萬(wàn)萬(wàn)沒(méi)想到程序員這么熱愛(ài)二次元。在過(guò)去長(zhǎng)達(dá) 8 年的時(shí)間里，一名黑客操縱著一個(gè)規(guī)模龐大的僵尸網(wǎng)絡(luò)。但其目的竟然與犯罪沒(méi)有半毛錢(qián)關(guān)系，你

萬(wàn)萬(wàn)沒(méi)想到“程序員”這么熱愛(ài)二次元。在過(guò)去長(zhǎng)達(dá) 8 年的時(shí)間里，一名黑客操縱著一個(gè)規(guī)模龐大的僵尸網(wǎng)絡(luò)。但其目的竟然與犯罪沒(méi)有半毛錢(qián)關(guān)系，你可能難以相信，這個(gè)僵尸網(wǎng)絡(luò)存在的意義只是為了— 下載動(dòng)漫視頻。

為下動(dòng)漫視頻，黑客操縱僵尸網(wǎng)絡(luò)長(zhǎng)達(dá) 8 年

現(xiàn)在程序員群體中，喜歡二次元文化的人越來(lái)越多了。

知乎上，在一個(gè)很有意思的問(wèn)題“普通的程序員和大神級(jí)的程序員有什么區(qū)別?”下方，答主 Momenta 神總結(jié)了 2 個(gè)大神級(jí)程序員選擇頭像的風(fēng)格特質(zhì)，一是二次元美少女風(fēng)，二是喜歡萌寵，尤其愛(ài)貓。

在很多程序員看來(lái)，二次元所構(gòu)建的虛擬世界與它們用代碼構(gòu)建的世界本質(zhì)上很像，二次元世界能夠讓他們放松的卸下在現(xiàn)實(shí)世界的那些枷鎖，得到一種自由的釋放。

你是否喜歡二次元又為它深深著迷嗎?有些程序員甚至成為了二次元重度“中毒”患者。本文中講述的一位黑客的經(jīng)歷可謂“神奇”，他操縱著一個(gè)龐大的僵尸網(wǎng)絡(luò)長(zhǎng)達(dá) 8 年。但有意思的是，他創(chuàng)辦并運(yùn)營(yíng)該僵尸網(wǎng)絡(luò)的唯一意圖，竟然只是為了接入在線網(wǎng)站并下載動(dòng)漫視頻。

動(dòng)漫真愛(ài)粉無(wú)疑了。

最近八年以來(lái)，為了下動(dòng)漫視頻，該黑客 一直悄悄將各類(lèi) D-Link NVR(網(wǎng)絡(luò)攝像機(jī))與 NAS(網(wǎng)絡(luò)附加存儲(chǔ))設(shè)備劫持至自己的僵尸網(wǎng)絡(luò)當(dāng)中。

這套名為 Cereals 的僵尸網(wǎng)絡(luò)于 2012 年被首次發(fā)現(xiàn)，其規(guī)模曾在 2015 年達(dá)到規(guī)模峰值——操控設(shè)備達(dá) 1 萬(wàn)臺(tái)。

這套僵尸網(wǎng)絡(luò)單純由 D-Link NAS 與 NVR 設(shè)備組成。

不過(guò)更要命的是，規(guī)模如此可觀的僵尸網(wǎng)絡(luò)，卻長(zhǎng)期未能引起大多數(shù)網(wǎng)絡(luò)安全公司的重視。

目前，Cereals 網(wǎng)絡(luò)正在自行消失，這主要是由于其多年來(lái)一直劫持的 D-Link 設(shè)備開(kāi)始老化，并被所有者逐步淘汰。此外，2019 年冬季一款名為 Cr1tT0r 的勒索軟件曾大范圍肆虐，以“黑吃黑”的形式將不少 D-Link 系統(tǒng)中的 Cereals 惡意軟件清理了出去——該僵尸網(wǎng)絡(luò)的規(guī)模也隨之縮水。

