Aisuru-Kimwolf 僵尸网络是一个由大量被恶意软件入侵的设备组成的大型网络,能够发起超大规模的 DDoS 攻击。
阅读本文后,您将能够:
复制文章链接
Aisuru-Kimwolf 僵尸网络是由大量被 恶意软件感染的设备所组成的庞大网络,可用于发起多种攻击,包括 分布式拒绝服务(DDoS)攻击。据估算,Aisuru 与 Kimwolf 合计控制着 100 万至 400 万台受感染主机。Aisuru-Kimwolf 僵尸网络有能力发动大规模 DDoS 攻击,足以瘫痪关键基础设施、击溃大多数传统云端 DDoS 防护方案,甚至可导致全国范围的网络连接中断。
Aisuru-Kimwolf 曾发起过多次史上规模最大的超大流量 DDoS 攻击,包括一次 31.4 太比特每秒(Tbps)DDoS 攻击、一次 141 亿数据包每秒(Bpps)DDoS 攻击,以及 “水刑”(Water Torture)和 随机前缀攻击等基于 DNS 的复杂 DDoS 攻击,以及每秒请求量超过 2 亿次的 HTTP DDoS 攻击。
这类高比特量、高包量攻击通常采用地毯式轰炸策略,并对 数据包 属性进行高强度随机化处理,以规避检测。此类攻击通常采用“打了就跑”战术实施:攻击流量会在瞬间达到峰值速率,而且仅持续数秒至数分钟。在短短一年内(2025–2026 年),Aisuru-Kimwolf 的潜在攻击规模增长了 700% 以上。
Aisuru 僵尸网络是由感染恶意软件的计算设备所组成的网络,其中包括消费级 物联网(IoT) 设备、数字录像机(DVR)、网络设备,乃至云端托管的虚拟机(VM)。这些受感染设备协同发动 DDoS 攻击。
Aisuru 是整个架构的基础,也被称为 “母体” 僵尸网络,从中衍生其他变种。它隶属于一个更庞大的恶意软件生态系统,后者通过控制各类设备来发起超大流量 DDoS 攻击。
Kimwolf 是一个活跃度高、扩张速度极快的僵尸网络,专门针对 Android 设备发起攻击,包括电视流媒体盒子(智能电视)、Android 流媒体设备以及 Android 移动设备。Kimwolf 自身在全球范围内控制着约 200 万台设备,在越南、巴西、印度和沙特阿拉伯的感染率尤其高。
该僵尸网络被用于发起超大流量 DDoS 攻击、凭据填充以及未经授权的应用安装。
二者本质上是变种与母体之间的关系。Kimwolf 是 Aisuru DDoS 僵尸网络的 “Android 变种”。它使用 Aisuru 的核心 DDoS 功能,但专门用于感染 Android 生态系统并在其中运行。
二者均隶属于一个更大的体系,其通过将遭入侵设备转化为“住宅代理”来牟利。运营 Aisuru 与 Kimwolf 的团伙会将这些受感染设备的 IP 地址访问权限出售给其他用户或代理服务提供商,从而帮助网络犯罪分子隐匿攻击真实来源。Aisuru 的代理服务已被专门用于进行数据抓取攻击。
此外,该僵尸网络的部分节点还被多家分发者以雇佣式僵尸网络(也被称为“DDoS 即服务”)的形式进行商业化牟利。他们通过 Discord 和 Telegram 渠道出售这些服务,有时价格低至几十美元。不过,其 DDoS 服务的费用最高可达数千美元,具体取决于所售卖攻击的规模与持续时长。这些收入用于支持僵尸网络的进一步发展。
总而言之,Aisuru 是原始的 DDoS 框架,而 Kimwolf 则是其专门面向 Android 的分支。Kimwolf 利用住宅代理服务的薄弱安全漏洞,推动了整个僵尸网络的大规模扩张。Aisuru‑Kimwolf 僵尸网络是一个寄生式、高爆发性的 DDoS 攻击生态系统。这标志着网络黑产正在进行现代化转型:威胁主体不再仅以终端用户为攻击目标,而是专门利用住宅代理行业的漏洞,以此实现攻击规模的急剧扩张。
