對於許多剛接觸網路安全或基礎設施維運的工程師來說,聽到殭屍網路(Botnet)的第一反應通常是 DDoS 攻擊或發送垃圾郵件。然而,現代的威脅行為者,特別是具有國家背景的駭客組織,已經將殭屍網路演進為一種高度專業化的偵察工具。近期被揭露的 JDY 殭屍網路就是一個典型的例子。
JDY 是一個由大量受感染設備組成的隱蔽網路,其核心目的並非直接摧毀目標,而是進行大規模的網路偵察(Reconnaissance)。簡單來說,它就像是一個分佈在全球的偵察兵陣列,負責幫後方的攻擊者找出哪些伺服器有漏洞、哪些服務正處於暴露狀態,並將這些結構化數據回傳,為後續的精準攻擊鋪路。
為什麼選擇 SOHO 與 IoT 設備作為跳板
JDY 主要感染的是 SOHO(小型辦公室/居家辦公)路由器、防火牆以及各種 IoT(物聯網)設備。選擇這些設備有三個關鍵的戰術原因。
首先是規避地理圍欄(Geofencing)。許多企業會設定防火牆規則,禁止來自特定國家或高風險區域的 IP 訪問。但 JDY 的節點分佈在美國、巴西、歐洲與亞洲,當攻擊者透過美國的家用路由器發起掃描時,目標企業的防禦系統很難僅憑 IP 來源就將其判定為惡意流量。
其次是降低 IP 信譽風險。如果單一伺服器對全球數百萬個 IP 進行掃描,該 IP 會迅速被安全設備標記為惡意掃描器並被封鎖。但 JDY 將任務分散到 1,500 個以上的設備上,每個節點僅承擔少量掃描任務,使其行為看起來像一般的合法用戶流量,極難被偵測。
最後是設備的多樣性。早期 JDY 主要針對 Cisco 特定型號,但現在已擴展到 Ubiquiti、Hikvision、Linksys 等多個品牌。這意味著只要任何一個主流品牌出現邊緣設備漏洞,攻擊者就能迅速擴大其偵察陣列的規模。
JDY 的運作機制與攻擊鏈
JDY 的運作採取分層架構,將管理平面與執行平面徹底分離。
在管理層面,操作者利用 Tor 匿名網路來管理指令控制伺服器(C2 Server)與載荷伺服器(Payload Server)。這種設計確保了即使部分受感染設備被發現,追溯到幕後操縱者的難度依然極高。
在執行層面,攻擊鏈通常從利用邊緣設備的已知漏洞開始。一旦成功進入系統,攻擊者會執行一個 Shell 腳本(Dropper),該腳本會先檢查設備是否已感染,若未感染,則根據設備的 CPU 架構(如 Mips 或 Mips64)下載對應的惡意程式。為了隱匿行蹤,惡意程式在啟動後會立即從磁碟中刪除,僅在記憶體中運行。
最值得關注的是其靈活的掃描策略。JDY 會根據其在受感染設備上擁有的權限調整行為。如果它獲取了 Root 權限並能開啟 Raw Socket(原始套接字,允許直接構建 TCP/UDP 封包),它會啟動高速的 SYN 掃描來快速對目標進行探測。如果權限不足,則退而求其次,使用標準的 TCP 或 TLS 連線進行掃描。
從偵察到攻擊的工業化流程
JDY 的運作模式體現了一種工業化的偵察流程:漏洞公開 $\rightarrow$ 快速掃描全球設備 $\rightarrow$ 識別漏洞目標 $\rightarrow$ 回傳結構化數據 $\rightarrow$ 精準漏洞利用。
這種能力讓攻擊者能在漏洞公開後的短短數小時內,就精確掌握全球有多少目標可被攻擊。這不再是隨機的嘗試,而是一種有組織的資產發現與漏洞匹配管線。
對工程師的啟示
這起事件提醒我們,邊緣設備(Edge Devices)的安全性至關重要。許多工程師傾向於認為家用路由器或簡單的 IoT 設備不重要,但一旦這些設備被納入殭屍網路,它們就成了攻擊者繞過企業防禦線的完美掩護。
面對這種分佈式偵察,單純依賴 IP 黑名單或地理位置封鎖已不足夠。我們需要更關注流量的行為模式分析,以及對邊緣設備及時更新韌體,防止其成為駭客手中的偵察兵。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。