-
-
Radware深度解读复杂的DDoS攻击机器人程序
-
发表于: 2015-8-19 21:35 1964
-
新闻链接:http://security.ctocio.com.cn/33/13514033.shtml
新闻时间:2015-08-18
新闻正文:
不久前,Radware紧急响应团队(ERT)发现,针对大客户的Tsunami SYN泛洪攻击的使用在大幅增加。此活动明确表明了与服务相关的机器人程序的出现,Radware安全研究人员成功获取了一个用于生成这些DDoS攻击的二进制恶意软件样本。随后,Radware安全研究人员将该恶意软件部署在一个隔离可控的环境中,以便研究恶意软件行为及其不同的攻击方法和对象。
分析表明,在此次攻击中涉及到了50000多个攻击源。然而,在深入分析之后,Radware安全研究人员却发现,80%以上的攻击流量只是由少数几个攻击源生成的。这表明,机器人程序的攻击主要针对的是某些设备。事实上,主要是路由器和服务器出现了高流量负载情况。这个恶意软件主要感染的是Linux设备,那些具有高带宽上传功能的服务器。
在短短10天(2015年6月14-23日)的时间内,Radware安全研究人员成功监测到2000多个针对7个不同国家中60多个不同目标的攻击。
我们发现的该恶意软件特点:
· 具有三种不同的攻击类型:SYN攻击、HTTP攻击和DNS攻击。每种攻击还可以设置不同的攻击选项,如:目标端口、IP和攻击子类型。
· 使用XOR加密通信通道对服务器发出命令和进行控制。
· 一个标准的Linux机器每秒可以生成100K数据包的攻击。
· 被感染机器可以进行自我测试,以确保可以生成伪造IP攻击。这表明,我们之前了解到的50000个IP中的多数都是经过伪造的。
· 自我复制功能用于维持攻击的持久性。它会不断地创建经过微调的二进制副本,因此,文件自身的检测变得更加困难。
· 进程名通常隐藏在bash、grep、pwd、sleep等常用进程名之后。这些命令字符串以一种混淆的格式隐藏在文件中。
虽然这些并不是最新的技术,但是却表明,目前,为了获取更多的经济利益,DDoS恶意软件编写人员变得越来越专业。他们会不断感染服务器和路由器,以利用这些高端设备,同时以合理的价格进行出租。
无论是为了经济收益,还是为了进行间谍活动、网络战或是黑客攻击,攻击者一直在寻找并利用服务器与应用中存在的安全漏洞。密码和防护策略比较薄弱的服务器和路由器被大量爆出,这使得恶意软件租用者可以快速并廉价地组建一个机器人军队。
DDoS寻租产品正在逐渐形成成熟的平台,可以提供复杂的金融诈骗和垃圾邮件能力,为用户提供廉价的优质服务。
现在,企业更需要部署防护和缓解技术,并密切注意攻击者的攻击目标。要知道现在任何人都可以廉价租用一个恶意僵尸网络并发起攻击。
新闻时间:2015-08-18
新闻正文:
不久前,Radware紧急响应团队(ERT)发现,针对大客户的Tsunami SYN泛洪攻击的使用在大幅增加。此活动明确表明了与服务相关的机器人程序的出现,Radware安全研究人员成功获取了一个用于生成这些DDoS攻击的二进制恶意软件样本。随后,Radware安全研究人员将该恶意软件部署在一个隔离可控的环境中,以便研究恶意软件行为及其不同的攻击方法和对象。
分析表明,在此次攻击中涉及到了50000多个攻击源。然而,在深入分析之后,Radware安全研究人员却发现,80%以上的攻击流量只是由少数几个攻击源生成的。这表明,机器人程序的攻击主要针对的是某些设备。事实上,主要是路由器和服务器出现了高流量负载情况。这个恶意软件主要感染的是Linux设备,那些具有高带宽上传功能的服务器。
在短短10天(2015年6月14-23日)的时间内,Radware安全研究人员成功监测到2000多个针对7个不同国家中60多个不同目标的攻击。
我们发现的该恶意软件特点:
· 具有三种不同的攻击类型:SYN攻击、HTTP攻击和DNS攻击。每种攻击还可以设置不同的攻击选项,如:目标端口、IP和攻击子类型。
· 使用XOR加密通信通道对服务器发出命令和进行控制。
· 一个标准的Linux机器每秒可以生成100K数据包的攻击。
· 被感染机器可以进行自我测试,以确保可以生成伪造IP攻击。这表明,我们之前了解到的50000个IP中的多数都是经过伪造的。
· 自我复制功能用于维持攻击的持久性。它会不断地创建经过微调的二进制副本,因此,文件自身的检测变得更加困难。
· 进程名通常隐藏在bash、grep、pwd、sleep等常用进程名之后。这些命令字符串以一种混淆的格式隐藏在文件中。
虽然这些并不是最新的技术,但是却表明,目前,为了获取更多的经济利益,DDoS恶意软件编写人员变得越来越专业。他们会不断感染服务器和路由器,以利用这些高端设备,同时以合理的价格进行出租。
无论是为了经济收益,还是为了进行间谍活动、网络战或是黑客攻击,攻击者一直在寻找并利用服务器与应用中存在的安全漏洞。密码和防护策略比较薄弱的服务器和路由器被大量爆出,这使得恶意软件租用者可以快速并廉价地组建一个机器人军队。
DDoS寻租产品正在逐渐形成成熟的平台,可以提供复杂的金融诈骗和垃圾邮件能力,为用户提供廉价的优质服务。
现在,企业更需要部署防护和缓解技术,并密切注意攻击者的攻击目标。要知道现在任何人都可以廉价租用一个恶意僵尸网络并发起攻击。
赞赏
看原图
赞赏
雪币:
留言: