DDoS

史上最强?揭秘11.5T级超大规模僵尸网络AISURU的内幕

Alex.Turing, Wang Hao, Acey9

17 min read

概述

2025年以来,全球DDoS攻击的带宽峰值不断刷新历史纪录,从年初的3.12 Tbps一路飙升至近日惊人的11.5 Tbps。在多起具有高影响力或打破流量纪录的攻击事件中,我们均监测到一个名为AISURU的僵尸网络在幕后频繁活动。

Cloudflare 11.5T ddos event
Cloudflare报告11.5T攻击事件
aisuru_attack
XLAB攻击事件监控数据

AISURU僵尸网络最初于2024年8月由XLab首次披露,曾参与针对《黑神话:悟空》发行平台的DDoS攻击。自今年3月以来,XLab大网威胁监测平台持续捕获到该僵尸网络的新样本。多方信息显示,其背后团伙在4月涉嫌入侵某品牌路由器固件升级服务器,通过下发恶意脚本进一步扩展僵尸网络规模,当前节点数量据称已达30万。

更值得警惕的是,部分AISURU样本中嵌入的“彩蛋”信息已明显超出纯粹的攻击意图,转而试图传递特定意识形态内容。基于这一严峻态势,我们决定撰写本报告,向安全社区公开相关研究成果,呼吁各方携手应对,共同打击这一愈发猖獗的网络犯罪活动。

匿名消息源 & XLab视野

由于XLab长期深耕DDoS攻击这一领域,并持续发布可靠且独具深度的分析报告,这为我们不仅在防御者群体中、也在攻击者圈内积累了良好的声誉。近日,针对AISURU/ AIRASHI这一僵尸网络,有知情的匿名消息源主动向我们提供了相关情报,希望能像此前打击Fodcha僵尸网络一样,彻底瓦解AISURU。这一线索让我们终于有机会走近AISURU背后的团伙,揭开僵尸网络的运作内幕。

aisuru_agreement.png

匿名消息源

据匿名消息源称:AISURU团伙有3个关键人物,代号分别为Snow, Tom, Forky。2022年,Forky认识了当时尚在微末的Snow和Tom,经过catddos僵尸网络等几次愉快的合作之后,三人一拍即合,决定成立现在的AISURU团队。

  • Snow:负责僵尸网络的开发
  • Tom:负责漏洞,包括0day发现,Nday整合
  • Forky:负责僵尸网络的销售

2025年4月,Tom成功入侵totolink的一台路由升级服务器,将固件升级的url设定为下载执行恶意脚本。这意味着每台执行升级操作的totolink路由器,都有可能感染AISURU僵尸网络。

aisuru_totoupdate.png

这次入侵让AISURU僵尸网络的规模迅速攀升,在极短的时间内突破10万级。如此庞大的规模,让他们也有点措手不及,不得不牺牲睡觉时间,加班加点在数个C2 IP上配置策略,配合GRE TUNNEL进行分流。

aisuru_gretunnel.png

AISURU团伙成员行事张扬,常以“好玩”为由对ISP发动攻击,破坏性非常强。这使得他们在DDoS圈内口碑非常差,常被别人戏称为“精神不正常”,可以说是树敌无数。

aisuru_respect.png

4月底,DDoS圈内人士决定给AISURU团伙一点颜色看看,开始在社交媒体各种爆料。先是在一次Cloudlare表示缓解创记录的5.8Tbps的推文下,回复道:“这是来自340k totolink路由的攻击!”;几天又曝光更重量级的证据:僵尸网络的后台截图。从统计数据来看当时bot在线总数超过30万,其中3万来自中国。他一边高呼“welcome to totolink botnet”,一边@totolink以及国际刑警,希望引起公众,执法机构注意,以实现对AISURU的打击意图。

aisuru_static.png

目前totolink升级服务器的漏洞已被修补,AIRUSU团伙也幽默的表示RIP TOTOLINK 2025-2025,但其实AIRUSU僵尸网络的规模并未被影响,依然保持在30万左右。