考慮到 Cereals 僵尸網(wǎng)絡(luò)以及與之對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備正在消失，網(wǎng)絡(luò)安全公司 Forcepoint 終于決定發(fā)布相關(guān)威脅報(bào)告，而不再需要擔(dān)心過(guò)早曝光導(dǎo)致更多攻擊者將矛頭指向這些極易受到入侵的 D-Link 系統(tǒng)。

單一漏洞催生出的龐大僵尸網(wǎng)絡(luò)

根據(jù) Forcepoint 研究人員們的說(shuō)明，Cereals 僵尸網(wǎng)絡(luò)的運(yùn)作方式相當(dāng)獨(dú)特，因?yàn)槠湓谡四甑纳芷诋?dāng)中僅利用到 D-Link 系統(tǒng)中的一項(xiàng)安全漏洞。

這項(xiàng)漏洞來(lái)自 D-Link 固件中的 SMS 通知功能，該固件廣泛支持 D-Link 品牌的各類(lèi) NAS 與 NVR 產(chǎn)品。

憑借這一 bug，Cereals 的作者得以將格式錯(cuò)誤的 HTTP 請(qǐng)求發(fā)送至目標(biāo)設(shè)備的內(nèi)置服務(wù)器，并以 root 權(quán)限執(zhí)行命令。

Forcepoint 表示，黑客首先在互聯(lián)網(wǎng)上掃描存在此項(xiàng)漏洞的 D-Link 系統(tǒng)，而后利用該漏洞在目標(biāo) NAS 及 NVR 設(shè)備上安裝了 Cereals 惡意軟件。

別看只利用到了一項(xiàng)漏洞，但 Cereals 僵尸網(wǎng)絡(luò)本身還是相當(dāng)先進(jìn)的。Cereals 中包含多達(dá)四種后門(mén)機(jī)制以持續(xù)訪問(wèn)受感染設(shè)備，不斷更新后門(mén)以防止受感染設(shè)備被其他攻擊者所劫持，并通過(guò) 12 個(gè)較小規(guī)模的子網(wǎng)對(duì)受感染的肉雞設(shè)備進(jìn)行管理。

非專(zhuān)業(yè)項(xiàng)目?

更有趣的是，盡管 Cereals 本身技術(shù)水平頗高，但 Forcepoint 仍然認(rèn)為該僵尸網(wǎng)絡(luò)可能只是一個(gè)因?yàn)閭€(gè)人愛(ài)好而衍生的非專(zhuān)業(yè)項(xiàng)目。

理由如下：

首先，這套僵尸網(wǎng)絡(luò)在長(zhǎng)達(dá)八年的生命周期當(dāng)中僅利用到單一漏洞，說(shuō)明攻擊者并不打算費(fèi)力將其擴(kuò)展到 D-Link NAS 及 NVR 以外的系統(tǒng)當(dāng)中。

第二，該僵尸網(wǎng)絡(luò)的存在目標(biāo)只有一個(gè)——從互聯(lián)網(wǎng)上下載動(dòng)漫視頻。Forcepoint 公司指出，該僵尸網(wǎng)絡(luò)從未執(zhí)行過(guò)任何 DDoS 攻擊，也沒(méi)有證據(jù)表明 Cereals 僵尸網(wǎng)絡(luò)曾試圖訪問(wèn)保存在 NAS 與 NVR 設(shè)備上的用戶(hù)數(shù)據(jù)。

根據(jù)目前掌握的情報(bào)來(lái)看，該僵尸網(wǎng)絡(luò)的作者很可能是一位名叫 Stefan 的德國(guó)人，其創(chuàng)造 Cereals 的初衷與惡意犯罪毫無(wú)關(guān)系。從頭到尾，Cereals 存在的意義都僅僅只是下載動(dòng)漫視頻。

真的不是很懂你們二次元……

關(guān)鍵詞： 動(dòng)漫視頻