Kimwolf 殭屍網路劫持 180 萬台 Android 裝置，流量一度超越 Google

資安研究人員近期揭露名為 Kimwolf 的大規模殭屍網路（Botnet），已感染高達 180 萬台 Android 裝置，主要包括電視盒、機上盒與平板電腦。這個殭屍網路具備強大的分散式阻斷服務攻擊（DDoS）能力，並整合代理轉發、遠端 Shell 與檔案管理等多項惡意功能。

流量異常引發調查，揭露史上最大規模殭屍網路之一

今年 10 月 30 日，Cloudflare 的網站流量排名數據出現異常。一個名為「14emeliaterracewestroxburyma02132[.]su」的陌生網域短暫超越 Google，成為全球最熱門網站。經調查確認，這是一個C2伺服器，正在協調數百萬個 IP 位址的惡意活動。

中國資安業者奇安信旗下的 XLab 團隊深入追查後，發現 Kimwolf 殭屍網路規模驚人。研究人員搶先註冊並接管其中一個 C2 網域，藉此觀察殭屍網路的運作方式。在三天的觀察期間內，XLab 記錄到 270 萬個不同的來源 IP 位址。12 月 4 日當天，更有 183 萬個活躍 IP 位址同時在線。

由於家用網路的 IP 位址會動態變換，XLab 保守估計 Kimwolf 殭屍網路規模約為 180 萬台 Android 裝置。研究人員警告，如此龐大的殭屍網路足以發動大規模網路攻擊，潛在破壞力不容小覷。

鎖定未認證的 Android 裝置發動攻擊

Kimwolf 主要感染部署在家用網路環境中的電視盒，攻擊目標包括 TV BOX、SuperBOX、HiDPTAndroid、P200、X96Q、XBOX、SmartTV 與 MX10 等裝置型號。這些裝置通常未經 Google 認證，缺乏 Google Play 防護機制的保障。

XLab 取得的惡意軟體樣本顯示，Kimwolf 使用 Android 原生開發套件（NDK）編譯而成。除了典型的 DDoS 攻擊功能外，還整合了多項惡意功能：

• 代理轉發功能：讓攻擊者隱藏真實位置，並繞過基於 IP 的地理限制或黑名單
• 反向 Shell 功能：使攻擊者能透過命令列存取受感染裝置，執行任意指令或部署額外的惡意軟體
• 檔案管理功能：可在裝置之間上傳、下載與修改檔案

在統計的三天期間內，Kimwolf 發出高達 17 億次 DDoS 攻擊指令。值得注意的是，發送給 Kimwolf 殭屍網路的指令中有 96.5% 與提供代理服務相關，顯示攻擊者試圖利用受感染裝置的頻寬獲利。

與Aisuru殭屍網路共享程式碼，可能來自同一駭客組織

研究人員意外發現 Kimwolf 與另一個大型殭屍網路 Aisuru 存在關聯。Aisuru 曾多次打破 DDoS 攻擊記錄，根據 Cloudflare 的數據，其單次攻擊流量達到 29.7 Tbps 的歷史紀錄。

XLab 分析指出，Kimwolf 早期直接重複使用 Aisuru 的程式碼。然而，由於 Aisuru 在資安產品中的偵測率過高，攻擊者重新設計了隱匿與規避偵測的能力。Kimwolf 採用加密技術，並在近期引入「EtherHiding」技術：利用區塊鏈隱藏或動態取得 C2 伺服器資訊。

延伸閱讀：ShadowV2殭屍網路鎖定AWS容器 史上最大22.2Tbps DDoS攻擊現蹤

12月8日，研究人員發現一個活躍的下載伺服器（93.95.112[.]59），其中的指令碼同時引用了 Kimwolf 與 Aisuru 的 APK 檔案。這兩個殭屍網路在 9 月至 11 月期間透過相同的感染指令碼傳播，共存於同一批裝置中。

研究人員指出，許多被 Cloudflare 歸因於 Aisuru 的攻擊，背後可能不只是 Aisuru 殭屍網路單獨行動。Kimwolf 可能也參與其中，甚至可能主導這些攻擊。這兩個大型殭屍網路實際上可能屬於同一個駭客組織。

XLab 透過橫向比對評估，Kimwolf 的攻擊能力接近 30 Tbps，已達到甚至超越目前已知最大殭屍網路 Aisuru 的規模。

全球感染分布廣泛，移除行動持續進行

受感染裝置廣泛分布在 222 個國家的多個時區，形成「永不休眠」的殭屍網路。其中巴西約佔 14% 的 IP 位址，印度佔 12.71%，美國 9.58%，阿根廷 7.19%，南非 3.85%，菲律賓 3.58%，墨西哥 3.07%，中國 3.04%。攻擊目標主要位於美國、中國、法國、德國與加拿大。

XLab 接管攻擊者的 C2 伺服器後，更觸發一連串後續干預行動。其他第三方處置了相關基礎設施並停止解析 DNS 查詢，迫使操作者緊急升級 C2 基礎設施。每日活躍殭屍裝置數量因此驟降至約 20 萬台。

然而 12 月 12 日，Kimwolf 再次升級基礎設施，並囂張地宣稱「我們有數百台伺服器，繼續試試看吧 LOL!」最新版本的惡意軟體已採用 EtherHiding 技術，利用以太坊命名服務(ENS)網域「pawsatyou[.]eth」從智慧合約中提取實際的 C2 IP 位址，使基礎設施更難被移除。

防護建議

XLab 研究人員呼籲製造商改善 Android 電視裝置在整個供應鏈中的安全性。針對一般使用者，建議採取以下防護措施：

• 避免使用未經認證、低價的非品牌 Android 裝置
• 設定強密碼保護裝置
• 及時安裝韌體更新
• 避免下載來源不明的應用程式
• 定期檢查家中智慧電視與機上盒是否有異常網路活動

資安專家指出，自 2016 年 Mirai 殭屍網路出現以來，大型殭屍網路主要攻擊家用寬頻路由器與攝影機等物聯網裝置。近年來，Badbox、Bigpanzi、Vo1d 與 Kimwolf 等百萬級殭屍網路陸續被揭露，顯示攻擊者已將目標轉向智慧電視與電視盒等裝置。

本文轉載自 Cybernews、TheHackerNews。