功夫:2025-09-16
2025年9月,,,,,,,,一次攻击流量峰值高达 11.5Tbps 的创纪录DDoS攻击震荡全球,,,,,,,,远超以往所有已知案例。。。。。。ca88登陆平台XLab监测发现,,,,,,,,这次攻击与此前两次破纪录的攻击均有一个名为 AISURU 的僵尸网络参加。。。。。。该网络最早于2024年8月由XLab初次披露,,,,,,,,其时已具备 1至3Tbps 的攻击能力,,,,,,,,足以瘫痪大无数互联网服务。。。。。。从前一年,,,,,,,,XLab持续追踪其演变,,,,,,,,发现AISURU通过多种入侵在线设备、入侵路由器升级服务器等多种方式不休扩张,,,,,,,,已成长为近年来最具粉碎力的僵尸网络之一。。。。。。

所谓僵尸网络,,,,,,,,是指大量被黑客节造的设备组成的“网络军团”,,,,,,,,能够在幕后统一提议攻击。。。。。。AISURU最早于2024年8月被ca88登陆平台XLab初次发现,,,,,,,,其时它已具备壮大的攻击能力,,,,,,,,宣称节造了超过3万个设备节点,,,,,,,,足以瘫痪大无数互联网服务。。。。。。而在从前几个月里,,,,,,,,它通过入侵“totolink”路由器的升级服务器,,,,,,,,将恶意法式通过升级方式偷偷植入用户的totolink设备,,,,,,,,习染规模迅速扩大,,,,,,,,节点数量一度突破30万。。。。。。
ca88登陆平台XLab在分析AISURU的最新样本时发现,,,,,,,,它能自动鉴别是否被安全人员监测,,,,,,,,一旦觉察就自动退出运行,,,,,,,,预防被查。。。。。。它还会假装成正常法式,,,,,,,,甚至通过杀死特殊过程、批改设备设置等方式预防其他黑客与其“打劫”设备节造权。。。。。。
更令人忧郁的是,,,,,,,,AISURU的用处在产生变动。。。。。。除了发起DDoS攻击表,,,,,,,,它还起头测试设备的网络速度,,,,,,,,遴选衔接质量好的设备用于构建网络“代理服务”——这意味着它可能被用于暗藏真实身份、绕过网络限度,,,,,,,,甚至参加更复杂的网络犯罪活动。。。。。。
ca88登陆平台XLab在本次事务中不仅成功还原了AISURU的运作机造,,,,,,,,还通过威胁感知系统追踪其指令起源,,,,,,,,确认其在多起沉大攻击事务中的主题角色。。。。。。面对这一日益复杂的网络威胁,,,,,,,,ca88登陆平台呼吁业界加强合作,,,,,,,,推动信息共享与结合防御,,,,,,,,共同守护数字世界的安全。。。。。。

以下是汇报全文:
概述
2025年以来,,,,,,,,全球DDoS攻击的带宽峰值不休刷新汗青纪录,,,,,,,,从岁首的3.12 Tbps一路飙升至近日惊人的11.5 Tbps。。。。。。在多起拥有高影响力或突破流量纪录的攻击事务中,,,,,,,,我们均监测到一个名为AISURU的僵尸网络在幕后频仍活动。。。。。。
Cloudflare汇报11.5T攻击事务:

XLAB攻击事务监控数据:

