InfoQ二次元“中毒”患者？一黑客操纵僵尸网络 8 年，只为下载动漫视频

作者 | 刘燕、核子可乐
万万没想到“程序员”这么热爱二次元。在过去长达 8 年的时间里，一名黑客操纵着一个规模庞大的僵尸网络。但其目的竟然与犯罪没有半毛钱关系，你可能难以相信，这个僵尸网络存在的意义只是为了— 下载动漫视频。
为下动漫视频，黑客操纵僵尸网络长达 8 年
现在程序员群体中，喜欢二次元文化的人越来越多了。
知乎上，在一个很有意思的问题“普通的程序员和大神级的程序员有什么区别？”下方，答主 Momenta 神总结了 2 个大神级程序员选择头像的风格特质，一是二次元美少女风，二是喜欢萌宠，尤其爱猫。

本文插图
在很多程序员看来，二次元所构建的虚拟世界与它们用代码构建的世界本质上很像，二次元世界能够让他们放松的卸下在现实世界的那些枷锁，得到一种自由的释放。
你是否喜欢二次元又为它深深着迷吗？有些程序员甚至成为了二次元重度“中毒”患者。本文中讲述的一位黑客的经历可谓“神奇” ，他操纵着一个庞大的僵尸网络长达 8 年。但有意思的是，他创办并运营该僵尸网络的唯一意图，竟然只是为了接入在线网站并下载动漫视频。
动漫真爱粉无疑了。
最近八年以来，为了下动漫视频，该黑客一直悄悄将各类 D-Link NVR（网络摄像机）与 NAS（网络附加存储）设备劫持至自己的僵尸网络当中。
这套名为 Cereals 的僵尸网络于 2012 年被首次发现，其规模曾在 2015 年达到规模峰值——操控设备达 1 万台。
这套僵尸网络单纯由 D-Link NAS 与 NVR 设备组成。
不过更要命的是，规模如此可观的僵尸网络，却长期未能引起大多数网络安全公司的重视。
目前， Cereals 网络正在自行消失，这主要是由于其多年来一直劫持的 D-Link 设备开始老化，并被所有者逐步淘汰。此外， 2019 年冬季一款名为 Cr1tT0r 的勒索软件曾大范围肆虐，以“黑吃黑”的形式将不少 D-Link 系统中的 Cereals 恶意软件清理了出去——该僵尸网络的规模也随之缩水。
考虑到 Cereals 僵尸网络以及与之对应的网络设备正在消失，网络安全公司 Forcepoint 终于决定发布相关威胁报告，而不再需要担心过早曝光导致更多攻击者将矛头指向这些极易受到入侵的 D-Link 系统。
单一漏洞催生出的庞大僵尸网络
根据 Forcepoint 研究人员们的说明， Cereals 僵尸网络的运作方式相当独特，因为其在整整八年的生命周期当中仅利用到 D-Link 系统中的一项安全漏洞。
这项漏洞来自 D-Link 固件中的 SMS 通知功能，该固件广泛支持 D-Link 品牌的各类 NAS 与 NVR 产品。
凭借这一 bug ， Cereals 的作者得以将格式错误的 HTTP 请求发送至目标设备的内置服务器，并以 root 权限执行命令。
Forcepoint 表示，黑客首先在互联网上扫描存在此项漏洞的 D-Link 系统，而后利用该漏洞在目标 NAS 及 NVR 设备上安装了 Cereals 恶意软件。

本文插图
别看只利用到了一项漏洞，但 Cereals 僵尸网络本身还是相当先进的。 Cereals 中包含多达四种后门机制以持续访问受感染设备，不断更新后门以防止受感染设备被其他攻击者所劫持，并通过 12 个较小规模的子网对受感染的肉鸡设备进行管理。
非专业项目？
更有趣的是，尽管 Cereals 本身技术水平颇高，但 Forcepoint 仍然认为该僵尸网络可能只是一个因为个人爱好而衍生的非专业项目。
理由如下：
首先，这套僵尸网络在长达八年的生命周期当中仅利用到单一漏洞，说明攻击者并不打算费力将其扩展到 D-Link NAS 及 NVR 以外的系统当中。