aisuru_patch.png

在2025年9月创记录的12.1 Tbps之前,Aisuru做过数次攻击测试,包括对知名记者Brian Krebs个人网站的攻击,攻击流量均创造了当时的“世界记录”。

aisuru_talk.png

有意思的是“Ethan J Foltz”是Rapper Botnet的作者的真名,他于2025年8月6日被捕;而上图中“Ethan J Foltz”这个ID背后之人其实是Snow,他使用这种方式赤裸裸的嘲讽Rapperbot,这或许是AISURU团伙在DDoS圈人人喊打的原因之一。

XLab视野

对于匿名消息源提供的故事,读者肯定会有类似的想法:“这的确是很有趣的瓜,可你这瓜保熟不?”我们或许无法验证这些人物,但依托于XLab大网威胁感知系统强大的监测能力,我们对样本,C2,攻击事件均有良好的视野。以该团伙的数次关键活动为线索,通过数据交叉比对,我们认为匿名消息源提供的情报具有较高的可信度

1:2025年4月向totolink升级服务器植入的恶意脚本t.sh

aisuru_download.png
从26日起,脚本开始使用一个域名updatetoto.tw,可以通过域名排名系统Tranco来衡量它的活跃程序。

aisuru_tranco.png

以4月29日到5月30日的排名为例,updatetoto.tw这个于4月25日才创建的Downloader域名在短短的一个月内就在全球域名中排到了672588,证明AISURU团伙这次的感染活动非常成功。

aisuru_rank.png

2:2025年4月开启GRE TUNNEL的C2 IP

Aisuru团伙在151.242.2.[22 - 25]这4个IP 配置GRE Tunnel,它们角色其实是C2服务器。

aisuru_gre.png

而我们在4月份捕获的C2 approach.ilovegaysex[.]su的TXT记录解密后涵盖了这4个IP,说明这个C2隶属于Aisuru团伙。

aisuru_pdns.png

3:2025年5月对KrebsOnSecurity的攻击

对恶意域名 ilovegaysex 所关联的 C2 服务器进行指令跟踪,今年5月监测到其针对网络安全调查记者 Brian Krebs 的个人博客发起了网络攻击。

aisuru_kreb.png

4:2025年9月对185.211.78.117的攻击

对恶意域名 ilovegaysex 所关联的 C2 服务器进行指令跟踪,今年9月监测到对185.211.78.117发起了网络攻击,流量是惊人的11.5 Tbps。

aisuru_attack.png

样本传播

依托于XLab大网威胁感知系统的能力,我们观察到Aisuru样本最近主要通过NDAY漏洞传播,同时具备0DAY漏洞的利用能力。去年6月开始使用的美国Cambium Networks公司的cnPilot路由器0DAY仍然在利用。Aisuru传播样本使用的部分漏洞如下:

Vulnerability Affected Vendor Affected Devices
AMTK-CAMERA-CMD-RCE A-MTK Camera
CVE-2013-1599 D-Link DCS-3411 Firmware
CVE-2013-3307 Linksys Linksys X3000
CVE-2013-5948 T-Mobile Tm-Ac1900
CVE-2017-5259 Cambiumnetworks Cnpilot R190V Firmware
CVE-2022-44149 Nexxt Router
CVE-2023-28771 Zyxel,Zyxel,Zyxel,Zyxel Zyxel ATP,Zyxel USG FLEX,Zyxel VPN,Zyxel ZyWALL/USG
CVE-2023-50381 Realtek rtl819x Jungle SDK v3.4.11
LILIN-DVR-RCE LILIN DVR
CVE-2022-35733 UNIMO DVR UDR-JA1004/JA1008/JA101
CVE-2024-3721 TBK DVR
CNPILOT-0DAY-RCE Cambium Networks cnPilot
SANHUI-GATEWAY-DEBUG-PHP-RCE 三汇 网关管理软件
TVT-OEM-API-RCE Shenzhen TVT DVR

