AIRASHI 僵尸网络

Cambium Networks cnPilot 路由器中的零日漏洞已成为网络犯罪分子部署 AISURU 僵尸网络变种（称为 AIRASHI）的最新工具。该活动自 2024 年 6 月开始活跃，利用该漏洞策划强大的分布式拒绝服务 (DDoS) 攻击。安全研究人员在调查期间隐瞒了有关该漏洞的具体信息，以限制其滥用。

漏洞利用史

AIRASHI 僵尸网络并不局限于单一的攻击媒介。它利用一系列漏洞，包括 CVE-2013-3307、CVE-2016-20016、CVE-2017-5259、CVE-2018-14558、CVE-2020-25499、CVE-2020-8515、CVE-2022-3573、CVE-2022-40005、CVE-2022-44149、CVE-2023-287 以及在 AVTECH IP 摄像机、LILIN DVR 和深圳 TVT 设备中发现的其他漏洞。通过利用这些广泛的漏洞，AIRASHI 继续扩大其影响范围和复杂性。

DDoS 攻击能力：深入研究

AIRASHI 背后的运营者并不羞于透露他们的活动，他们在 Telegram 上发布了僵尸网络 DDoS 能力的测试结果。历史数据显示，其攻击能力稳定在 1-3 Tbps 左右。从地理位置上看，大多数受感染设备位于巴西、俄罗斯、越南和印度尼西亚。然而，目标集中在中国、美国、波兰和俄罗斯等地区，僵尸网络的有害操作在这些地区造成了最大的破坏。

AISURU 到 AIRASHI 的演变

AIRASHI 源自 AISURU 僵尸网络，该网络于 2024 年 8 月在 Steam 遭受 DDoS 攻击时被发现，当时正值游戏《黑神话：悟空》发布。该僵尸网络于 2024 年 9 月暂时停止运营，随后以代号为“kitty”的更新功能重新出现，并于 11 月进一步改名为 AIRASHI。

双重用途的僵尸网络：AIRASHI-DDoS 和 AIRASHI-Proxy

AIRASHI 有两种不同的运作形式：

• AIRASHI-DDoS ：该变体于 2024 年 10 月下旬被发现，专注于 DDoS 攻击，但扩展了其功能，包括任意命令执行和反向 shell 访问。
• AIRASHI-Proxy ：此变体于 2024 年 12 月发布，增加了代理功能，标志着超越 DDoS 操作的服务多样化。

推进通信和加密

为了确保安全高效的运行，AIRASHI 采用了一种新的网络协议，利用 HMAC-SHA256 和 CHACHA20 加密算法。虽然 AIRASHI-DDoS 支持 13 种不同的消息类型，但 AIRASHI-Proxy 采用了更精简的方法，只有 5 种。此外，僵尸网络会动态调整其方法，通过 DNS 查询检索命令和控制 (C2) 服务器详细信息。

僵尸网络和物联网设备：持续的网络威胁

调查结果突显出网络犯罪分子不断利用物联网设备漏洞。物联网设备既是犯罪分子的切入点，也是构建强大僵尸网络的基础。通过利用这些受感染的设备，威胁行为者增强了 DDoS 攻击的威力，这表明物联网生态系统迫切需要增强设备安全性。