AISURU僵尸网络最初于2024年8月由XLab初次披露,,,,,,,,曾参加针对《黑神话:悟空》刊行平台的DDoS攻击。。。。。。自今年3月以来,,,,,,,,XLab大网威胁监测平台持续捕获到该僵尸网络的新样本。。。。。。多方信息显示,,,,,,,,其背后团伙在4月涉嫌入侵某品牌路由器固件升级服务器,,,,,,,,通过下发恶意剧本进一步扩大僵尸网络规模,,,,,,,,当前节点数量据称已达30万。。。。。。
更值得警惕的是,,,,,,,,部门AISURU样本中嵌入的“彩蛋”信息已显著超出纯正的攻击意图,,,,,,,,转而试图传递特定意识状态内容。。。。。。唬;;;;谡庖谎细裉疲,,,,,,,我们决定撰写本汇报,,,,,,,,向安全社区公开有关钻研成就,,,,,,,,呼吁各方携手应对,,,,,,,,共同进攻这一愈发疯狂的网络犯罪活动。。。。。。
匿名新闻源 & XLab视野
由于XLab持久深耕DDoS攻击这一领域,,,,,,,,并持续颁布靠得住且独具深度的分析汇报,,,,,,,,这为我们不仅在防御者群体钟注也在攻击者圈内堆集了优良的名誉。。。。。。近日,,,,,,,,针对AISURU/ AIRASHI这一僵尸网络,,,,,,,,有知情的匿名新闻源自动向我们提供了有关谍报,,,,,,,,但愿能像此前进攻Fodcha僵尸网络一样,,,,,,,,彻底瓦解AISURU。。。。。。这一线索让我们终于有机遇走近AISURU背后的团伙,,,,,,,,揭开僵尸网络的运作黑幕。。。。。。

匿名新闻源
据匿名新闻源称:AISURU团伙有3个关键人物,,,,,,,,代号别离为Snow, Tom, Forky。。。。。。2022年,,,,,,,,Forky意识了其时尚在微末的Snow和Tom,,,,,,,,经过catddos僵尸网络等几次愉快的合作之后,,,,,,,,三人一拍即合,,,,,,,,决定成立此刻的AISURU团队。。。。。。
Snow:掌管僵尸网络的开发
Tom:掌管缝隙,,,,,,,,蕴含0day发现,,,,,,,,Nday整合
Forky:掌管僵尸网络的销售
2025年4月,,,,,,,,Tom成功入侵totolink的一台路由升级服务器,,,,,,,,将固件升级的url设定为下载执行恶意剧本。。。。。。这意味着每台执行升级操作的totolink路由器,,,,,,,,都有可能习染AISURU僵尸网络。。。。。。

这次入侵让AISURU僵尸网络的规模迅速攀升,,,,,,,,在极短的功夫内突破10万级。。。。。。如此重大的规模,,,,,,,,让他们也有点措手不及,,,,,,,,不得不就义睡觉功夫,,,,,,,,加班加点在数个C2 IP上配置战术,,,,,,,,共同GRE TUNNEL进行分流。。。。。。

AISURU团伙成员行事张扬,,,,,,,,常以“好玩”为由对ISP发起攻击,,,,,,,,粉碎性极度强。。。。。。这使得他们在DDoS圈内口碑极度差,,,,,,,,常被别人戏称为“心灵不正常”,,,,,,,,能够说是树敌无数。。。。。。

4月底,,,,,,,,DDoS圈内人士决定给AISURU团伙一点色彩看看,,,,,,,,起头在社交媒体各类爆料。。。。。。先是在一次Cloudlare暗示缓解创纪录的5.8Tbps的推文下,,,,,,,,回复路:“这是来自340k totolink路由的攻击!”;;;;;;几天釉熵光更沉量级的证据:僵尸网络的后盾截图。。。。。。从统计数据来看其时bot在线总数超过30万,,,,,,,,其中3万来自中国。。。。。。他一壁高呼“welcome to totolink botnet”,,,,,,,,一壁@totolink以及国际刑警,,,,,,,,但愿引起公家,,,,,,,,法律机构把稳,,,,,,,,以实现对AISURU的进攻意图。。。。。。

目前totolink升级服务器的缝隙已被建补,,,,,,,,AIRUSU团伙也滑稽的暗示,,,,,,,,但其实AIRUSU僵尸网络的规模并未被影响,,,,,,,,依然维持在30万左右。。。。。。
RIP TOTOLINK 2025-2025