攻击统计

Aisuru僵尸网络的攻击目标遍布全球,分布在各个行业,主要攻击目标分布在中国、美国、德国,英国,中国香港等地区。并无明显的强针对性。每日攻击目标几百个左右。

DDoS攻击趋势:
AISURU.atk.trends.png

受害者地区分布:
AISURU.atk.d.png

技术分析

从2025年3月14日起,AIRURU团伙开始投递新的僵尸网络样本,和目前掌握的源码进行比对,我们发现更新主要集中在加密方式上,截止目前发现的更新可以分成俩大版本。

aisuru_source.png

  1. 版本一的更新包括:使用ecdh-P256进行密钥交换,之后生成共享的chacha20密钥对网络通信消息加密;DNS-TXT记录不再使用base64+chacha20解密,使用base64+xor解密;新的攻击指令、消息格式

  2. 版本二的更新包括:精简网络协议,删除ecdh-P256密钥交换过程,;魔改xxhash算法用于验证消息完整性;魔改RC4算法用于解密样本字符串和通信key;

第一个版本只持续了半个月左右时间,后续主要使用第二个版本样本。下文以版本二的样本为主要分析对象,着重介绍Aisuru的对抗手法,加密算法以及网络协议。

环境检测

样本启动后会检测当前进程命令行中是否包含以下字符串:

tcpdump
wireshark
tshark
dumpcap

检查内核的硬件标识信息是否包含以下字符串:

VMware
VirtualBox
KVM
Microsoft
QEMU

如果检查到上述情况,则程序退出,在一定程度上干扰样本的动态分析

Killer对抗

Linux 内核有一个 OOM Killer(Out-Of-Memory Killer),当系统内存不足时,它会挑选一些进程强制结束来释放内存。该样本通过在/proc/self/oom_score_adj写入-1000来禁用该功能,以获取到更多的执行时间。

正所谓的同行是冤家,每个Botnet Operator都想独占设备,对于设备的争夺非常激烈,一个设备今天属于A,明天又被B入侵的情况屡见不鲜。比如Aisuru和Rapperbot的在nvms9000设备的竞争上就非常白热化,当Aisuru做为胜利方接管了设备后,都要忍不住的跳出来嘲讽Rapperbot,贴脸开大。

aisuru_fight.png

大部分僵尸网络样本为了多平台兼容性,使用静态链接编译样本,导致它们不使用任何共享库;此外还会在运行后删除自身文件。但这也让不少僵尸网络将上述作为特征进行kill,以击败自己的竞争对手。

为了对抗上述killer,样本启动后会在/lib/中搜索以.so结尾的共享库文件并映射到当前进程中;不删除文件并将文件名替换为libcow.so;进程名同样是被检查的重点对象,样本将进程名替换为以下常见的进程名之一:

telnetd
udhcpc
inetd
ntpclient
watchdog
klogd
upnpd
dhclient

魔改的RC4加密算法

和之前的AIRASHI版本相比,新样本解密字符串时也不再使用标准的RC4算法,校验消息时不再使用标准的HMAC-SHA256算法。

新样本使用了魔改的RC4算法,密钥为PJbiNbbeasddDfsc,该密钥在多个版本中都没有变化,或许是向Fodcha僵尸网络致敬。算法保留了RC4的256字节的S盒,在初始化和生成密钥流时增加新的扰动,等效的Golang实现如下:

func AIRASHI_RC4(data []byte) []byte {
	key := make([]uint32, 4)
	keyBytes := []byte("PJbiNbbeasddDfsc")
	for i := 0; i < 4; i++ {
		key[i] = binary.BigEndian.Uint32(keyBytes[i*4 : (i+1)*4])
	}

