據(jù)美國司法部通報，活躍多年的高危DDoS僵尸網(wǎng)絡(luò)“RapperBot”（歷史頻繁攻擊騰訊游戲、DeepSeek、X平臺的幕后黑手）現(xiàn)已被成功取締。該僵尸網(wǎng)絡(luò)主謀、22歲的美國俄勒岡州男子Ethan Faulds已于2025年8月6日被搜查住所，其基礎(chǔ)設(shè)施控制權(quán)被執(zhí)法部門依法接管，目前他面臨協(xié)助及教唆計算機(jī)入侵罪的指控，最高可判處10年監(jiān)禁。這一消息與騰訊宙斯盾情報系統(tǒng)監(jiān)測到RapperBot僵尸網(wǎng)絡(luò)活躍度數(shù)據(jù)吻合。Ethan Faulds于6號被捕后，7日該僵尸網(wǎng)絡(luò)活躍度直接清零，其攻擊趨勢如下圖所示。

一、RapperBot僵尸網(wǎng)絡(luò)家族回顧

1. 家族簡介

RapperBot最早于2021年5月開始活動，主要通過暴力破解攻擊入侵?jǐn)?shù)字視頻錄像機(jī)（DVR）、Wi-Fi路由器等物聯(lián)網(wǎng)設(shè)備，組建僵尸網(wǎng)絡(luò)并發(fā)動大規(guī)模分布式拒絕服務(wù)（DDoS）攻擊。該惡意軟件技術(shù)繼承自fBot和Mirai家族，具備高度破壞性和隱蔽性。

該僵尸網(wǎng)絡(luò)規(guī)模一度達(dá)到6.5萬–9.5萬臺受控設(shè)備，發(fā)動超過37萬次DDoS攻擊，影響了包括中國、日本、美國、愛爾蘭和香港在內(nèi)的18,000名受害者，單次攻擊峰值流量據(jù)稱超過6 Tbps。除DDoS外，該網(wǎng)絡(luò)還被用于門羅幣加密貨幣劫持和勒索型DDoS攻擊（RDoS）。

2. 樣本分析

RapperBot新變種主要通過SSH爆破，漏洞利用等方式進(jìn)行傳播，入侵成功后在目標(biāo)設(shè)備植入僵尸木馬程序，隨后連接C2并根據(jù)C2下發(fā)的攻擊指令對目標(biāo)發(fā)起DDoS攻擊。以x86版本樣本garm5為例進(jìn)行分析，樣本基本信息如下：

bot運(yùn)行后會在終端輸出標(biāo)志性的字符串"Firmware update in progress"，并刪除自身。

接著利用STUN協(xié)議獲取肉雞公網(wǎng)IP地址和端口信息，解析OpenNIC域名iranistrash.libre獲取C2 IP，與C2建立連接。然后發(fā)送上線包，上線信息包括機(jī)器名稱，樣本運(yùn)行位置等。發(fā)送和接收數(shù)據(jù)均經(jīng)過加密處理，需要與數(shù)據(jù)種指定字節(jié)進(jìn)行異或來解密。收到上線請求后，服務(wù)器端會返回兩個數(shù)據(jù)包，第二個數(shù)據(jù)包種帶有攻擊指令。

對收到數(shù)據(jù)進(jìn)行異或運(yùn)算后的值對應(yīng)各攻擊參數(shù)示意：

• 其中第12字節(jié)0x05，代表命令類型為執(zhí)行DDoS攻擊；
• 第13,14字節(jié)0x0001代表攻擊類型為upd_flood;
• 第8,9字節(jié)0x004B代表攻擊時長 75秒；
• 第10,11,12,13個字節(jié)代表攻擊IP 5...37；
• 第14字節(jié)0x20代表子網(wǎng)掩碼32；
• 第15字節(jié)0x00代表選項類型是payload長度；
• 第16字節(jié)0x04代表通過4個字節(jié)的ASCII顯示payload長度；
• 隨后的4個字節(jié)0x31343030代表payload長度為1400(對于ASCII碼)。

僵尸樣本按照該指令發(fā)出的DDoS攻擊包為：

3. 攻擊手段

RapperBot的攻擊手法隨著技術(shù)迭代變得愈發(fā)刁鉆：

(1) “組合拳”介紹：指令不再只控制一種攻擊手法，部分指令由單一攻擊手法升級為多種手法混合攻擊。特別是TCP連接型攻擊明顯增多，攻擊時肉雞與目標(biāo)建立大量真實的TCP連接，然后循環(huán)利用每個連接發(fā)送數(shù)據(jù)包，防護(hù)難度飆升。

(2) “地圖炮”成主流：RapperBot按照網(wǎng)段進(jìn)行攻擊的指令上升明顯，通過設(shè)置攻擊時的子網(wǎng)掩碼為24/23/22/21/17/16/12等，將單條指令的攻擊范圍擴(kuò)大到整個網(wǎng)段。近期捕獲到RapperBot攻擊子網(wǎng)網(wǎng)段的DDoS手法有7種，其中udp_connect_flood手法進(jìn)行網(wǎng)段攻擊的指令有297條，按照子網(wǎng)掩碼24進(jìn)行計算，僅這個攻擊手法通過掃段可以覆蓋的攻擊范圍就多達(dá)297*254=75438個IP，極大拓寬了攻擊的威脅范圍。

