為下動漫視頻，黑客操縱僵尸網絡長達 8 年

2020-05-11 09:18:21 來源： InfoQ

萬萬沒想到程序員這么熱愛二次元。在過去長達 8 年的時間里，一名黑客操縱著一個規模龐大的僵尸網絡。但其目的竟然與犯罪沒有半毛錢關系，你

萬萬沒想到“程序員”這么熱愛二次元。在過去長達 8 年的時間里，一名黑客操縱著一個規模龐大的僵尸網絡。但其目的竟然與犯罪沒有半毛錢關系，你可能難以相信，這個僵尸網絡存在的意義只是為了— 下載動漫視頻。

現在程序員群體中，喜歡二次元文化的人越來越多了。

知乎上，在一個很有意思的問題“普通的程序員和大神級的程序員有什么區別?”下方，答主 Momenta 神總結了 2 個大神級程序員選擇頭像的風格特質，一是二次元美少女風，二是喜歡萌寵，尤其愛貓。

在很多程序員看來，二次元所構建的虛擬世界與它們用代碼構建的世界本質上很像，二次元世界能夠讓他們放松的卸下在現實世界的那些枷鎖，得到一種自由的釋放。

你是否喜歡二次元又為它深深著迷嗎?有些程序員甚至成為了二次元重度“中毒”患者。本文中講述的一位黑客的經歷可謂“神奇”，他操縱著一個龐大的僵尸網絡長達 8 年。但有意思的是，他創辦并運營該僵尸網絡的唯一意圖，竟然只是為了接入在線網站并下載動漫視頻。

動漫真愛粉無疑了。

最近八年以來，為了下動漫視頻，該黑客一直悄悄將各類 D-Link NVR(網絡攝像機)與 NAS(網絡附加存儲)設備劫持至自己的僵尸網絡當中。

這套名為 Cereals 的僵尸網絡于 2012 年被首次發現，其規模曾在 2015 年達到規模峰值——操控設備達 1 萬臺。

這套僵尸網絡單純由 D-Link NAS 與 NVR 設備組成。

不過更要命的是，規模如此可觀的僵尸網絡，卻長期未能引起大多數網絡安全公司的重視。

目前，Cereals 網絡正在自行消失，這主要是由于其多年來一直劫持的 D-Link 設備開始老化，并被所有者逐步淘汰。此外，2019 年冬季一款名為 Cr1tT0r 的勒索軟件曾大范圍肆虐，以“黑吃黑”的形式將不少 D-Link 系統中的 Cereals 惡意軟件清理了出去——該僵尸網絡的規模也隨之縮水。

考慮到 Cereals 僵尸網絡以及與之對應的網絡設備正在消失，網絡安全公司 Forcepoint 終于決定發布相關威脅報告，而不再需要擔心過早曝光導致更多攻擊者將矛頭指向這些極易受到入侵的 D-Link 系統。

單一漏洞催生出的龐大僵尸網絡

根據 Forcepoint 研究人員們的說明，Cereals 僵尸網絡的運作方式相當獨特，因為其在整整八年的生命周期當中僅利用到 D-Link 系統中的一項安全漏洞。

這項漏洞來自 D-Link 固件中的 SMS 通知功能，該固件廣泛支持 D-Link 品牌的各類 NAS 與 NVR 產品。

憑借這一 bug，Cereals 的作者得以將格式錯誤的 HTTP 請求發送至目標設備的內置服務器，并以 root 權限執行命令。

Forcepoint 表示，黑客首先在互聯網上掃描存在此項漏洞的 D-Link 系統，而后利用該漏洞在目標 NAS 及 NVR 設備上安裝了 Cereals 惡意軟件。

別看只利用到了一項漏洞，但 Cereals 僵尸網絡本身還是相當先進的。Cereals 中包含多達四種后門機制以持續訪問受感染設備，不斷更新后門以防止受感染設備被其他攻擊者所劫持，并通過 12 個較小規模的子網對受感染的肉雞設備進行管理。

非專業項目?

更有趣的是，盡管 Cereals 本身技術水平頗高，但 Forcepoint 仍然認為該僵尸網絡可能只是一個因為個人愛好而衍生的非專業項目。

理由如下：

首先，這套僵尸網絡在長達八年的生命周期當中僅利用到單一漏洞，說明攻擊者并不打算費力將其擴展到 D-Link NAS 及 NVR 以外的系統當中。

第二，該僵尸網絡的存在目標只有一個——從互聯網上下載動漫視頻。Forcepoint 公司指出，該僵尸網絡從未執行過任何 DDoS 攻擊，也沒有證據表明 Cereals 僵尸網絡曾試圖訪問保存在 NAS 與 NVR 設備上的用戶數據。