò)家族回顧

1. 家族簡(jiǎn)介

RapperBot最早于2021年5月開始活動(dòng)，主要通過(guò)暴力破解攻擊入侵?jǐn)?shù)字視頻錄像機(jī)（DVR）、Wi-Fi路由器等物聯(lián)網(wǎng)設(shè)備，組建僵尸網(wǎng)絡(luò)并發(fā)動(dòng)大規(guī)模分布式拒絕服務(wù)（DDoS）攻擊。該惡意軟件技術(shù)繼承自fBot和Mirai家族，具備高度破壞性和隱蔽性。

該僵尸網(wǎng)絡(luò)規(guī)模一度達(dá)到6.5萬(wàn)–9.5萬(wàn)臺(tái)受控設(shè)備，發(fā)動(dòng)超過(guò)37萬(wàn)次DDoS攻擊，影響了包括中國(guó)、日本、美國(guó)、愛爾蘭和香港在內(nèi)的18,000名受害者，單次攻擊峰值流量據(jù)稱超過(guò)6 Tbps。除DDoS外，該網(wǎng)絡(luò)還被用于門羅幣加密貨幣劫持和勒索型DDoS攻擊（RDoS）。

2. 樣本分析

RapperBot新變種主要通過(guò)SSH爆破，漏洞利用等方式進(jìn)行傳播，入侵成功后在目標(biāo)設(shè)備植入僵尸木馬程序，隨后連接C2并根據(jù)C2下發(fā)的攻擊指令對(duì)目標(biāo)發(fā)起DDoS攻擊。以x86版本樣本garm5為例進(jìn)行分析，樣本基本信息如下：

bot運(yùn)行后會(huì)在終端輸出標(biāo)志性的字符串"Firmware update in progress"，并刪除自身。

接著利用STUN協(xié)議獲取肉雞公網(wǎng)IP地址和端口信息，解析OpenNIC域名iranistrash.libre獲取C2 IP，與C2建立連接。然后發(fā)送上線包，上線信息包括機(jī)器名稱，樣本運(yùn)行位置等。發(fā)送和接收數(shù)據(jù)均經(jīng)過(guò)加密處理，需要與數(shù)據(jù)種指定字節(jié)進(jìn)行異或來(lái)解密。收到上線請(qǐng)求后，服務(wù)器端會(huì)返回兩個(gè)數(shù)據(jù)包，第二個(gè)數(shù)據(jù)包種帶有攻擊指令。

對(duì)收到數(shù)據(jù)進(jìn)行異或運(yùn)算后的值對(duì)應(yīng)各攻擊參數(shù)示意：

• 其中第12字節(jié)0x05，代表命令類型為執(zhí)行DDoS攻擊；
• 第13,14字節(jié)0x0001代表攻擊類型為upd_flood;
• 第8,9字節(jié)0x004B代表攻擊時(shí)長(zhǎng) 75秒；
• 第10,11,12,13個(gè)字節(jié)代表攻擊IP 5...37；
• 第14字節(jié)0x20代表子網(wǎng)掩碼32；
• 第15字節(jié)0x00代表選項(xiàng)類型是payload長(zhǎng)度；
• 第16字節(jié)0x04代表通過(guò)4個(gè)字節(jié)的ASCII顯示payload長(zhǎng)度；
• 隨后的4個(gè)字節(jié)0x31343030代表payload長(zhǎng)度為1400(對(duì)于ASCII碼)。

僵尸樣本按照該指令發(fā)出的DDoS攻擊包為：

3. 攻擊手段

RapperBot的攻擊手法隨著技術(shù)迭代變得愈發(fā)刁鉆：

(1) “組合拳”介紹：指令不再只控制一種攻擊手法，部分指令由單一攻擊手法升級(jí)為多種手法混合攻擊。特別是TCP連接型攻擊明顯增多，攻擊時(shí)肉雞與目標(biāo)建立大量真實(shí)的TCP連接，然后循環(huán)利用每個(gè)連接發(fā)送數(shù)據(jù)包，防護(hù)難度飆升。

(2) “地圖炮”成主流：RapperBot按照網(wǎng)段進(jìn)行攻擊的指令上升明顯，通過(guò)設(shè)置攻擊時(shí)的子網(wǎng)掩碼為24/23/22/21/17/16/12等，將單條指令的攻擊范圍擴(kuò)大到整個(gè)網(wǎng)段。近期捕獲到RapperBot攻擊子網(wǎng)網(wǎng)段的DDoS手法有7種，其中udp_connect_flood手法進(jìn)行網(wǎng)段攻擊的指令有297條，按照子網(wǎng)掩碼24進(jìn)行計(jì)算，僅這個(gè)攻擊手法通過(guò)掃段可以覆蓋的攻擊范圍就多達(dá)297*254=75438個(gè)IP，極大拓寬了攻擊的威脅范圍。

4. 典型攻擊案例

• 2025年春節(jié)期間，針對(duì)deepseek發(fā)起大規(guī)模DDoS攻擊
• 2025年2.28日-3.11日期間針對(duì)馬斯克的X平臺(tái)(twitter)發(fā)起了3波攻擊
• 2025年3.23-3.24 針對(duì)暴雪服務(wù)器發(fā)起多輪DDoS攻擊
• 2025年暑期針對(duì)騰訊游戲業(yè)務(wù)的批量DDoS攻擊

