DDoS攻击还在继续,这次的肉鸡居然是它!
小刀网络 2023-08-08 07:58:23 0

还记得一年前让美国大面积网络瘫痪的“黑色星期五”么,当时的美国正沉醉在两位总统候选人的精彩辩论赛中,一觉起来, Twitter、亚马逊、PayPal 等热门网站就“群体抽风”没法登陆了。事后确认,造成美国这次大面积断网的主要缘由是美国域名解析服务提供商Dyn公司遭到强力DDoS攻击,而攻击流量来源之一是感染了Mirai僵尸的摄像头装备。这是第一次大范围的物联网装备组成的僵尸网络发起的DDoS攻击,但是攻击并没有停下来……

今年8月,绿盟科技DDoS态势感知平台监控到某客户的网络带宽流量存在异常,经分析确认,这是一次有预谋的DDoS攻击。通过对攻击源IP进行溯源分析,绿盟科技发现本次攻击仍然利用了物联网装备,区别于美国断网,这次的攻击对象竟然是机顶盒,没错,就是我们几近每天都在看的有线电视机顶盒!

这次的歹意软件被叫做Rowdy。

进一步取证分析后发现,Rowdy的bot上线方式居然与造成美国网络瘫痪的Mirai相同, DDos攻击代码也基本一致。基于这些特点,可以肯定,Rowdy样本是Mirai物联网歹意软件的变种,虽然入侵方式一样是破解物联网装备弱口令,但这一次,Rowdy假装得更好,不但采取加壳措施进行自我保护,还采取一定的算法隐藏控制服务器地址。

另据绿盟科技要挟情报中心(NTI)发布的《2017上半年DDoS与Web利用攻击态势报告》,曾指出,2016下半年开始火遍全球的Mirai,照旧活跃,新变种在不断拓展能力,加入了比特币发掘组件。这一次,Mirai歹意软件经过改造后,实现了从摄像头等视频监控系统向机顶盒物联网装备的逾越,这无疑大幅度扩大了其传播范围。

绿盟科技专家对Rowdy物联网歹意软件的传播进行了跟踪分析后还发现,Rowdy在短短数月时间已构成了范围不小的Bot僵尸网络,感染的装备触及国内5家厂商,但是,国内的机顶盒使用量有多大呢?

据国家统计局2月份发布的《中华人民共和国2016年国民经济和社会发展统计公报》显示,机顶盒装备实际用户到达2.23亿户,同时据奥维云网《2017年中OTT运营大数据蓝皮书》显示,机顶盒装备实际用户到达2.4亿台。机顶盒如此庞大的网络,一旦被Rowdy快速渗透,后果不堪假想。

绿盟科技专家指出,Rowdy僵尸网络所控制的机顶盒数量如果到达一定量级,它所发动的DDoS攻击能量将远超Mirai僵尸网络,毫无疑问将对互联网服务造成重大破坏。

  • 传播机制

Rowdy僵尸通过自动化扫描方式传播感染,构成全部僵尸网络。首先,会对目标装备进行扫描,利用内置用户名/口令字典,尝试登录Telnet服务。然后,便通过装备的busybox工具下载并履行歹意病毒程序。

Rowdy样本支持多个平台,包括x86、ARM、MIPS。僵尸网络能发动多种DDoS攻击类型,包括 HTTP Flood、SYN Flood、UDP Flood、DNS Flood、ACK Flood、VSE Flood、GRE IP Flood。组成僵尸网络的装备均为上网出口装备,因此该僵尸网络具有发起大范围、大流量DDOS攻击的能力。

  • 影响范围

在跟踪调查中还发现,Rowdy-Bot僵尸网络已开始向外发起DDoS攻击,国内受控制僵尸主机已达2000多台,东南部沿海地区是重灾区。

在绿盟要挟情报中心NTI通过对Rowdy僵尸网络的C&C控制服务器溯源发现,IP地址位置位于荷兰阿姆斯特丹,而其控制的僵尸主机却全部在国内。

通过对历史数据回溯,可以看到,从8月初到9月初,近一个月内,随着被感染的装备增加,僵尸网络逐步扩大,8月20日峰值到达2700多台,而随着后续僵尸网络调查深入和清算,僵尸网络又迅速收敛,分散速度得到有效抑制,被感染装备数量开始降落。

  • 应对措施

为了避免Rowdy样本在网络中延续分散造成影响,和僵尸网络对外发起DDoS攻击消耗业务带宽,绿盟科技建议尽快对本地网络终真个Rowdy僵尸主机进行检测和清算,并修改装备口令。一旦遭受攻击,可以通过部署本地或云真个抗谢绝服务系统进行流量清洗。

另外,绿盟科技DDoS防护专家指出有效防护DDoS攻击需要斟酌以下三部份,并根据实际攻击场景进行组合:

虽然Rowdy僵尸网络被遏制了,但是类似的物联网僵尸网络一定会再次出现。物联网装备,包括摄像头、路由器、智能电视、机顶盒、智能家居和可穿着装备,只要接入互联网,就有可能成为攻击者的潜伏目标。攻击者会利用存在漏洞的物联网装备,特别是缺省弱口令的装备,组成庞大的僵尸网络,为其发动大范围DDoS攻击做准备,要挟互联网安全。

所以,使用物联网装备的同志们啊,为了不让你家的智能装备沦为“肉鸡”,一定要改密码!

标签: 僵尸装备
相关信息推荐