在2025年9月创纪录的12.1 Tbps之前,,,,,,,,Aisuru做过数次攻击测试,,,,,,,,蕴含对驰名记者Brian Krebs幼我网站的攻击,,,,,,,,攻击流量均创造了其时的“世界纪录”。。。。。。

有意思的是“Ethan J Foltz”是Rapper Botnet的作者的真名,,,,,,,,他于2025年8月6日被捕;;;;;;而上图钟装Ethan J Foltz」剽个ID背后之人其实是Snow,,,,,,,,他使用这种方式赤裸裸的嘲讽Rapperbot,,,,,,,,这或许是AISURU团伙在DDoS圈人人喊打的原因之一。。。。。。
XLab视野
对于匿名新闻源提供的故事,,,,,,,,读者注定会有类似的设法:我们或许无法验证这些人物,,,,,,,,但依附于XLab大网威胁感知系统壮大的监测能力,,,,,,,,我们对均有优良的视野。。。。。。以该团伙的数次关键活动为线索,,,,,,,,通过数据交叉比对,,,,,,,,我们以为匿名新闻源提供的谍报拥有较高的可信度。。。。。。
“这简直是很有趣的瓜,,,,,,,,可你这瓜保熟不????????”
样本,,,,,,,,C2,,,,,,,,攻击事务
1:2025年4月向totolink升级服务器植入的恶意剧本t.sh

从26日起,,,,,,,,剧本起头使用一个域名updatetoto.tw,,,,,,,,能够通过域名排名系统Tranco来衡量它的活跃法式。。。。。。

以4月29日到5月30日的排名为例,,,,,,,,updatetoto.tw这个于4月25日才创建的Downloader域名在短短的一个月内就在全球域名中排到了672588,,,,,,,,证明AISURU团伙这次的习染活动极度成功。。。。。。

2:2025年4月开启GRE TUNNEL的C2 IP
Aisuru团伙在151.242.2.[22 - 25]这4个IP 配置GRE Tunnel,,,,,,,,它们角色其实是C2服务器。。。。。。

而我们在4月份捕获的C2 的TXT纪录解密后涵盖了这4个IP,,,,,,,,注明这个C2从属于Aisuru团伙。。。。。。
approach.ilovegaysex[.]su

3:2025年5月对KrebsOnSecurity的攻击
对恶意域名 ilovegaysex 所关联的 C2 服务器进行指令跟踪,,,,,,,,今年5月监测到其针对网络安全调查记者 Brian Krebs 的幼我博客提议了网络攻击。。。。。。

4:2025年9月对185.211.78.117的攻击
对恶意域名 ilovegaysex 所关联的 C2 服务器进行指令跟踪,,,,,,,,今年9月监测到对185.211.78.117提议了网络攻击,,,,,,,,流量是惊人的11.5 Tbps。。。。。。
样本传布
依附于XLab大网威胁感知系统的能力,,,,,,,,我们观察到Aisuru样本最近重要通过NDAY缝隙传布,,,,,,,,同时具备0DAY缝隙的利用能力。。。。。。去年6月起头使用的美国Cambium Networks公司的cnPilot路由器0DAY依然在利用。。。。。。Aisuru传布样本使用的部门缝隙如下:

攻击统计
Aisuru僵尸网络的攻击指标遍布全球,,,,,,,,散布在各个行业,,,,,,,,重要攻击指标散布在中国、美国、德国,,,,,,,,英国,,,,,,,,中国香港等地域。。。。。。并无显著的强针对性。。。。。。逐日攻击指标几百个左右。。。。。。
DDoS攻击趋向:

受害者地域散布:

技术分析
从2025年3月14日起,,,,,,,,AIRURU团伙起头投递新的僵尸网络样本,,,,,,,,和目前把握的源码进行比对,,,,,,,,我们发现更新重要集中在加密方式上,,,,,,,,截止目前发现的更新能够分成俩大版本。。。。。。

