导语:
KrebsOnSecurity 最新调查显示:曾多次发动 TB 级 DDoS 的 Aisuru 僵尸网络正在洗牌,把上百万台受感染的 IoT 设备出租给住宅代理服务。随着生成式 AI 带动内容抓取需求激增,这些代理被用于隐藏网络爬虫、广告欺诈、凭证填充等活动,传统的“攻防”边界被重新改写。
威胁纵览
文章指出,Aisuru 在 2025 年初仍以 DDoS 攻击闻名,如今却通过更新恶意代码,让设备以 SOCKS/HTTP 代理形式对外出租,成为多个住宅代理平台的暗流支撑。Spur 和 Synthient 等安全公司追踪到过去 90 天新增 2.5 亿个住宅代理 IP,数量之巨前所未有。与此同时,Bright Data、Oxylabs 等正规代理供应商发布声明称自身增长并非如此“离谱”,暗示市场被不明来源的僵尸网络所“注水”。
技术拆解
Aisuru 的新版恶意代码集成了自动接入代理网络、配置动态证书、轮换出口 IP 的能力,使得被感染的路由器、摄像头、NAS 可以毫无察觉地向外出租带宽。攻击者进一步利用 DNS 隧道和多层控制节点,使得 C2 追踪更困难。Seralys 安全团队抢注了历史域名 fuckbriankrebs[.]com 后,在短短几个小时内捕获 70 万次唯一子域查询,证实 botnet 仍在大规模招募新节点。
产业影响
1)AI 内容抓取:大量代理被用于绕过反爬虫策略,为训练数据提供“真实用户”流量,企业需要重新评估公开 API 与网站对爬虫的防护。
2)广告与欺诈:住宅代理的匿名性使得广告欺诈、账号接管更易伪装成正常用户行为,传统风控基于 IP 的拦截效果大幅下降。
3)IoT 供应链风险:缺乏安全加固的终端被卷入灰色经济,品牌声誉与法律责任都可能受到影响。
4)执法协同:美国与欧洲的大型 ISP 已共享控制节点黑名单,但僵尸网络的迭代速度仍快于封堵。
防御策略建议
- 端点加固:针对企业管理的 IoT 设备实施固件更新、默认口令替换、最小权限配置,避免成为代理节点。
- 流量监控:在边缘部署异常检测,关注频繁的 DNS 子域查询、长连接代理流量、异常带宽消耗。
- 风控升级:对住宅代理流量引入更细粒度的行为与设备指纹分析,结合验证码、硬件令牌等多因素认证。
- 情报共享:与 ISP、情报供应商建立黑名单同步机制,及时阻断控制节点与代理平台出口。
- 供应链管理:在采购合同中加入安全条款,要求供应商提供漏洞修复支持与安全测试报告。
关注指标
住宅代理来源 IP 占比、与已知僵尸网络控制节点的重合度、IoT 设备异常流量告警次数、与代理流量相关的风控误杀率、执法协同反馈时间等指标,可以帮助企业持续评估风险。
行动清单
1)对现网 IoT 资产进行扫描,更新固件并检查是否存在代理端口暴露。
2)在 API 与 Web 服务中加入速率限制、Bot 管理与行为分析,对住宅代理流量实施分级策略。
3)订阅 Spur、Synthient 等情报源,结合自建威胁情报更新黑名单。
4)建立跨部门应急预案,一旦发现流量异常可快速协调网络、法务、PR 与执法部门响应。
5)对客户与合作伙伴发布安全告知,提升整个生态对“代理僵尸网”的警觉性。
