Windows生态高危预警：新型僵尸网络家族HTTPBot正在大肆扩张

2025年4月份，绿盟科技伏影实验室依托全球威胁狩猎系统监测到一个基于Go语言开发的新型僵尸网络木马活跃度激增，大肆扩张。鉴于其内置的多种DDoS攻击方式均为http类型，伏影实验室将其命名为HTTPBot。HTTPBot僵尸网络家族最早于2024年8月份出现在我们的监测视野，数月间，该家族大肆扩张，持续操控所感染设备对外发起攻击活动。监测数据显示，其攻击目标主要集中在国内的游戏行业，此外，部分科技公司和教育行业也有受到波及。该家族攻击目标针对性极强，攻击者采用分时多阶段攻击策略，对选定目标实施持续性饱和攻击。

HTTPBot僵尸网络木马在技术实现上通过“攻击ID”实现对攻击进程的精准启停，同时内置了多种创新性较高的DDoS攻击方式，通过高度仿真的HTTP Flood攻击及动态特征混淆技术，规避传统规则引擎检测，包括但不限于如下绕过检测机制：

• Cookie回填机制

• 随机化http请求的 UA 与头部

• 真实浏览器调用

• 随机化URL路径

• 动态速率控制

• 状态码重试机制

图 2.1 攻击活动

图 2.2 攻击方式

图  3.1 隐藏窗口

图 3.2 自启动

图 3.3 通过“攻击ID”实现对攻击进程的精准启停

• 攻击方式（如HTTP_FP 表示http flood）。

• 攻击ID，每条指令都会有一个“攻击ID”，如：“d5713a6c-7da2-4a94-9b0f-bec05d2a6b0f”。

• 攻击目标URL，其中可能包含动态路径，意图通过随机字符串绕过静态URL检测机制。

• 请求方法（比如GET）。

• Base64解码的http请求头部信息，如UserAgent等）

• 攻击时长。

图 3.4 攻击效果示例

图 3.5 环境判断

http flood攻击通过大量僵尸主机向目标服务器发起大量的 HTTP报文请求，请求涉及数据库操作的URI（Universal Resource Identifier）或其他消耗系统资源的URI，并且攻击在HTTP层发起，极力模仿正常用户的网页请求行为，与网站业务紧密相关。最常见的防御思路如下：

• 基于固定特征：抗D设备依据请求流量的URI、UserAgent等固定特征来识别异常流量。比如：当指定时间内，某个URI的访问流量超过一定阈值时，AntiDDoS设备启动针对源IP的URI行为监测。当这个源IP地址对某个URI的访问数与总访问数的比例超过阈值时，则将该源IP地址作为攻击源并加入动态黑名单。

• 基于重定向机制：僵尸工具没有实现完整的HTTP协议栈，不支持自动重定向，无法通过认证。而浏览器支持自动重定向，可以通过认证。

• 基于cookie机制：防御HTTP POST Flood攻击时，抗D设备代替服务器向客户端响应。状态码（针对POST请求方法的重定向），同时向客户端的浏览器注入Cookie，客户端再次发起请求时会在HTTP报头上附加Cookie信息，抗D设备通过验证Cookie信息的真实性来验证客户端。

• 基于验证码：有些僵尸工具实现了重定向功能，或者攻击过程中使用的免费代理支持重定向功能，导致基本模式的防御失效，通过推送验证码的方式可以避免此类防御失效。此时通过让用户输入验证码，可以判断HTTP访问是否由真实的用户发起，而不是僵尸工具发起的访问。因为僵尸网络攻击依靠自动植入PC的僵尸工具发起，无法自动响应随机变化的验证码，故可以有效地防御攻击。

图 3.6 检查是否为TLS

此外，该攻击方式还具备如下特点：

• 重试机制。若连接失败，休眠 100ms后重试，避免频繁触发防火墙规则。

• 随机化UA与头部。UserAgent、Referer及诸多头部信息均采用随机化策略，比如构建UserAgent时从预定义列表随机选择 UA，并采取随机化策略。