僵尸网络是指由恶意软件入侵并受不法分子控制的一组联网计算设备所构成的集合。僵尸网络中的许多(甚至大多数)计算机看起来正常运行,但恶意软件在后台运行,等待指令。僵尸网络运营者会尽量保持隐匿,以维持其网络规模最大化。一般而言,僵尸网络中的设备数量越多,网络效能就越强:更多设备意味着能够产生更大流量,且来源 IP 地址覆盖范围更广。
僵尸网络主要由家庭与办公室中的普通日常设备构成。IoT 设备尤其容易被入侵并成为僵尸网络的一部分。这是因为 IoT 设备:
路由器也常成为传播僵尸网络恶意软件的攻击目标,因为路由器长期联网、极少关机或更新,且普遍存在安全漏洞。许多(即使不是大多数)家庭和企业拥有路由器,而且许多人不了解如何对其进行正确的安全防护。
僵尸网络设备会等待指令,然后执行恶意操作。一旦收到指令,这些设备便会向目标发送信息数据包 —— 即网络流量,目标通常为指定的应用、网站、网络或服务器。成千上万台设备协同发起攻击,有可能导致目标系统瘫痪。
试想来自不同寄件人的数百个包裹,同时送达公司前台,而前台接待人员必须逐一签收处理。前往办公室的访客将必须等待前台人员提供服务,甚至可能完全无法获得服务。僵尸网络对其目标也有类似的影响,导致向应用的合法用户拒绝服务。
值得注意的是,虽然 Aisuru-Kimwolf 的攻击规模可能很大,但最大的攻击持续时间很少超过几秒钟。
Aisuru 目标设备可能由于上述任何原因而容易受到攻击——默认凭据、包含已知漏洞的过时固件等等。该僵尸网络的操控者会在互联网中扫描存在安全漏洞的设备,并在所有可入侵的设备中植入恶意软件。
Aisuru 还可能利用路由器固件中的 zero-day 漏洞快速传播。在制造商发现此类漏洞并发布补丁之前,没有任何防御措施。
Kimwolf 利用易受攻击的 Android Debug Bridge (ADB) 服务。许多低成本机顶盒“预先感染”了代理 SDK;然后,Kimwolf 扫描这些住宅代理网络,几分钟即可利用这些设备进行传播。
对于 DDoS 攻击,Aisuru 倾向于使用 DNS、TCP、UDP 和 GRE 协议攻击。UDP 地毯式轰炸是最常见的攻击方式,Aisuru 那次规模达 31.4 Tbps 的庞大攻击以及其他同级别攻击均采用了这一战术。在 UDP 地毯式轰炸攻击中,攻击流量的目标是多个 IP 地址,而不是一个。针对单个 IP 地址的流量可能降至低于被识别为攻击的阈值,但这些流量的合力会耗尽网络的带宽。
此外,Aisuru-Kimwolf 组织在发动超大规模 HTTP DDoS 攻击,主要针对游戏行业。
要了解基于 TCP 的攻击如何工作,请参阅SYN 洪水攻击和ACK 洪水攻击。
代理是一种位于连网计算机与网络其他计算机之间的服务器,代表该计算机转发流量。虽然代理可用于多种合法目的(包括增强安全性),但对于网络犯罪分子而言,使用代理是掩盖恶意网络流量真正来源的一种方法。
研究人员发现 Aisuru 是大量代理恶意流量的来源。Aisuru 销售“住宅代理”服务:可以使流量看似来自美国的普通家庭用户。这些服务在很大程度上被用于隐匿数据爬取机器人的真实来源,此类机器人无视网站意愿,擅自从网站抓取数据。
Mirai 僵尸网络是一种规模庞大、攻击能力极强的 DDoS 僵尸网络,在 2010 年代后期尤为活跃。Mirai 的代码于 2016 年泄露,此后成为其他几个主要僵尸网络的基础,包括 Aisuru。Aisuru-Kimwolf 和 Mirai 都包含大量的 IoT 设备。
Cloudflare 能够缓解任何规模的 DDoS 攻击。Cloudflare 的自主 DDoS 防护系统自动检测并缓解了上述 31.4 Tbps Aisuru-Kimwolf 攻击。任何网络、网站、应用或 API 都可以使用 Cloudflare 来阻止各种规模的 Aisuru 攻击。在此处查看 Cloudflare 计划。
要进一步了解 Aisuru,包括表示基于 Aisuru 攻击的入侵指标 (IoC),请参阅威胁简报“Aisuru 僵尸网络:10 月初攻击升级为创纪录的 DDoS 活动。”