版本一的更新蕴含:使用ecdh-P256进行密钥互换,,,,,,,,之后天生共享的chacha20密钥对网络通讯新闻加密;;;;;;DNS-TXT纪录不再使用base64+chacha20解密,,,,,,,,使用base64+xor解密;;;;;;新的攻击指令、新闻体式
版本二的更新蕴含:精简网络和谈,,,,,,,,删除ecdh-P256密钥互换过程,,,,,,,,;;;;;;魔改xxhash算法用于验证新闻齐全性;;;;;;魔改RC4算法用于解密样本字符串和通讯key;;;;;;
第一个版本只持续了半个月左右功夫,,,,,,,,后续重要使用第二个版本样本。。。。。。下文以版本二的样本为重要分析对象,,,,,,,,着沉介绍Aisuru的匹敌手法,,,,,,,,加密算法以及网络和谈。。。。。。
环境检测
样本启动后会检测当前过程号令行中是否蕴含以下字符串:
tcpdump
wireshark
tshark
dumpcap
查抄内核的硬件标识信息是否蕴含以下字符串:
VMware
VirtualBox
KVM
Microsoft
QEMU
若是查抄到上述情况,,,,,,,,则法式退出,,,,,,,,在肯定水平上滋扰样本的动态分析
Killer匹敌
Linux 内核有一个 OOM Killer(Out-Of-Memory Killer),,,,,,,,当系统内存不实时,,,,,,,,它会遴选一些过程强造实现来开释内存。。。。。。该样本通过在写入来禁用该职能,,,,,,,,以获取到更多的执行功夫。。。。。。
/proc/self/oom_score_adj
-1000
正所谓的同业是冤家,,,,,,,,每个Botnet Operator都想独占设备,,,,,,,,对于设备的抢夺极度强烈,,,,,,,,一个设备今天属于A,,,,,,,,明天又被B入侵的情况层出不穷。。。。。。好比Aisuru和Rapperbot的在nvms9000设备的竞争上就极度白热化,,,,,,,,当Aisuru做为成功方收受了设备后,,,,,,,,都要不由得的跳出来嘲讽Rapperbot,,,,,,,,贴脸开大。。。。。。

大部门僵尸网络样本为了多平台兼容性,,,,,,,,使用静态链接编译样本,,,,,,,,导致它们不使用任何共享库;;;;;;此表还会在运行后删除自身文件。。。。。。但这也让不少僵尸网络将上述作为特点进行,,,,,,,,以战胜自己的竞争敌手。。。。。。
kill
为了匹敌上述killer,,,,,,,,样本启动后会在中搜索以结尾的共享库文件并映射到当前过程中;;;;;;不删除文件并将文件名代替为;;;;;;过程名同样是被查抄的沉点对象,,,,,,,,样本将过程名代替为以下常见的过程名之一:
/lib/
.so
libcow.so
telnetd
udhcpc
inetd
ntpclient
watchdog
klogd
upnpd
dhclient
魔改的RC4加密算法
和之前的AIRASHI版本相比,,,,,,,,新样本解密字符串时也不再使用尺度的RC4算法,,,,,,,,校验新闻时不再使用尺度的HMAC-SHA256算法。。。。。。
新样本使用了魔改的RC4算法,,,,,,,,密钥为,,,,,,,,该密钥在多个版本中都没有变动,,,,,,,,或许是向Fodcha僵尸网络致敬。。。。。。算法保留了RC4的256字节的S盒,,,,,,,,在初始化和天生密钥流时增长新的扰动,,,,,,,,等效的Golang实现如下:
PJbiNbbeasddDfsc
func AIRASHI_RC4(data []byte) []byte {
key := make([]uint32, 4)
keyBytes := []byte("PJbiNbbeasddDfsc")
for i := 0; i < 4; i++ {
key[i] = binary.BigEndian.Uint32(keyBytes[i*4 : (i+1)*4])
S := make([]byte, 256)
i := 13
for j := 0; j < 256; j++ {
S[j] = byte(i & 0xff)
i -= 89
j := 0
for i := 0; i < 256; i++ {
j = (j + int(S[i]) + int(key[i%4]>>(i%32))) % 256
S[i], S[j] = S[j], S[i]
seed := uint32(0xE0A4CBD6)
for i := 0; i < 5; i++ {
for k := 0; k < 256; k++ {
seed = 0x41C64E6D*seed + 12345
t := (seed * uint32(S[k])) >> 24
t1 := (seed ^ key[(i+k)%4] ^ uint32(S[k])) & 0xff
S[k] = byte(t1)
j = (int(t1) + j + int(t)) & 0xff
S[k] = S[j]
S[j] = byte(t1)
i, j, k := 0, 0, 0
m := uint32(1)
result := make([]byte, 0, len(data))
for _, byteVal := range data {
i = (i + 1) % 256
j = (j + int(S[i])) % 256
k = (k + int(S[(i+j)%256])) % 256
S[i], S[j] = S[j], S[i]
m = rol32(m, 1)
if (m & 1) != 0 {
m ^= 0xD800A4
t := (S[(k+j)%256] + S[(j+i)%256]) & 0xff
t1 := ((byte(m) ^ S[t]) >> 4) ^ rol8(byte(m)^S[t], 3)&0xff
result = append(result, byteVal^t1)
return result
以下图的密文为例:

使用AIRASHI_RC4解密后,,,,,,,,我们得到的明文是一条充斥搬弄意味的信息。。。。。。对此,,,,,,,,我们只想回应一句:“左右莫非是皮痒了????????”
tHiS mOnTh At qiAnXin shitlab a NeW aisurU vErSiOn hIt oUr bOtMoN sYsTeM dOiNg tHe CHAaCha sLiDe
翻译为中文为:本月在ca88登陆平台的shitlab,,,,,,,,一个新的Aisuru版本呈此刻了ca88登陆平台BotMon系统,,,,,,,,在跳ChaCha舞。。。。。。
当然,,,,,,,,AISURU在样本中暗藏的信息远不止这一条。。。。。。感兴致的读者能够自行对样本(MD5: 053a0abe0600d16a91b822eb538987bca3f3ab55)进行解密分析。。。。。。一旦成功解密,,,,,,,,你就会领略,,,,,,,,我们为何下定刻意要坚定进攻这一网络攻击团伙。。。。。。
C2获取
样本持续维持之前的C2解密步骤,,,,,,,,通过度割从字符串表中解密的C2字符串,,,,,,,,得到多个子域名和主域名,,,,,,,,再通过度割多个子域名,,,,,,,,示例如下:
decrypted str: sub1,sub2,sub3|domain.tld
c2_1: sub1.domain.tld
c2_2: sub2.domain.tld
c2_3: sub3.domain.tld
在解析域名时,,,,,,,,仍使用加密的TXT纪录,,,,,,,,在之前的blog的样本中使用base64+ChaCha20进行解密,,,,,,,,新版本只是弃用了ChaCha20,,,,,,,,改用异或获取IP。。。。。。对C2解密感兴致的读者,,,,,,,,可参阅Appendix章节的CyberChef,,,,,,,,只必要将C2的TXT纪录复造到INPUT即可。。。。。。