二、DDoS僵尸網(wǎng)絡(luò)背后的盈利模式

1. 黑產(chǎn)鏈條

攻擊者通過(guò)DDoS攻擊迫使目標(biāo)支付贖金以恢復(fù)服務(wù)，常見于金融、游戲、電商等行業(yè)。近期高發(fā)的“攻擊前預(yù)警勒索”模式中，威脅行為者會(huì)先發(fā)出勒索信，如未付款即發(fā)動(dòng)實(shí)際攻擊。

2. 盈利渠道

(1) 租賃服務(wù)。當(dāng)前主要的盈利模式，攻擊團(tuán)伙將控制的僵尸網(wǎng)絡(luò)（肉雞）作為攻擊資源出租給其他犯罪分子

(2) 敲詐勒索。直接向目標(biāo)企業(yè)或網(wǎng)站發(fā)起DDoS攻擊威脅，并以此索要“保護(hù)費(fèi)”以停止攻擊。其中游戲行業(yè)中ACCN組織便已是臭名昭著（弈劍行開服當(dāng)天因DDoS勒索被迫關(guān)服），自然騰訊自研游戲以及騰訊云上外部游戲商被勒索案例也是層出不窮。

(3) 售賣攻擊資源與攻擊服務(wù)。將僵尸網(wǎng)絡(luò)對(duì)應(yīng)攻擊能力封裝成攻擊頁(yè)端或者api形式，對(duì)外按照次數(shù)或者時(shí)間維度進(jìn)行售賣。

(4) 多元化利用僵尸網(wǎng)絡(luò)資源。例如廣告點(diǎn)擊欺詐、針對(duì)特定游戲的DDoS炸房功能，并以此獲取對(duì)應(yīng)收益

三、騰訊宙斯盾情報(bào)系統(tǒng)簡(jiǎn)介

1. 系統(tǒng)架構(gòu)介紹

我們的DDoS情報(bào)收集主要基于我們自研的蜜罐，同時(shí)也會(huì)對(duì)外部開源的情報(bào)渠道進(jìn)行監(jiān)控互補(bǔ)。整個(gè)自研蜜罐的架構(gòu)如圖：

技術(shù)上我們開發(fā)了一個(gè)高交互、高仿真、全端口開放并響應(yīng)的的蜜罐，并在全球多地部署捕獲DDoS攻擊者的樣本。為了能及時(shí)監(jiān)控僵尸網(wǎng)絡(luò)的最新動(dòng)向，我們將捕獲到的最新樣本置入養(yǎng)雞場(chǎng)中，通過(guò)對(duì)樣本與C2進(jìn)行通信的流量進(jìn)行實(shí)時(shí)分析，提取出黑產(chǎn)團(tuán)伙下發(fā)的攻擊指令信息。

2. AI助力樣本分析提效

在DDoS情報(bào)獲取的關(guān)鍵環(huán)節(jié)——僵尸網(wǎng)絡(luò)樣本分析過(guò)程中，我們結(jié)合了大模型能力進(jìn)行提效。利用大模型接口對(duì)樣本反編譯后代碼進(jìn)行推理分析，通過(guò)MCP方式調(diào)用調(diào)試器提高樣本動(dòng)態(tài)調(diào)試效率，并且通過(guò)大模型對(duì)樣本的家族特征進(jìn)行分析。得益于多種場(chǎng)景下的大模型助力，僵尸網(wǎng)絡(luò)樣本核心解密邏輯代碼逆向效率上提升80%，樣本家族分類也實(shí)現(xiàn)了90%自動(dòng)化，為DDoS情報(bào)的威脅發(fā)現(xiàn)、態(tài)勢(shì)感知和聯(lián)動(dòng)防護(hù)等應(yīng)用提供了有力支持。

四、DDoS安全防護(hù)建議

1. 避免淪為“肉雞”

強(qiáng)化設(shè)備級(jí)安全，杜絕僵尸節(jié)點(diǎn)植入。排查并更換默認(rèn)密碼與弱口令設(shè)備，關(guān)閉非必要服務(wù)（如Telnet、SSH公網(wǎng)暴露），及時(shí)修補(bǔ)已知漏洞。建議部署IoT設(shè)備準(zhǔn)入控制與微隔離策略，限制橫向移動(dòng)。

2. 自動(dòng)化災(zāi)備調(diào)度能力建設(shè)

雞蛋放在多個(gè)籃子里，業(yè)務(wù)在面對(duì)極端對(duì)抗場(chǎng)景或者平臺(tái)級(jí)攻擊場(chǎng)景下，能夠基于自動(dòng)化災(zāi)備調(diào)度能力降低業(yè)務(wù)影響的同時(shí)，提高攻擊方攻擊成本。

3. 定期DDoS藍(lán)軍演練主動(dòng)排雷

制定演練計(jì)劃以及應(yīng)急聯(lián)合處置流程。明確不同攻擊規(guī)模下、不同影響情況下的處置流程（災(zāi)備切換、異常機(jī)器屏蔽等）。通過(guò)定期開展紅藍(lán)對(duì)抗與恢復(fù)演練，提升實(shí)戰(zhàn)應(yīng)對(duì)能力。

五、結(jié)束語(yǔ)

僵尸網(wǎng)絡(luò)不死，DDoS對(duì)抗不休！每一次攻擊都在警示： “沒(méi)有安全的爆款，只有爆款的安全”。安平宙斯盾致力于守護(hù)每一局游戲暢玩、每一次用戶的絲滑體驗(yàn)！