00后黑客落网！曾运营大型僵尸网络，频繁攻击腾讯游戏、DeepSeek、X平台

工程师 (已认证)

原创分享签约作者

发表于教程文章

据美国司法部通报，活跃多年的高危DDoS僵尸网络“RapperBot”（历史频繁攻击腾讯游戏、DeepSeek、X平台的幕后黑手）现已被成功取缔。该僵尸网络主谋、22岁的美国俄勒冈州男子Ethan Faulds已于2025年8月6日被搜查住所，其基础设施控制权被执法部门依法接管，目前他面临协助及教唆计算机入侵罪的指控，最高可判处10年监禁。这一消息与腾讯宙斯盾情报系统监测到RapperBot僵尸网络活跃度数据吻合。Ethan Faulds于6号被捕后，7日该僵尸网络活跃度直接清零，其攻击趋势如下图所示。

一、RapperBot僵尸网络家族回顾

1.1 家族简介

RapperBot最早于2021年5月开始活动，主要通过暴力破解攻击入侵数字视频录像机（DVR）、Wi-Fi路由器等物联网设备，组建僵尸网络并发动大规模分布式拒绝服务（DDoS）攻击。该恶意软件技术继承自fBot和Mirai家族，具备高度破坏性和隐蔽性。

该僵尸网络规模一度达到6.5万–9.5万台受控设备，发动超过37万次DDoS攻击，影响了包括中国、日本、美国、爱尔兰和香港在内的18,000名受害者，单次攻击峰值流量据称超过6 Tbps。除DDoS外，该网络还被用于门罗币加密货币劫持和勒索型DDoS攻击（RDoS）。

1.2 样本分析

RapperBot新变种主要通过SSH爆破，漏洞利用等方式进行传播，入侵成功后在目标设备植入僵尸木马程序，随后连接C2并根据C2下发的攻击指令对目标发起DDoS攻击。以x86版本样本garm5为例进行分析，样本基本信息如下：

bot运行后会在终端输出标志性的字符串"Firmware update in progress"，并删除自身。

接着利用STUN协议获取肉鸡公网IP地址和端口信息，解析OpenNIC域名iranistrash.libre获取C2 IP，与C2建立连接。然后发送上线包，上线信息包括机器名称，样本运行位置等。发送和接收数据均经过加密处理，需要与数据种指定字节进行异或来解密。收到上线请求后，服务器端会返回两个数据包，第二个数据包种带有攻击指令。

对收到数据进行异或运算后的值对应各攻击参数示意：

其中第12字节0x05，代表命令类型为执行DDoS攻击；

第13,14字节0x0001代表攻击类型为upd_flood;

第8,9字节0x004B代表攻击时长 75秒；

第10,11,12,13个字节代表攻击IP 5...37；

第14字节0x20代表子网掩码32；

第15字节0x00代表选项类型是payload长度；

第16字节0x04代表通过4个字节的ASCII显示payload长度；

随后的4个字节0x31343030代表payload长度为1400(对于ASCII码)。

僵尸样本按照该指令发出的DDoS攻击包为：

1.3 攻击手段

RapperBot的攻击手法随着技术迭代变得愈发刁钻：

● “组合拳”介绍：指令不再只控制一种攻击手法，部分指令由单一攻击手法升级为多种手法混合攻击。特别是TCP连接型攻击明显增多，攻击时肉鸡与目标建立大量真实的TCP连接，然后循环利用每个连接发送数据包，防护难度飙升。

● “地图炮”成主流：RapperBot按照网段进行攻击的指令上升明显，通过设置攻击时的子网掩码为24/23/22/21/17/16/12等，将单条指令的攻击范围扩大到整个网段。近期捕获到RapperBot攻击子网网段的DDoS手法有7种，其中udp_connect_flood手法进行网段攻击的指令有297条，按照子网掩码24进行计算，仅这个攻击手法通过扫段可以覆盖的攻击范围就多达297*254=75438个IP，极大拓宽了攻击的威胁范围。