AIRASHI 僵尸网络：针对物联网设备的复杂网络威胁

AIRASHI 僵尸网络是一个典型案例，展示了威胁者如何利用物联网 (IoT) 设备中的漏洞来策划大规模攻击。该僵尸网络是 AISURU 变体的衍生品，主要用于执行分布式拒绝服务 (DDoS) 攻击。不过，其不断发展的功能表明其范围远超典型的网络入侵。

什么是 AIRASHI 僵尸网络？

AIRASHI 僵尸网络是一个由受感染设备组成的恶意网络，由网络犯罪分子部署，用于执行协同网络攻击。该僵尸网络利用已知漏洞（包括 Cambium Networks cnPilot 路由器中的零日漏洞）攻击物联网设备。自 2024 年 6 月以来，僵尸网络的运营商利用了这一漏洞以及 AVTECH IP 摄像头和深圳 TVT 设备等设备中的其他漏洞。虽然零日漏洞的具体细节尚未披露，但此措施旨在防止进一步利用。

该僵尸网络尤其以执行大容量 DDoS 攻击的能力而著称，报告称攻击能力为每秒 1 至 3 兆兆位。受影响设备的地理分布突出了巴西、俄罗斯、越南和印度尼西亚是受感染硬件的主要来源，而主要攻击目标包括中国、美国和波兰。

是什么激发了 AIRASHI？

从本质上讲，AIRASHI 僵尸网络是为了牟利和破坏而构建的。它的主要功能是能够进行 DDoS 攻击，这表明运营商可能会向那些希望用流量压垮网站、应用程序或基础设施的客户提供“攻击即服务”模式。

然而，最近的发展暗示了更广泛的野心。人们发现 AIRASHI 的变种集成了代理软件功能，可能允许受感染的设备充当其他类型恶意活动的中继。这种扩张表明僵尸网络运营商正在寻求多样化的盈利方式，将受感染的设备转变为不仅仅是 DDoS 攻击的工具。

AIRASHI 的技术复杂性

AIRASHI 僵尸网络主要有两种变体：

• AIRASHI-DDoS：此版本专门用于发动DDoS攻击，同时还支持任意命令执行和反向shell访问。
• AIRASHI-Proxy： AIRASHI-DDoS 的修改形式，此版本包含代理功能以实现更隐秘的操作。

AIRASHI 的设计特点是它依赖 HMAC-SHA256 和 CHACHA20 等高级加密协议，确保受感染设备与僵尸网络的命令和控制 (C2) 服务器之间的安全通信。这使得拦截或破坏僵尸网络的活动变得更加困难。

此外，僵尸网络的自适应技术包括频繁更新其网络协议，以及依赖 DNS 查询来隐藏 C2 服务器位置。这些功能增强了其弹性，使其成为网络安全团队的强大对手。

AIRASHI 行动的影响

AIRASHI 活动的影响远远超出了 DDoS 攻击的直接影响。通过利用物联网设备中的漏洞，僵尸网络威胁个人用户并破坏关键基础设施的安全。路由器、IP 摄像头和 DVR 等设备通常缺乏强大的安全措施，因此是特别有吸引力的目标。

这些漏洞允许攻击者控制这些设备，将它们变成庞大僵尸网络中的节点，甚至可以压垮最强大的系统。此外，代理功能的集成表明这些设备有可能促进更广泛的网络犯罪活动，例如数据盗窃或恶意负载的分发。

更广泛的背景：AIRASHI 和其他僵尸网络

AIRASHI 并非孤例，而是僵尸网络利用物联网设备扩大运营规模的更广泛趋势的一部分。例如，AIRASHI 的前身 AISURU 与游戏《黑神话：悟空》发布期间针对 Steam 的一次备受瞩目的 DDoS 攻击有关。从 AISURU 到 AIRASHI 的演变凸显了这些网络的适应性，它们可以暂停运营、集成新功能并以增强的功能恢复攻击。

其他僵尸网络（如 alphatronBot）中出现的分散式架构进一步表明攻击者如何创新以逃避检测并保持对其恶意操作的控制。通过在多个节点上分布命令功能，这些僵尸网络对传统清除措施的抵抗力更强。

降低 AIRASHI 风险

应对 AIRASHI 带来的威胁需要设备制造商、网络安全专家和最终用户的协作。制造商必须优先修补物联网设备中的漏洞，而用户则应定期更新固件并采用强大的身份验证措施。

从更广泛的角度来看，网络安全专家正在努力识别和消除支持 AIRASHI 的基础设施。加强对流量模式的监控和主动威胁情报可以在减轻僵尸网络的影响方面发挥关键作用。

最后的想法

AIRASHI 僵尸网络是一种复杂且自适应的威胁，它利用物联网漏洞进行大规模攻击。其不断发展的功能和战略创新凸显了现代网络威胁日益复杂化。通过了解 AIRASHI 背后的机制和动机，利益相关者可以采取主动措施来保护他们的系统并减轻这个强大对手带来的风险。与 AIRASHI 等僵尸网络的斗争仍在继续，但通过警惕和合作，可以在保护数字环境方面取得进展。