news 2026/7/16 16:08:08

藏在你家电视里的威胁:Kimwolf 僵尸网络已渗透全球,这款 EDR 能精准拦截

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
藏在你家电视里的威胁:Kimwolf 僵尸网络已渗透全球,这款 EDR 能精准拦截

据调查一款名为Kimwolf的新分布式拒绝服务(DDoS)僵尸网络,已受控不少于180万台受感染终端设备,涵盖安卓智能电视、网络机顶盒及平板电脑等,且该僵尸网络疑似与(AISURU)僵尸网络存在关联关系。

该机构在当日发布的分析报告中指出:“Kimwolf僵尸网络基于原生开发套件(NDK)编译构建。除具备典型的DDoS攻击能力外,还集成了代理转发、反向外壳(Reverse Shell)及文件管控等核心功能模块。”

据测算,该超大规模僵尸网络在2025年11月19日至22日的三日周期内,累计下发DDoS攻击指令达17亿条。同期,其下属的一个命令与控制(C2)域名——14emeliaterracewestroxburyma02132[.]su,成功登顶Cloudflare全球百大热门域名榜单,甚至一度越谷歌(Google)域名的访问热度。

Kimwolf僵尸网络的主要感染目标为部署于家庭局域网环境中的网络机顶盒,受影响设备型号包括TV BOX、超级盒子(SuperBOX)、HiDPTAndroid、P200、X96Q、智能电视(SmartTV)及MX10等。恶意程序感染范围覆盖全球,其中巴西、印度、美国、阿根廷、南非及菲律宾为感染高浓度区域。截至目前,该恶意软件(Malware)向目标设备的具体传播路径仍未明确

(XLab)表示,针对该僵尸网络的溯源分析工作始于2025年10月24日——当日该机构从可信社区合作伙伴处获取Kimwolf僵尸网络的“4.0版本”恶意样本。此后,研究人员于上月新增捕获8个该僵尸网络的变种样本

研究人员指出:“我们监测到,Kimwolf僵尸网络的命令与控制(C2)域名在12月已被不明主体成功关闭(Takedown)至少三次。该处置行动迫使攻击者升级对抗战术,转而采用以太坊域名服务(ENS)对其基础设施进行加固,充分体现出该僵尸网络具备强大的迭代进化能力。”

值得注意的是,本月初,(XLab)成功夺取其中一个命令与控制(C2)域名的控制权,从而得以对该僵尸网络的规模进行精准测绘。

Kimwolf僵尸网络的核心关联特征在于其与臭名昭著的(AISURU)僵尸网络存在技术溯源关联——后者在过去一年间,曾主导发起多起创纪录规模的DDoS攻击事件。研究人员推测,攻击者在Kimwolf僵尸网络开发初期,复用了(AISURU)的部分核心代码,后续为规避安全检测体系,才独立研发形成Kimwolf这一全新僵尸网络变种。

(XLab)表示,此类攻击事件的发起主体或并非仅有(AISURU)僵尸网络,Kimwolf僵尸网络大概率参与其中,甚至可能在部分攻击行动中承担主导角色。

该机构指出:“2025年9月至11月期间,上述两大僵尸网络通过相同的恶意感染脚本进行传播,且实现了在同一批次设备中的共存部署。事实上,二者归属同一黑客组织操控。”

该结论的核心依据包括:两款僵尸网络在 VirusTotal 平台提交的安卓安装包(APK)存在多重特征重合,部分样本甚至采用相同的代码签名证书——证书持有者信息为“John Dinglebert Dinglenut VIII VanSack Smith”。2025年12月8日,研究人员发现一台处于活跃状态的恶意下载器服务器(IP地址:93.95.112[.]59),其内置脚本同时关联Kimwolf与(AISURU)的恶意安装包(APK),该发现为上述结论提供了确凿的技术佐证。

该恶意软件(Malware)的工作机制相对简单:一旦启动,它会确保受感染设备上只有一个进程实例运行,然后解密嵌入的 C2 域名,使用 DNS over TLS 获取 C2 IP 地址,并连接到该地址以接收和执行命令。

在2025年12月12日最新捕获的该僵尸网络变种样本中,攻击者引入了名为EtherHiding的隐蔽通信技术。该技术借助以太坊域名服务(ENS)域名(pawsatyou[.]eth),从对应的智能合约(合约地址:0xde569B825877c47fE637913eCE5216C644dE081F)中提取真实的命令与控制(C2)服务器IP地址,以此提升其基础设施对抗处置行动的韧性。

