AISURU是近年来观察到的功能最强大、扩张最迅速的僵尸网络之一。它感染了大约30万台路由器、DVR、网关和物联网设备,是导致2025年全球DDoS攻击峰值达到前所未有的29.7 Tbps的核心力量。AISURU的技术复杂性、激进的传播手段以及持续增强的能力,突显了存在漏洞的消费级网络设备和物联网生态系统所带来的日益增长的安全风险。
执行摘要
自2025年初以来,AISURU已发动了多起破纪录的DDoS攻击,包括2025年9月记录的29.7 Tbps事件。该僵尸网络最早于2024年左右出现,现已演变为一个高度先进的网络犯罪平台,结合了大规模供应链攻击与对N-day和0-day漏洞的自动化利用。其架构采用了自定义加密、多层命令与控制混淆、进程伪装以及反分析特性,旨在确保持久性和弹性。
AISURU操作者利用了多家厂商的广泛漏洞,使得僵尸网络能够高速在全球传播。设备一旦被感染,便会加入一个经过加密和混淆处理的C2基础设施,该设施支持高流量DDoS攻击、住宅代理服务、反向Shell、远程命令执行以及持续扫描更多目标。从独立信源和XLab遥测数据收集到的情报证实,AISURU组织严密、积极维护,并在稳步扩展其攻击能力。其规模、适应性和操作成熟度,使得AISURU成为当前全球范围内最重大的基于物联网的威胁之一。
攻击方法
AISURU采用多阶段、多向量的攻击链,旨在实现快速传播、隐蔽操作和压倒性的攻击能力。
-
初始入侵 AISURU通过以下方式传播:
- 被入侵的路由器更新服务器
- 自动化利用路由器、DVR、网关和物联网设备上的N-day和0-day漏洞
- 通过注入的升级URL分发恶意Shell脚本
- 高频扫描和利用例程
-
持久化与反分析 恶意软件样本实现了:
- 虚拟机和调试工具检测(如 tcpdump, Wireshark, QEMU, VMware 等)
- 通过修改
/proc/self/oom_score_adj来规避OOM-killer - 进程伪装(使用如 telnetd, udhcpc, ntpclient 等名称)
- 将文件重命名为 libcow.so 以规避竞争僵尸网络使用的恶意软件查杀工具
- 动态映射
.so库文件以显得合法
-
命令与控制通信 AISURU使用:
- 多层C2域名生成(子域名分割 + 混淆的TXT记录)
- 使用自定义S盒和密钥流变异的改进RC4算法
- 基于XOR的DNS TXT记录解码以获取C2 IP地址
- ChaCha20(早期版本)用于初始密钥交换
消息类型包括:
- DDoS攻击命令
- 代理服务启用
- 反向Shell
- Telnet扫描报告
- 节点速度基准测试
-
攻击执行 该僵尸网络支持多种DDoS攻击向量,并持续执行:
- 向C2发送心跳
- 随机流量测试
- 基于延迟的服务器选择以优化吞吐量
带宽更高或延迟更低的AISURU节点会被标记用于更耗费资源的操作,例如代理服务或高流量DDoS爆发攻击。
被利用的漏洞
| 漏洞 | 受影响的厂商 | 受影响的设备/产品 | CVSS/EPSS 分数 |
|---|---|---|---|
| AMTK-CAMERA-CMD-RCE | A-MTK | 摄像头 | N/A |
| CVE-2013-1599 | D-Link | DCS-3411(及其他D-Link摄像头)固件 | 9.8/92.11% |
| CVE-2013-3307 | Linksys | Linksys X3000(E1000/E1200/E3200系列) | 8.3/4.58% |
| CVE-2013-5948 | T-Mobile | TM-AC1900路由器 | 8.5/38.49% |
| CVE-2017-5259 | Cambium Networks | cnPilot R190V(固件) | 8.8/59.54% |
| CVE-2022-44149 | Nexxt | Nexxt路由器 | 8.8/81.67% |
| CVE-2023-28771 | Zyxel | Zyxel ATP、USG FLEX、VPN、ZyWALL/USG防火墙/VPN设备 | 9.8/94.35% |
| CVE-2023-50381 | Realtek | rtl819x Jungle SDK v3.4.11(嵌入在设备中) | 7.2/0.46% |
| LILIN-DVR-RCE | LILIN | DVR设备 | N/A |
| CVE-2022-35733 | UNIMO | DVR UDR-JA1004 / JA1008 / JA101(固件) | 9.8/1.68% |
| CVE-2024-3721 | TBK | TBK DVR(例如 DVR-4104 / DVR-4216) | 6.3/85.42% |
| CNPILOT-0DAY-RCE | Cambium Networks | cnPilot设备(未指明固件) | N/A |
| SANHUI-GATEWAY-DEBUG-PHP-RCE | SANHUI | 网关管理软件 | N/A |
| TVT-OEM-API-RCE | Shenzhen TVT | DVR(OEM/API)设备 | N/A |
僵尸网络能力
- DDoS操作:支持多向量高流量攻击,观察到的峰值达到5.8 Tbps、11.5 Tbps和29.7 Tbps,利用约30万个节点进行极限流量爆发。
- 代理与变现层:支持住宅代理服务,基于速度的节点画像,并使用分布在美国、英国和欧盟的专用代理C2中继服务器。
- 高级密码学与混淆:使用自定义S盒的改进RC4、修改过的xxhash算法、用于隐藏C2的XOR解码TXT记录、早期版本中的ChaCha20,以及加密的置换字符串。
- 反竞争技术:检测并禁用竞争对手的恶意软件(例如RapperBot),使用共享库映射来规避"格杀勿论"工具,并将进程伪装成系统工具。
- 远程命令执行:支持反向Shell、文件下载与执行、代理中继设置以及自动化的telnet扫描和报告。
可视化攻击流程 漏洞扫描(路由器、DVR、物联网) -> 利用CVE及0-day漏洞 -> 初始感染(t.sh,固件劫持) -> 反分析,虚拟机逃逸,OOM绕过 -> 持久化(进程伪装,SO文件映射) -> C2发现(TXT记录 + XOR解码) -> 加密C2通信(改进的RC4 / xxhash) -> 节点画像(速度测试,延迟,负载) -> DDoS命令(最高29.7 Tbps)/代理模式(住宅IP)/反向Shell访问/Telnet扫描报告
入侵指标
恶意域名
coerece.ilovegaysex[.]suapproach.ilovegaysex[.]suministry.ilovegaysex[.]sulane.ilovegaysex[.]suu.ilovegaysex[.]suupdatetoto[.]twa.6mv1eyr328y6due83u3js6whtzuxfyhw[.]ru
代理中继C2 IP地址
- 194.46.59[.]169 (英国)
- 104.171.170[.]241 (美国)
- 104.171.170[.]253 (美国)
- 107.173.196[.]189 (美国)
- 64.188.68[.]193 (美国)
- 78.108.178[.]100 (捷克共和国)
已知恶意软件哈希值
- 09894c3414b42addbf12527b0842ee7011e70cfd
- 51d9a914b8d35bb26d37ff406a712f41d2075bc6
- 616a3bef8b0be85a3c2bc01bbb5fb4a5f98bf707
- ccf40dfe7ae44d5e6922a22beed710f9a1812725
- 26e9e38ec51d5a31a892e57908cb9727ab60cf88
- 08e9620a1b36678fe8406d1a231a436a752f5a5e
- 053a0abe0600d16a91b822eb538987bca3f3ab55