Flodrix 機器人網絡的新挑戰
Flodrix 機器人網絡的新變種已現身,針對安全性不足的開源工具展開攻擊,展現出異常的隱蔽性和多樣性。這款最新的 Flodrix 變種仍然遵循以往的原則:尋找有漏洞的軟體,利用其進行遠端存取,然後將設備默默納入全球機器人網絡。然而,其工具組正在迅速進化。我們現在看到的 DDoS 惡意程式已經配備加密的 C2 通道、自動更新系統以及跨架構的負載,設計目的是擴大規模。
Flodrix 的最新攻擊目標
這次的攻擊活動鎖定了 Langflow,一款基於 Python 的平台,用於構建 LLM 驅動的應用程式。它利用的漏洞 CVE-2025-3248,允許未經身份驗證的攻擊者通過調試 API 執行任意代碼,這是一個簡單的錯誤配置卻造成了巨大的後果。
Flodrix 如何發動攻擊?
感染鏈從網際網路範圍內掃描開始,目標是那些暴露開發者端點的 Langflow 實例。攻擊者利用公眾可獲得的攻擊方法——通常在 CVE 公佈後數天內就在 GitHub 上分享——來發送精心設計的負載,利用 Python 的抽象語法樹解析器,從而實現完整的代碼執行。之後,下載器腳本會連接到利用鏈中硬編碼的 IP 位址,這會抓取一個根據受害者架構設計的編譯二進制文件,無論是 ARM、MIPS 還是 x86。一旦執行,這個負載就會安裝 Flodrix 機器人網絡客戶端,並開始其隱蔽的運作。
Flodrix 變種的獨特之處
多協議 C2 通訊 Flodrix 與較為簡單的機器人網絡不同,通過 TCP 和 UDP 協議進行通信,甚至包括通過 Tor 網路路由的可選支持。這使得檢測更加複雜,因為流量可能看似無害或繞過標準防火牆規則。
加密負載與混淆 二進制文件中的字符串是經過 XOR 加密的(密鑰:qE6MGAbI),隱藏了配置數據,如 C2 IP 和攻擊指令。基本的靜態分析無法揭示太多信息。
進程枚舉與針對性攻擊 一旦激活,Flodrix 會瀏覽 /proc 以識別正在運行的進程和服務。它可能會終止已知的守護程序或資源密集型進程,並通過加密的消息格式(KILLDETAIL|…)將此信息報告給其控制器。
自刪除與逃避 如果未提供有效參數,惡意程式可以在執行後自動刪除自身,從而消除受感染系統中的證據。它還會清除安裝痕跡、日誌條目和臨時文件。
DDoS 攻擊模式 它支持多種加密的 DDoS 向量,包括:
- tcpraw
- udpplain
- handshake
- tcplegit
- ts3(基於 TeamSpeak 的泛洪) 每種模式針對不同的層和協議,使攻擊者能夠繞過傳統的過濾方法。
Flodrix 的目標
根據 Censys 的數據,目前大多數感染發生在亞洲和北美,超過 700 個 IP 被標記為受感染,其中許多是 IoT 設備和運行 Langflow 脆弱配置或暴露的容器服務的嵌入式系統。這個機器人網絡似乎對架構不敏感。其二進制文件是為多種芯片組編譯的,包括路由器、DVR 和 NAS 設備中發現的 ARM 變體。這明顯顯示出攻擊者尋求廣泛覆蓋,而不僅僅限於傳統的伺服器。
Flodrix 在更大範疇中的角色
如果原始的 Flodrix 版本是一個基本的 DDoS 工具,那麼這個變種則像是一個成熟的平台。它從早期的家族,如 Moobot 和 LeetHozer 中借鑒了想法,同時在混淆、模組化和適應性方面有所改善。我們看到機器人網絡設計的明顯轉變:
- 更少的可見性:透過加密流量和隱蔽執行。
- 更多的自動化:感染、更新和執行步驟緊密腳本化。
- 更大的覆蓋範圍:從家用路由器到公共雲實例的二進制文件構建。