2022年9月,Lumen Black Lotus Labs首次曝光Chaos时,它还是个只会挖矿和发动DDoS攻击的"工具马"。三年过去,这个基于Go语言开发的跨平台恶意软件已经完成了两次关键进化——最新变种甚至学会了把自己变成SOCKS代理服务器,让被感染设备成为黑客的流量中转站。
Darktrace上个月在蜜罐网络里捕获了这次攻击。攻击者盯上的是一个故意配置错误的Hadoop实例,通过HTTP请求创建新应用,嵌入shell命令从"pan.tenire[.]com"下载64位ELF二进制文件,chmod 777赋予全部权限后执行并删除痕迹。整个入侵流程不超过30秒, forensic取证难度直接拉满。
这个域名本身就有故事。
Seqrite Labs在2025年10月(注:原文如此,应为2024年或笔误)追踪的"丝绸诱饵"行动中,同一个域名被用于投递ValleyRAT木马和钓鱼文档。行动代号Operation Silk Lure,幕后是中国网络犯罪组织Silver Fox。Chaos与Silver Fox的基础设施重叠,让溯源指向变得微妙——是同一批人换了工具,还是工具在地下市场流通?
功能做减法,威胁做乘法
新变种最反直觉的地方在于:它砍掉了SSH暴力传播和路由器漏洞利用两大"经典技能",换成了SOCKS代理功能。这种取舍像极了产品经理的迭代逻辑——不是功能越多越好,而是精准匹配场景需求。
SOCKS代理的价值在于流量伪装。被感染的云服务器成为黑客的"肉鸡跳板",所有恶意流量都经过这层中转,溯源时只能追到被劫持的云端IP,真正的C2服务器藏在更深处。对于防御方,这意味着传统的IP黑名单策略基本失效。
Darktrace的分析指出,此前被认为从Kaiji继承的多个函数也被改写。威胁行为者要么彻底重写了代码,要么进行了大规模重构。这种工程投入说明Chaos不是被遗弃的遗产项目,而是持续维护的活跃武器。
云配置错误:被低估的 attack surface
Chaos的进化轨迹映射出一个趋势:攻击者的注意力正从边缘设备向云原生环境迁移。路由器、IoT设备虽然数量庞大,但算力有限;云服务器配置错误则意味着直接获得一台可弹性扩展的 compute node。
Hadoop的远程代码执行漏洞只是入口之一。Docker守护进程暴露、Kubernetes API server未授权访问、AWS S3 bucket公开——这些"低级错误"在云迁移浪潮中反复出现。Chaos新变种的针对性调整,本质是攻击者对市场机会的响应。
被入侵的云端实例往往具备高带宽、稳定在线、合法IP信誉等优势,比传统僵尸网络节点更适合作为代理层。当企业还在纠结零信任架构的落地成本时,黑客已经用SOCKS代理实现了低成本的流量隐匿。
归属与归因的灰色地带
代码中的中文字符、China-based基础设施、与Silver Fox的域名重叠——这些线索指向中国起源,但远不足以构成司法级别的归因。地下工具的分发、基础设施的租赁、甚至故意的 false flag,都让溯源变成概率游戏。
更务实的视角是关注TTPs(战术、技术和程序)。Chaos新变种展现出的工程能力、对云环境的理解、以及快速迭代的节奏,反映了威胁行为者的专业化程度。这不是脚本小子的随手之作,而是有组织的技术投入。
对于安全团队,这意味着防御策略需要同步升级。云配置扫描、运行时行为监控、东西向流量分析——这些在On-premise时代被视为"过度工程"的能力,在混合云架构下成为刚需。
Darktrace的报告没有给出感染规模的估算,但强调该变种已在其全球蜜罐网络中形成可观测的活动模式。当攻击者开始用云服务器做代理层,传统的边界防御模型还剩多少有效性?你的Hadoop配置清单,上次审计是什么时候?
热门跟贴