	S := make([]byte, 256)
	i := 13
	for j := 0; j < 256; j++ {
		S[j] = byte(i & 0xff)
		i -= 89
	}

	j := 0
	for i := 0; i < 256; i++ {
		j = (j + int(S[i]) + int(key[i%4]>>(i%32))) % 256
		S[i], S[j] = S[j], S[i]
	}

	seed := uint32(0xE0A4CBD6)
	for i := 0; i < 5; i++ {
		for k := 0; k < 256; k++ {
			seed = 0x41C64E6D*seed + 12345
			t := (seed * uint32(S[k])) >> 24
			t1 := (seed ^ key[(i+k)%4] ^ uint32(S[k])) & 0xff
			S[k] = byte(t1)
			j = (int(t1) + j + int(t)) & 0xff
			S[k] = S[j]
			S[j] = byte(t1)
		}
	}

	i, j, k := 0, 0, 0
	m := uint32(1)
	result := make([]byte, 0, len(data))
	for _, byteVal := range data {
		i = (i + 1) % 256
		j = (j + int(S[i])) % 256
		k = (k + int(S[(i+j)%256])) % 256
		S[i], S[j] = S[j], S[i]
		m = rol32(m, 1)
		if (m & 1) != 0 {
			m ^= 0xD800A4
		}
		t := (S[(k+j)%256] + S[(j+i)%256]) & 0xff
		t1 := ((byte(m) ^ S[t]) >> 4) ^ rol8(byte(m)^S[t], 3)&0xff
		result = append(result, byteVal^t1)
	}
	return result
}

以下图的密文为例:
aisuru_ciphertxt.png

使用AIRASHI_RC4解密后,我们得到的明文是一条充满挑衅意味的信息。对此,我们只想回应一句:“阁下莫非是皮痒了?”

tHiS mOnTh At qiAnXin shitlab a NeW aisurU vErSiOn hIt oUr bOtMoN sYsTeM dOiNg tHe CHAaCha sLiDe
翻译为中文为:本月在奇安信的shitlab,一个新的Aisuru版本出现在了我们的BotMon系统,正在跳ChaCha舞。

当然,AISURU在样本中隐藏的信息远不止这一条。感兴趣的读者可以自行对样本(MD5: 053a0abe0600d16a91b822eb538987bca3f3ab55)进行解密分析。一旦成功解密,你就会明白,我们为何下定决心要坚决打击这一网络攻击团伙。

C2获取

样本继续保持之前的C2解密方法,通过|分割从字符串表中解密的C2字符串,得到多个子域名和主域名,再通过,分割多个子域名,示例如下:

decrypted str: sub1,sub2,sub3|domain.tld

c2_1: sub1.domain.tld
c2_2: sub2.domain.tld
c2_3: sub3.domain.tld

在解析域名时,仍使用加密的TXT记录,在之前的blog的样本中使用base64+ChaCha20进行解密,新版本只是弃用了ChaCha20,改用异或获取IP。对C2解密感兴趣的读者,可参阅Appendix章节的CyberChef,只需要将C2的TXT记录复制到INPUT即可。

dns_txt_decode.png

网速测试

开发者在最新的几个版本中,加入了网络上传速度测试的功能,该功能使用了speedtest的公共服务

  1. GET /speedtest-servers-static.php 获取测试服务器
  2. GET /speedtest/latency.txt 获取延迟最低的服务器
  3. 向延迟最低的服务器POST随机数据,时间为10s(部分样本为100ms)

但该功能并不会对程序运行和C2连接方面产生影响,只是在得到结果后向C2报告。我们认为测速这一新增加功能的的目的是为后续的代理指令服务,很显然C2会向一些网络良好的节点下发代理指令,让其成为住宅代理中的一环。

网络协议

协议方面和之前版本相比,整体流程变化不大,仍保留获取共享的ChaCha20密码、确认机制,只是在消息格式和指令、加密算法方面做修改。

新的消息由三部分构成:消息头、随机字节和消息体,如图所示是解密后的上线包:

login_msg.png

消息头长度固定为8字节,由4个字段组成:

msgType(1byte) + randSize(1byte) + bodySize(2byte) + bodyHash(4byte)