具体技术实现流程为:从区块链交易记录的“lol”字段中提取IPv6地址,截取该地址的最后四个字节,再与密钥“0x93141715”执行异或运算(XOR Operation),最终生成命令与控制(C2)服务器的真实IP地址。

除对命令与控制(C2)服务器及域名解析器相关敏感数据进行加密外,Kimwolf僵尸网络还采用传输层安全协议(TLS)对网络通信链路进行加密处理,用于传输DDoS攻击指令。该恶意软件共支持13种基于用户数据报协议(UDP)、传输控制协议(TCP)及互联网控制报文协议(ICMP)的DDoS攻击技术手段。据(XLab)统计,其攻击目标主要分布于美国、中国、法国、德国及加拿大等国家。

深度分析显示,该僵尸网络接收的指令中,超96%涉及利用受感染节点提供代理服务。该数据表明,攻击者正通过劫持设备的带宽资源开展牟利活动,以实现收益最大化。为达成此目的,攻击者部署了基于Rust语言开发的命令客户端模块,用于构建分布式代理网络。

此外,攻击者还向受感染节点下发字节连接(ByteConnect)软件开发工具包(SDK)——该工具为一款流量 monetization 解决方案,可支持应用开发者及物联网(IoT)设备所有者实现流量资源的商业化变现。

(XLab)表示:“巨型僵尸网络的规模化攻击始于2016年的(Mirai)僵尸网络,其感染目标主要集中于家用宽带路由器、网络摄像头等物联网(IoT)设备。然而近年来,Badbox、Bigpanzi、Vo1d及Kimwolf等多款百万级巨型僵尸网络相继被曝光,这一趋势表明,部分攻击者已将攻击目标转向各类智能电视及网络机顶盒设备。”这一趋势与和中科技的的判断高度一致!为了应对此类安全事件的发生,和中科技对神雕EDR进行了升级,和中神雕EDR产品依托先进的行为分析与多维度检测技术,该产品融合AI智能引擎、行为引擎与云查引擎等多重能力,能够精准识别Kimwolf这类未知恶意软件的异常行为——无论是其进程互斥机制、加密通信链路特征,还是通过异或运算生成真实IP的技术操作,都能被神雕EDR实时捕捉并告警,实现对已知及未知威胁的全面覆盖。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/15 18:45:19

推荐一个langchain开发工具包:langchain-dev-utils

在 LangChain 或 LangGraph 生态下做开发的同学,大概率都踩过这些坑:切换不同厂商的大模型要改一堆适配代码、工具调用时参数解析繁琐、多智能体协作逻辑混乱、状态图组合调试困难……这些重复且低效的工作,往往占据了我们大量开发时间。 最…

作者头像 李华
网站建设 2026/7/15 18:45:18

有序二叉树节点的删除

一、细节思考和分类我们删除二叉树的节点时候,要保证删除以后的数据继续保持有序状态,那么就会分为三种情况a.删除叶子节点;b.删除只有一个子节点的节点;c.删除有两个子节点的节点。二、实现思路和代码实现1.删除叶子节点实现思路…

作者头像 李华
网站建设 2026/7/16 4:34:50

“即插即用”的智能升级:具身智能模块如何破解机器人产业化难题

当为传统机器人植入一颗“智能心脏”的成本降至百元级,机器人普及的最后一道壁垒正在被拆除。在机器人技术飞速发展的今天,一个巨大的矛盾日益凸显:一方面,实验室中的机器人越来越智能,甚至能表现出丰富的情感&#xf…

作者头像 李华
网站建设 2026/7/14 10:29:58

AI驱动的芯片设计革命:当算法开始替代“老师傅”的经验

在3纳米及更先进的工艺节点上,传统设计方法正面临瓶颈,而数据驱动的AI正成为破局的关键。在半导体行业,经验曾是最宝贵的财富。一位资深工程师的“设计直觉”,往往能决定一款芯片的性能与成败。然而,当芯片制程从28纳米…

作者头像 李华
网站建设 2026/7/14 10:29:57

基于深度学习的交通标志检测系统(YOLOv10+YOLO数据集+UI界面+Python项目源码+模型)

一、项目介绍 本项目致力于开发一个基于YOLOv10的交通标志检测系统,旨在通过计算机视觉技术实现对交通标志的高效检测与识别。该系统能够实时处理来自交通监控摄像头的视频流或图片,自动识别并标注出其中的交通标志,为自动驾驶、智能交通系统…

作者头像 李华