研究人员发现感染了160多万台设备的“粉红”僵尸网络恶意软件

网络安全研究人员披露了他们所说的过去六年在野外观察到的“最大的僵尸网络”的细节，感染了主要位于中国的160多万台设备，目的是发起分布式拒绝服务（DDoS）攻击，并在毫无戒心的用户访问的HTTP网站上插入广告。

奇虎360的Netlab安全团队根据2019年11月21日获得的样本将僵尸网络命名为“粉色”，因为有大量以“粉色”开头的函数名

僵尸网络主要针对基于MIPS的光纤路由器，利用GitHub、对等（P2P）网络和中央指挥控制（C2）服务器等第三方服务的组合，实现机器人到控制器的通信，更不用说完全加密传输通道，以防止受害设备被接管。

研究人员在上周发布的一份分析报告中称：“Pink与供应商竞相保持对受感染设备的控制，而供应商反复尝试修复问题，机器人主机也实时注意到了供应商的行为，并相应地对光纤路由器进行了多个固件更新。”由未指明的供应商和中国计算机网络应急响应技术团队/协调中心（CNCERT/CC）拍摄。

有趣的是，Pink还被发现采用了DNS Over HTTPS（DoH），一种用于通过HTTPS协议执行远程域名系统解析的协议，以连接到配置文件中指定的控制器，该配置文件通过GitHub或百度Tieba交付，或者通过一些样本中硬编码的内置域名。

总部位于北京的网络安全公司NSFOCUS在一份独立报告中指出，“超大规模机器人网络”中超过96%的僵尸节点位于中国，威胁参与者利用网络网关设备中的零日漏洞闯入设备安装恶意程序。尽管自2020年7月起，大量受感染的设备已被修复并恢复到之前的状态，但据说僵尸网络仍处于活动状态，包括约10万个节点。

到目前为止，僵尸网络已经发起了近100次DDoS攻击，这一发现再次表明，僵尸网络可以为不良行为体提供强大的基础设施，以进行各种入侵。NSFOCUS的研究人员说：“物联网设备已经成为黑人生产组织乃至高级持久性威胁（APT）组织的重要目标。”。“虽然Pink是迄今为止发现的最大的僵尸网络，但它永远不会是最后一个。”