上线包新增字段:

struct login{
	uint32 stun_ip;  
	uint32 botid_len;
	char botid[botid_len];
	uint32 version;
	uint32 nodename_len;
	char nodename[nodename_len];
	uint32 cwd_len;
	char cwd[cwd_len];
	uint32 kernel_ver_len;
	char kernel_ver[kernel_ver_len];
	uint16 reserve1;
	uint8 reserve2;
	bool support_udp;
}

新版本支持的指令及对应的功能描述如下:

msgType desc
0 get shared net key
1 key info
2 confirm key
3 login info
4 heartbeat
5 exit
6 attack
7 execute cmd
8 new cnc
9 reverse shell
10 proxy
101 report telnet scan
201 report killer
202 report netspeed

可以看出新样本不仅支持DDoS攻击,还支持Proxy。随着全球执法机构对网络犯罪的打击力度不断加大,网络犯罪集团对匿名化服务的需求日益增长。正所谓有需求的地方,就有利益。僵尸网络控制的节点天然适合构建住宅代理,从我们的目前积累的案例来看,这似乎是近年来DDoS圈的一个潮流,把业务从单一的攻击,扩展到网络代理。

我们在XLab指令跟踪系统中实现了Aisuru网络协议,和预期一样,不仅接收到常规的DDoS攻击指令,还接到和Proxy相关的指令。

aisuru_cmdtype.png

很显然,Aisuru 已不再满足于 DDoS 攻击这一单一业务模式,开始涉足代理服务领域,试图充分利用其手中庞大的节点资源,以谋求更多经济利益。

aisuru_proxy.png

IoC

C2

coerece[.ilovegaysex[.su
approach[.ilovegaysex[.su
ministry[.ilovegaysex[.su
lane[.ilovegaysex[.su
a.6mv1eyr328y6due83u3js6whtzuxfyhw[.ru

Report/Download Server

u[.ilovegaysex[.su
updatetoto[.tw

Proxy Relay C2

194.46.59[.169	United Kingdom|England|Exeter	AS206509|KCOM GROUP LIMITED
104.171.170[.241	United States|Virginia|Ashburn	AS7922|Comcast Cable Communications, LLC
104.171.170[.253	United States|Virginia|Ashburn	AS7922|Comcast Cable Communications, LLC
107.173.196[.189	United States|New York|Buffalo	AS36352|ColoCrossing
64.188.68[.193	United States|District of Columbia|Washington	AS46339|CSDVRS, LLC
78.108.178[.100	Czech Republic|Praha, Hlavni mesto|Prague	AS62160|Yes Networks Unlimited Ltd

Sample

09894c3414b42addbf12527b0842ee7011e70cfd
51d9a914b8d35bb26d37ff406a712f41d2075bc6
616a3bef8b0be85a3c2bc01bbb5fb4a5f98bf707
ccf40dfe7ae44d5e6922a22beed710f9a1812725
26e9e38ec51d5a31a892e57908cb9727ab60cf88
08e9620a1b36678fe8406d1a231a436a752f5a5e
053a0abe0600d16a91b822eb538987bca3f3ab55

Appendix

CyberChef

https://gchq.github.io/CyberChef/#recipe=Fork('%5C%5Cn','%5C%5Cn',false)From_Base64('A-Za-z0-9%2B/%3D',true,false)XOR(%7B'option':'Hex','string':'ca%20fe%20ba%20be'%7D,'Standard',false)To_Hex('Space',0)Change_IP_format('Hex','Dotted%20Decimal')&input=Im9XamNxZz09Ig0KIm9XamVuZz09Ig0KIm9XallCdz09Ig0KIjU2NGtMZz09Ig&ieol=CRLF