4. 典型攻擊案例

• 2025年春節(jié)期間，針對deepseek發(fā)起大規(guī)模DDoS攻擊
• 2025年2.28日-3.11日期間針對馬斯克的X平臺(twitter)發(fā)起了3波攻擊
• 2025年3.23-3.24 針對暴雪服務(wù)器發(fā)起多輪DDoS攻擊
• 2025年暑期針對騰訊游戲業(yè)務(wù)的批量DDoS攻擊

二、DDoS僵尸網(wǎng)絡(luò)背后的盈利模式

1. 黑產(chǎn)鏈條

攻擊者通過DDoS攻擊迫使目標(biāo)支付贖金以恢復(fù)服務(wù)，常見于金融、游戲、電商等行業(yè)。近期高發(fā)的“攻擊前預(yù)警勒索”模式中，威脅行為者會先發(fā)出勒索信，如未付款即發(fā)動實際攻擊。

2. 盈利渠道

(1) 租賃服務(wù)。當(dāng)前主要的盈利模式，攻擊團(tuán)伙將控制的僵尸網(wǎng)絡(luò)（肉雞）作為攻擊資源出租給其他犯罪分子

(2) 敲詐勒索。直接向目標(biāo)企業(yè)或網(wǎng)站發(fā)起DDoS攻擊威脅，并以此索要“保護(hù)費(fèi)”以停止攻擊。其中游戲行業(yè)中ACCN組織便已是臭名昭著（弈劍行開服當(dāng)天因DDoS勒索被迫關(guān)服），自然騰訊自研游戲以及騰訊云上外部游戲商被勒索案例也是層出不窮。

(3) 售賣攻擊資源與攻擊服務(wù)。將僵尸網(wǎng)絡(luò)對應(yīng)攻擊能力封裝成攻擊頁端或者api形式，對外按照次數(shù)或者時間維度進(jìn)行售賣。

(4) 多元化利用僵尸網(wǎng)絡(luò)資源。例如廣告點(diǎn)擊欺詐、針對特定游戲的DDoS炸房功能，并以此獲取對應(yīng)收益

三、騰訊宙斯盾情報系統(tǒng)簡介

1. 系統(tǒng)架構(gòu)介紹

我們的DDoS情報收集主要基于我們自研的蜜罐，同時也會對外部開源的情報渠道進(jìn)行監(jiān)控互補(bǔ)。整個自研蜜罐的架構(gòu)如圖：

技術(shù)上我們開發(fā)了一個高交互、高仿真、全端口開放并響應(yīng)的的蜜罐，并在全球多地部署捕獲DDoS攻擊者的樣本。為了能及時監(jiān)控僵尸網(wǎng)絡(luò)的最新動向，我們將捕獲到的最新樣本置入養(yǎng)雞場中，通過對樣本與C2進(jìn)行通信的流量進(jìn)行實時分析，提取出黑產(chǎn)團(tuán)伙下發(fā)的攻擊指令信息。

2. AI助力樣本分析提效

在DDoS情報獲取的關(guān)鍵環(huán)節(jié)——僵尸網(wǎng)絡(luò)樣本分析過程中，我們結(jié)合了大模型能力進(jìn)行提效。利用大模型接口對樣本反編譯后代碼進(jìn)行推理分析，通過MCP方式調(diào)用調(diào)試器提高樣本動態(tài)調(diào)試效率，并且通過大模型對樣本的家族特征進(jìn)行分析。得益于多種場景下的大模型助力，僵尸網(wǎng)絡(luò)樣本核心解密邏輯代碼逆向效率上提升80%，樣本家族分類也實現(xiàn)了90%自動化，為DDoS情報的威脅發(fā)現(xiàn)、態(tài)勢感知和聯(lián)動防護(hù)等應(yīng)用提供了有力支持。

四、DDoS安全防護(hù)建議

1. 避免淪為“肉雞”

強(qiáng)化設(shè)備級安全，杜絕僵尸節(jié)點(diǎn)植入。排查并更換默認(rèn)密碼與弱口令設(shè)備，關(guān)閉非必要服務(wù)（如Telnet、SSH公網(wǎng)暴露），及時修補(bǔ)已知漏洞。建議部署IoT設(shè)備準(zhǔn)入控制與微隔離策略，限制橫向移動。

2. 自動化災(zāi)備調(diào)度能力建設(shè)

雞蛋放在多個籃子里，業(yè)務(wù)在面對極端對抗場景或者平臺級攻擊場景下，能夠基于自動化災(zāi)備調(diào)度能力降低業(yè)務(wù)影響的同時，提高攻擊方攻擊成本。

3. 定期DDoS藍(lán)軍演練主動排雷

制定演練計劃以及應(yīng)急聯(lián)合處置流程。明確不同攻擊規(guī)模下、不同影響情況下的處置流程（災(zāi)備切換、異常機(jī)器屏蔽等）。通過定期開展紅藍(lán)對抗與恢復(fù)演練，提升實戰(zhàn)應(yīng)對能力。

五、結(jié)束語

僵尸網(wǎng)絡(luò)不死，DDoS對抗不休！每一次攻擊都在警示： “沒有安全的爆款，只有爆款的安全”。安平宙斯盾致力于守護(hù)每一局游戲暢玩、每一次用戶的絲滑體驗！