8月24日晚，《黑神话：悟空》发行平台Steam因遭到大规模DDoS攻击突然崩溃，奇安信XLab实验室第一时间公布了近60个僵尸网络主控、一夜发起28万次攻击、暴涨2万多倍的事件解读。8月28日，奇安信XLab实验室基于大网威胁感知系统，继续对外公布本次DDoS攻击的更多技术细节，报告摘要如下：

　　1、此次攻击瞄准全球各时区玩家在线个批次、追着时区打，分别是东半球周六中午、东半球周六晚间、西半球周六晚间和欧洲地区周日晚间、都是游戏玩家在线、《黑神话：悟空》发行平台是主要攻击对象。《黑神话：悟空》全球发行平台Steam（Value公司）和完美世界002624）（Steam中国代理）最近一周被DDoS攻击次数排名第一、第二，远超其它被攻击企业。

　　3、AISURU僵尸网络是主要涉事僵尸网络。该僵尸网络声称拥有超过30000个bot节点，攻击能力在1.3-2T左右，这种规模的DDoS攻击可以轻松压垮大部分互联网服务。

　　8月24日晚，Steam平台突然崩溃，国内外玩家纷纷反馈无法登录。许多玩家猜测崩溃是由于《黑神话：悟空》在线人数过多导致。然而，根据完美世界竞技平台的公告，此次Steam崩溃实际上是因为遭受了大规模DDoS攻击。

　　XLAB大网威胁感知系统对最近的DDoS攻击事件进行了深入观察。我们注意到，此次攻击涉及了近60个僵尸网络主控节点，这一规模远超过常规僵尸网络的控制范围。这些主控节点协同指挥了大量被感染的bots，以波次方式发起了攻击。

　　攻击的目标包括Steam在全球13个地区的服务器IP，包括中国、美国、新加坡、瑞典、德国、奥地利、西班牙、英国、日本、韩国、澳大利亚、智利和荷兰。值得注意的是，除了Steam自身的服务器外，国内完美世界代理的Steam服务器也被列为攻击目标。总计，有107个服务器IP遭到了攻击。

　　攻击行动主要分为四个波次，攻击者似乎有意选择在各个时区的游戏玩家在线高峰时段发起攻击，以实现最大的破坏效果。

　　从攻击的时间选择、地域分布，以及同时针对国内外Steam服务器的策略来看，攻击者的目的显然是在重点扰乱中国市场的同时，在全球范围内对Steam平台的正常运营造成全面干扰。这种有组织的攻击行为表明了攻击者在策略上的计划性和对目标的明确针对性。

　　此次攻击事件主要分4个批次、追着时区打。分别是东半球周六中午、东半球周六晚间、西半球周六晚间和欧洲地区周日晚间、都是游戏玩家在线的高峰时段。具体攻击时段和地区如下图：（图表说明：横坐标为攻击时间、纵坐标为被攻击地区、色块表示该地区被攻击的服务器数量）

　　北京24日21点前后，第二波攻击，影响13个地区Steam服务器，断断续续攻击将近5小时（东半球周六晚间）

　　此次攻击事件我们一共观察到了28万条针对Steam平台的攻击指令，根据我们的长期观察，作为知名的游戏平台，Steam的攻击日常发生，但往往都是零散的服务器被小规模的攻击，攻击指令数目几次到几十次不等。此次事件攻击指令直接暴涨2万多倍, 峰值时攻击指令25万，这种涨幅是非常罕见的(见下图，攻击指令趋势图，巨大的尖峰）。Steam全球各地区机房服务器被轮着打，包括国内完美世界代理的Steam服务器也一并被扒出来攻击，《黑神话：悟空》上线之前我们从没有发现完美世界Steam服务器遭遇过DDoS攻击。且攻击时长多达几个小时，专挑各地区玩家在线高峰期攻击。这是极其少见的。

