自 2024 年底起，IoT 僵尸网络的 C＆C 服务器便开始向日本及其他国家和地区发送大规模 DDoS 攻击命令。这些命令的目标涵盖了多家公司，其中不乏日本的大型企业与银行。

尽管目前无法确认直接联系，但一些目标组织反馈，在此期间出现了临时连接异常和网络中断的情况，而这些状况与观察到的攻击命令高度吻合。

这个基于 Mirai/Bashlite 的僵尸网络利用 RCE 漏洞或弱密码来感染物联网设备。感染阶段包括下载一个脚本，该脚本会从分发服务器获取加载程序可执行文件。 

之后，加载程序使用专门的 User-Agent 标头从服务器成功检索实际的恶意软件负载，然后在内存中执行它。 

该恶意软件与 C＆C 服务器通信，以获取发起 DDoS 攻击（SYN Flood、TCP ACK Flood、UDP Flood 等）或将设备转变为代理服务器的命令。  

使用自定义 User-Agent 标头从分发服务器下载二进制文件的代码

它采用了多种规避技术，并通过镜像过去的 Mirai 僵尸网络行为来 停用阻止DDoS 攻击期间由高负载触发的系统重启的看门狗计时器。

它还操纵 iptables 规则来阻碍感染检测和 DDoS 攻击可见性。通过阻止 WAN 端 TCP 连接，它旨在防止交叉感染，同时保持内部管理访问。 

通过使用动态配置的 iptables 规则，恶意软件能够接收来自外界的 UDP 数据包，并通过隐藏其活动来抑制 TCP RST 数据包。

用于禁用看门狗定时器的恶意软件代码

2024 年 12 月 27 日至 2025 年 1 月 4 日期间观察到的 DDoS 攻击针对的是北美、欧洲和亚洲的组织，主要集中在美国、巴林和波兰。 

趋势科技的分析显示，不同目标地区的命令模式有所不同。针对日本目标的攻击经常使用“stomp”命令，而针对国际目标的攻击则更常使用“gre”命令。 

攻击主要集中在交通运输、信息通信、金融保险等领域。而国际攻击也主要集中在信息通信、金融保险行业，针对交通运输领域的攻击明显较少。 

目标行业

这些攻击背后的实施者表现出了适应性，并在实施初步防御措施后针对日本组织测试了“套接字”和“握手”等新命令。

恶意软件在初始化阶段设置的 iptables 规则

僵尸网络分析结果显示，共有 348 台设备遭到感染。受感染设备中，80% 主要是 TP-Link 和 Zyxel 等供应商生产的无线路由器，此外，来自海康威视的 IP 摄像机在受感染设备中也占了相当比例。

导致其被利用的因素包括默认设置的持久性、过时的固件和安全功能不充分，这些因素使攻击者能够轻易破坏这些设备并利用它们进行 DDoS 攻击和网络入侵等恶意活动。

为了减轻僵尸网络感染和 DDoS 攻击，请实施强大的安全措施。通过更改默认凭据、定期更新固件和分段物联网网络来保护物联网设备。 

同时，要严格限制设备的远程访问权限，对设备进行行之有效的管理，密切监控网络流量，一旦发现异常即刻响应处理。

针对 UDP 洪水攻击，可通过阻止特定的 IP 地址和协议来进行防范；还可以积极与服务提供商展开深度合作，共同应对风险；另外，加强路由器硬件的防护能力，也是减轻 UDP 洪水攻击影响的重要举措 。

参考及来源：https://gbhackers.com/new-iot-botnet-launches-large-scale-ddos-attacks/