网络安全研究人员近日发现名为HTTPBot的新型僵尸网络恶意软件,主要针对中国游戏行业、科技公司和教育机构发起攻击。
攻击特征与演变趋势
绿盟科技在本周发布的报告中指出:"过去几个月该僵尸网络持续扩张,不断利用受感染设备发动外部攻击。通过采用高度仿真的HTTP Flood攻击和动态特征混淆技术,它能绕过传统基于规则的检测机制。"该恶意软件于2024年8月首次被发现,因其使用HTTP协议发起分布式拒绝服务(DDoS)攻击而得名。
值得注意的是,这款基于Windows平台的僵尸网络木马专门针对高价值业务接口(如游戏登录和支付系统)实施精确打击。绿盟科技表示:"这种'手术刀式'精准攻击对依赖实时交互的行业构成系统性威胁,标志着DDoS攻击从'无差别流量压制'向'高精度业务绞杀'的模式转变。"
攻击规模与技术细节
自2025年4月以来,HTTPBot已发出不少于200次攻击指令,目标涵盖中国游戏行业、科技公司、教育机构和旅游门户网站。该恶意软件运行后会隐藏图形用户界面(GUI),规避用户和安全工具的进程监控,并通过非法修改Windows注册表实现开机自启。
随后,僵尸网络会连接命令控制(C2)服务器,接收指令对特定目标发起HTTP洪水攻击。其支持多种攻击模块:
-
BrowserAttack:利用隐藏的Google Chrome实例模拟合法流量,同时耗尽服务器资源
-
HttpAutoAttack:采用基于Cookie的方法精确模拟合法会话
-
HttpFpDlAttack:使用HTTP/2协议,通过强制服务器返回大响应提升CPU负载
-
WebSocketAttack:利用"ws://"和"wss://"协议建立WebSocket连接
-
PostAttack:强制使用HTTP POST方法实施攻击
-
CookieAttack:在BrowserAttack基础上增加Cookie处理流程
平台特异性与防御规避
"DDoS僵尸网络家族通常集中在Linux和IoT平台,但HTTPBot专门针对Windows平台。通过深度模拟协议层和模仿合法浏览器行为,它能绕过依赖协议完整性的防御系统,并通过随机URL路径和Cookie补充机制持续占用服务器会话资源,而非依赖单纯的流量压制。"
| 江苏国骏可以通过安全监测与响应服务,帮助客户实时监测并快速应对类似HTTPBot僵尸网络的DDoS攻击,结合安全防护与加固及安全网关等产品,构建多层次防御体系,保障业务连续性。
具体内容详情可以参考下方第一篇推荐文章中的第四板块内容和第二篇文章中的第二板块,有需要可以联系我们。咨询热线:400-6776-989 |
推荐阅读
1
2
原文始发于微信公众号(信息安全大事件):HTTPBot新型僵尸网络对游戏和科技行业发起200余次精准DDoS攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论