　　结合最近火出圈的国产游戏《黑神话：悟空》在Steam平台上线，包括主要为国内游戏玩家服务的完美世界Steam服务器也遭到攻击，《黑神话：悟空》上线之前我们从没有见过完美世界Steam服务器遭遇过DDoS攻击。又是周末夜晚，广大游戏玩家在线的高峰时期，Steam平台遭遇如此大规模的DDoS攻击，很难让人不联想此次攻击事件不是针对国产3A游戏大作《黑神话：悟空》。

　　在我们视野中多个僵尸网络参与此次攻击，其中的的主力是自称AISURU僵尸网络，在其telegram频道中声称拥有超过30000个bot节点，攻击能力在1.3 - 2T左右。

　　此外该频道还提到了国外厂商GSL的一篇Blog，Blog声称是有史以来向公众报告的最大规模的攻击，我们也在该僵尸网络的攻击日志中找到相同时间节点发出的攻击：

　　攻击规模：1.3 Tbps 到 2 Tbps 的攻击流量已经非常巨大，足以造成严重的分布式拒绝服务攻击（DDoS），这类攻击会使目标服务器、网络或应用程序瘫痪。一般来说，传统的企业网络带宽远低于这个水平，因此这样的攻击会对目标产生毁灭性影响。

　　节点数量：30000个节点意味着有25000台受控设备参与了攻击。每个节点可能会贡献一定的带宽来发起攻击，集合起来的总攻击流量达到1.3 Tbps至2 Tbps。

　　实际影响：这种规模的DDoS攻击可以轻松压垮大部分互联网服务，除非被攻击方拥有非常强大的防护措施和足够的带宽冗余。这类攻击常见于高调的黑客活动，针对大型企业、政府机构或关键基础设施。

　　相信读者现在已经有了一定的认识，总体来说，像AISURU这样的僵尸网络是一种非常强大的网络武器，能够通过数量巨大的设备同时发起攻击，使得几乎任何没有特别强大防护措施的在线服务都可能被击垮自动代理ip切换什么意思。这种攻击不仅对目标造成直接影响，还可能影响到大量依赖这些服务的普通用户，正如此次攻击，让大量玩家无法登录平台，畅玩悟空，喊出那一句“广智救我”。

　　正所谓罗马并非一天建成，AISURU僵尸网络也有自身的发展历程。其实我们在2023年10月就捕获到该僵尸网络的样本，不过它在短暂运营之后便销声匿迹，直到今天5月初以NAKOTNE的名字再次进入我们视野，随后进入高速发展期，先后投入十几个Nday漏洞组建网络，最终进化为今天的AISURA。

　　AISURA的在战术、技术层面都和2022年我们发现并命名的僵尸网络Fodcha有着千丝万缕的关系。Fodcha因参与攻击健康码、Navicat等一系列有影响力的事件而在安全圈内臭名昭著，被我们戏称为“DDoS狂魔”。最终，在我们一系列的曝光和打击下，它被迫关停。

　　另外样本中的C2域名foxnointel.ru，实在让我们有些忍俊不禁。读者或许会问，笑点何在呢？请容许我们解释一下黑客的幽默，在X平台上有一个非常活跃的安全研究员，ID是Fox_threatintel，他几乎每天都会分享一些威胁情报（threatintel）；AISURA使用C2域名foxnointel，即fox no intel，“嘲讽”他其实根本没有情报。

　　接着我们来看技术层面，AISURA在代码结构上保留了部分Fodcha的风格，比如使用和Fodcha类似的switch-case进行各个阶段的处理；在基础设施投入上延续了Fodcha的“危机意识”，即将C2映射到20多个IP，而且分布在美国、英国、韩国、日本、俄罗期多个国家，同时分散在Azure、Linode、Vdsina、Google等多个平台，极大的增加了处置的难度。AISURA主控地理位置分布如下：

　　最后引用一句伟人的诗作为本文的结束，金猴奋起千钧棒，玉宇澄清万里埃，祝福悟空，祝福中国的游戏产业。