网速测试
开发者在最新的几个版本中,,,,,,,,参与了网络上传速度测试的职能,,,,,,,,该职能使用了的公共服务
speedtest
GET /speedtest-servers-static.php 获取测试服务器
GET /speedtest/latency.txt 获取延长最低的服务器
向延长最低的服务器POST随机数据,,,,,,,,功夫为10s(部门样本为100ms)
但该职能并不会对法式运行和C2衔接方面产生影响,,,,,,,,只是在得到了局后向C2汇报。。。。。。我们以为测速这一新增长职能的的主张是为后续的代理指令服务,,,,,,,,很显然C2会向一些网络优良的节点下发代理指令,,,,,,,,让其成为住宅代理中的一环。。。。。。
网络和谈
和谈方面和之前版本相比,,,,,,,,整体流程变动不大,,,,,,,,仍保留获取共享的ChaCha20密码、确认机造,,,,,,,,只是在新闻体式和指令、加密算法方面做批改。。。。。。
新的新闻由三部门组成:新闻头、随机字节和新闻体,,,,,,,,如图所示是解密后的上线包:

新闻头长度固定为8字节,,,,,,,,由4个字段组成:
msgType(1byte) + randSize(1byte) + bodySize(2byte) + bodyHash(4byte)
上线包新增字段:
struct login{
uint32 stun_ip;
uint32 botid_len;
char botid[botid_len];
uint32 version;
uint32 nodename_len;
char nodename[nodename_len];
uint32 cwd_len;
char cwd[cwd_len];
uint32 kernel_ver_len;
char kernel_ver[kernel_ver_len];
uint16 reserve1;
uint8 reserve2;
bool support_udp;
新版本支持的指令及对应的职能描述如下:
能够看出新样本不仅支持DDoS攻击,,,,,,,,还支持Proxy。。。。。。随着全球法律机构对网络犯罪的进攻力度不休加大,,,,,,,,网络犯罪集团对匿名化服务的需要日益增长。。。。。。正所谓有需要的处所,,,,,,,,就有利益。。。。。。僵尸网络节造的节点天然适合构建住宅代理,,,,,,,,从ca88登陆平台目前堆集的案例来看,,,,,,,,这似乎是近年来DDoS圈的一个潮水,,,,,,,,把业务从单一的攻击,,,,,,,,扩大到网络代理。。。。。。
我们在中实现了Aisuru网络和谈,,,,,,,,和预期一样,,,,,,,,不仅接管到通例的DDoS攻击指令,,,,,,,,还接到和Proxy有关的指令。。。。。。
XLab指令跟踪系统

很显然,,,,,,,,Aisuru 已不再满足于 DDoS 攻击这一单一业务模式,,,,,,,,起头涉足代理服务领域,,,,,,,,试图充分利用其手中重大的节点资源,,,,,,,,以钻营更多经济利益。。。。。。

IoC
C2
coerece[.ilovegaysex[.su
approach[.ilovegaysex[.su
ministry[.ilovegaysex[.su
lane[.ilovegaysex[.su
a.6mv1eyr328y6due83u3js6whtzuxfyhw[.ru
Report/Download Server
u[.ilovegaysex[.su
updatetoto[.tw
Proxy Relay C2
194.46.59[.169 United Kingdom|England|Exeter AS206509|KCOM GROUP LIMITED
104.171.170[.241 United States|Virginia|Ashburn AS7922|Comcast Cable Communications, LLC
104.171.170[.253 United States|Virginia|Ashburn AS7922|Comcast Cable Communications, LLC
107.173.196[.189 United States|New York|Buffalo AS36352|ColoCrossing
64.188.68[.193 United States|District of Columbia|Washington AS46339|CSDVRS, LLC
78.108.178[.100 Czech Republic|Praha, Hlavni mesto|Prague AS62160|Yes Networks Unlimited Ltd
Sample
09894c3414b42addbf12527b0842ee7011e70cfd
51d9a914b8d35bb26d37ff406a712f41d2075bc6
616a3bef8b0be85a3c2bc01bbb5fb4a5f98bf707
ccf40dfe7ae44d5e6922a22beed710f9a1812725
26e9e38ec51d5a31a892e57908cb9727ab60cf88
08e9620a1b36678fe8406d1a231a436a752f5a5e
053a0abe0600d16a91b822eb538987bca3f3ab55