作者 | 刘燕、核子可乐

万万没想到“程序员”这么热爱二次元。在已往长达 8 年的时间里，一名黑客操作着一个规模重大的僵尸网络。但其目的竟然与犯罪没有半毛钱关系，你可能难以相信，这个僵尸网络存在的意义只是为了― 下载动漫视频。

为下动漫视频，黑客操作僵尸网络长达 8 年

现在程序员群体中，喜欢二次元文化的人越来越多了。

知乎上，在一个很有意思的问题“通俗的程序员和大神级的程序员有什么区别？”下方，答主 Momenta 神总结了 2 个大神级程序员选择头像的气概特质，一是二次元美少女风，二是喜欢萌宠，尤其爱猫。

在许多程序员看来，二次元所构建的虚拟天下与它们用代码构建的天下本质上很像，二次元天下能够让他们放松的卸下在现实天下的那些枷锁，获得一种自由的释放。

你是否喜欢二次元又为它深深着迷吗？有些程序员甚至成为了二次元重度“中毒”患者。本文中讲述的一位黑客的履历可谓“神奇”，他操作着一个重大的僵尸网络长达 8 年。但有意思的是，他开办并运营该僵尸网络的唯一意图，竟然只是为了接入在线网站并下载动漫视频。

动漫真爱粉无疑了。

最近八年以来，为了下动漫视频，该黑客 一直悄悄将各种 D-Link NVR（网络摄像机）与 NAS（网络附加存储）装备挟制至自己的僵尸网络当中。

这套名为 Cereals 的僵尸网络于 2012 年被首次发现，其规模曾在 2015 年到达规模峰值――操控装备达 1 万台。

这套僵尸网络单纯由 D-Link NAS 与 NVR 装备组成。

不外更要命的是，规模云云可观的僵尸网络，却历久未能引起大多数网络安全公司的重视。

现在，Cereals 网络正在自行消逝，这主要是由于其多年来一直挟制的 D-Link 装备最先老化，并被所有者逐步镌汰。此外，2019 年冬季一款名为 Cr1tT0r 的勒索软件曾大范围肆虐，以“黑吃黑”的形式将不少 D-Link 系统中的 Cereals 恶意软件清理了出去――该僵尸网络的规模也随之缩水。

考虑到 Cereals 僵尸网络以及与之对应的网络装备正在消逝，网络安全公司 Forcepoint 终于决议公布相关威胁讲述，而不再需要忧郁过早曝光导致更多攻击者将矛头指向这些极易受到入侵的 D-Link 系统。

单一破绽催生出的重大僵尸网络

凭据 Forcepoint 研究人员们的说明，Cereals 僵尸网络的运作方式相当怪异，由于其在整整八年的生命周期当中仅行使到 D-Link 系统中的一项安全破绽。

这项破绽来自 D-Link 固件中的 SMS 通知功效，该固件普遍支持 D-Link 品牌的各种 NAS 与 NVR 产物。

依附这一 bug，Cereals 的作者得以将花样错误的 HTTP 请求发送至目的装备的内置服务器，并以 root 权限执行命令。

Forcepoint 示意，黑客首先在互联网上扫描存在此项破绽的 D-Link 系统，尔后行使该破绽在目的 NAS 及 NVR 装备上安装了 Cereals 恶意软件。

别看只行使到了一项破绽，但 Cereals 僵尸网络自己照样相当先进的。Cereals 中包罗多达四种后门机制以连续接见受熏染装备，不断更新后门以防止受熏染装备被其他攻击者所挟制，并通过 12 个较小规模的子网对受熏染的肉鸡装备举行治理。

非专业项目？

更有趣的是，只管 Cereals 自己技术水平颇高，但 Forcepoint 仍然以为该僵尸网络可能只是一个由于个人爱好而衍生的非专业项目。

理由如下：

首先，这套僵尸网络在长达八年的生命周期当中仅行使到单一破绽，说明攻击者并不计划艰苦将其扩展到 D-Link NAS 及 NVR 以外的系统当中。

第二，该僵尸网络的存在目的只有一个――从互联网上下载动漫视频。Forcepoint 公司指出，该僵尸网络从未执行过任何 DDoS 攻击，也没有证据解释 Cereals 僵尸网络曾试图接见保存在 NAS 与 NVR 装备上的用户数据。

凭据现在掌握的情报来看，该僵尸网络的作者很可能是一位名叫 Stefan 的德国人，其缔造 Cereals 的初衷与恶意犯罪毫无关系。从头至尾，Cereals 存在的意义都仅仅只是下载动漫视频。

真的不是很懂你们二次元……

参考阅读：

https://www.zdnet.com/article/for-8-years-a-hacker-operated-a-massive-iot-botnet-just-to-download-anime-videos/

点个在看少个 bug