• 动态速率控制。每次攻击后休眠一定时间，动态调节攻击频率。

图 3.7 启动浏览器进程

其具备如下特点：

• 真实浏览器调用：通过启动合法浏览器进程（`C:WindowsTempchrome-winpp.exe`），利用浏览器引擎发起请求，流量特征与真实用户完全一致。

• 隐藏窗口模式：隐藏浏览器窗口，避免触发桌面环境告警。

• 自动化控制：通过与浏览器子进程通信，实现远程控制。

• 动态调整：通过动态构造各参数，规避静态特征检测。

图 3.8 Cookie自动化处理流程

此外还具备如下特点：

• 状态码重试机制。若响应状态码为 `429`（Too Many Requests）或 `405`（Method Not Allowed），触发休眠（`time_Sleep` 705ms），绕过服务端限速策略。

• HTTP/HTTPS动态支持。通过目标URL的协议类型自动选择明文HTTP或加密HTTPS。

• 随机化 UA 与头部。从预定义列表随机选择UA，并实现随机化，动态拼接伪造的Referer。

图 3.9 isSaveResponse置为1

其还具备如下特点：

• 自动重定向与请求重试机制：设置最多5次重定向。对 `429`（Too Many Requests）和 `405`（Method Not Allowed）状态码触发重试，并添加705ms延迟，模拟人工操作。

• 多协议支持：动态处理HTTP/HTTPS，自动管理TLS握手。

• 路径与数据随机化。动态替换URL中的占位符，并生成随机请求体。

• 随机化 UA。动态选择浏览器指纹，或从预定义列表随机选择UA。

• 自动Cookie管理。解析响应中的 `Set-Cookie`（如 `guardret`），构造合法Cookie并回注到后续请求。

• 使用非标准密码套件， 跳过证书验证。

• 随机化请求间隔，避免固定频率触发速率限制。

• 动态生成 `guardret` Cookie参数，绕过基于静态Session ID的拦截。

图 3.10 WebSocket攻击

此外还具备如下特点：

• UA随机化与头部混淆：随机选择UA。

• 动态生成头部键值对，打乱头部顺序。

• 随机载荷：随机内容作为消息内容，支持动态占位符替换，生成随机或攻击特定载荷。

• 握手请求模拟。WebSocket握手阶段伪装成正常HTTP请求，包含合法的 `Upgrade: websocket` 和 `Connection: Upgrade` 头部。

• 消息间隔控制。通过动态控制消息发送间隔，模拟人类操作节奏（如每秒1-5条），规避频次检测。

图 3.11 使用HTTP POST方法

其具备如下特点：

• Content-Type动态管理：动态设置Content-Type，（如 `application/json` 或 `multipart/form-data`），匹配目标接口规范。

• Cookie回填机制：解析响应中的 `Set-Cookie`，自动管理会话。

• UA深度伪装与头部顺序随机化：从预定义UA池中随机选择UA，并通过随机轮换来模拟多浏览器版本。遍历头部映射，打乱注入顺序（如 `Header-Order: Host,User-Agent,Accept`），绕过基于固定顺序的规则。

图 3.12 Cookie处理流程

该攻击方式具备如下特点：

• 调用浏览器：调用隐藏窗口的Chrome进程（`C:WindowsTempchrome-winpp.exe`），通过浏览器引擎发起请求，流量特征与真实用户完全一致。

• 动态下发攻击指令（如URL、速率参数)。

• 智能占位符替换：动态替换URL中的`%%RAND%%`等标记，生成随机路径（如`/api/%%RAND%%/submit`）。

• 自适应重试机制：对`429`（Too Many Requests）和`405`（Method Not Allowed）触发705ms休眠，模拟人工操作。

463f7db6bf1116954fceaa3141065592726eaa2e9185ed5f36d92cfbad7adbe8

jjj.jjycc.cc

104.233.144.17:55888