RustDuck:僵尸网络规模仍然很小,但工程设计计划不断发展

RustDuck 是一个小型的、不断发展的 DDoS 僵尸网络,正在迁移到 Rust。它使用先进的加密、反分析规避,并利用已知的物联网缺陷。自 2026 年 2 月以来,奇安信 XLab 的研究人员一直在跟踪一种名为 RustDuck 的新恶意软件家族,该恶意软件家族劫持路由器、摄像头、Android 机顶盒和暴露的服务器,然后利用它们向目标发送垃圾邮件 [...]

来源:Security Affairs _恶意软件

RustDuck:僵尸网络规模仍然很小,但工程设计计划不断发展

RustDuck 是一个小型的、不断发展的 DDoS 僵尸网络,正在迁移到 Rust。它使用先进的加密、反分析规避,并利用已知的物联网缺陷。

自 2026 年 2 月以来,奇安信 XLab 的研究人员一直在追踪一种名为 RustDuck 的新恶意软件家族,该恶意软件家族会劫持路由器、摄像头、Android 机顶盒和暴露的服务器,然后利用它们向目标发送垃圾流量,直至其离线。它并不是目前最大的 DDoS 僵尸网络,但这几乎不是重点。

“XLab 标记它的原因是它变化的速度。代码库正在积极从 C 迁移到 Rust,每个新变体都带来了更复杂的加密、规避和通信设计。”阅读 XLab 发布的报告。

“虽然该家族目前在DDoS攻击方面的活跃程度和影响力还无法与一些主流僵尸网络相媲美,但其技术演进速度值得高度关注。研究发现,该家族正在经历从C到Rust的全面技术转型,其反防御和流量加密技术也在快速迭代。”

RustDuck 不依赖于单个入口点。它将 Telnet 和 SSH 接口上的弱密码和默认密码与大量已知设备漏洞结合在一起。目标硬件包括 Android ADB 接口、TVT 的 DVR 和摄像头,以及锐捷网络、TP-Link 和中兴通讯的网络设备。在软件方面,它追求暴露的 ThinkPHP 安装、Jenkins 服务器和 Hadoop YARN 端点,这将其范围从廉价的家用硬件扩展到服务器环境。

核心模块是 Rust 重写发生的地方,Rust 二进制文件确实比多年来为设备恶意软件提供支持的 C 语言更难分析。这不是一个小操作细节。这意味着较新的样本可以抵抗自 Mirai 以来分析师在物联网恶意软件上使用的标准工具包。