近日,某國(guó)外網(wǎng)絡(luò)安全機(jī)構(gòu)在發(fā)布的最新報(bào)告中表示,通過(guò)過(guò)去幾個(gè)月的監(jiān)測(cè)發(fā)現(xiàn),目前有成千上萬(wàn)的家用級(jí)和中小企業(yè)路由器被一個(gè)僵尸網(wǎng)絡(luò)劫持,并已經(jīng)淪為其發(fā)動(dòng)DDoS攻擊的幫兇。
路由器默認(rèn)登錄憑證出漏洞
事實(shí)上,在2014年12月下旬,該網(wǎng)絡(luò)安全機(jī)構(gòu)就已發(fā)現(xiàn)這個(gè)僵尸網(wǎng)絡(luò)的活動(dòng)跡象,同時(shí)也收到一些企業(yè)客戶遭受其DDoS攻擊的反饋。而在今年4月份,該僵尸網(wǎng)絡(luò)活動(dòng)變得愈發(fā)猖獗,攻擊數(shù)量也達(dá)到了近期的最大峰值。
網(wǎng)絡(luò)安全機(jī)構(gòu)公布發(fā)現(xiàn)的DDoS攻擊熱力圖
報(bào)告中顯示,攻擊流量來(lái)自全球范圍內(nèi)1600個(gè)互聯(lián)網(wǎng)服務(wù)商的40269個(gè)IP地址,橫跨109個(gè)國(guó)家,其中包括美國(guó)和印度。據(jù)統(tǒng)計(jì),有超過(guò)85%被感染的路由器位于泰國(guó)和巴西,而大多數(shù)的命令和控制服務(wù)器則分布在美國(guó)(21%)和中國(guó)(73%)。同時(shí),上述IP地址還可被追溯到攻擊者用來(lái)遠(yuǎn)程指揮惡意流量的60個(gè)指揮和控制系統(tǒng)。
發(fā)現(xiàn)的DDoS攻擊流量及命令和控制服務(wù)器分布占比
研究人員隨后發(fā)現(xiàn),攻擊中大量使用了SOHO路由器,其中主要是基于ARM芯片架構(gòu)的Ubiquiti設(shè)備。研究者最初假定黑客是通過(guò)一個(gè)共享的固件漏洞,來(lái)獲取這些路由器的控制權(quán)的,而隨著研究的逐步深入,他們發(fā)現(xiàn)這些控制實(shí)際上都是通過(guò)HTTP和SSH默認(rèn)端口來(lái)進(jìn)行遠(yuǎn)程訪問(wèn)的。
不僅如此,這些路由器還都可以通過(guò)廠商提供的默認(rèn)登錄憑證進(jìn)入后臺(tái),最終導(dǎo)致路由器可被4個(gè)MrBlack惡意軟件變種注入,并以此展開(kāi)中間人攻擊,cookie劫持,甚至獲得進(jìn)入本地網(wǎng)絡(luò)設(shè)備的權(quán)限等等。
目前該安全機(jī)構(gòu)已聯(lián)系路由器廠商和互聯(lián)網(wǎng)服務(wù)提供商,希望敦促路由器用戶最好實(shí)施禁用路由器管理界面中的遠(yuǎn)程(廣域網(wǎng))登陸功能,更改默認(rèn)的管理員登錄名,以及升級(jí)路由器的固件至最新版本等防護(hù)措施。
什么是僵尸網(wǎng)絡(luò)?
僵尸網(wǎng)絡(luò)(Botnet,也稱機(jī)器人網(wǎng)絡(luò))是指不法黑客利用自己編寫的分布式拒絕服務(wù)攻擊程序?qū)?shù)萬(wàn)個(gè)淪陷的機(jī)器,即常說(shuō)的僵尸電腦或肉雞,組織成一個(gè)個(gè)控制節(jié)點(diǎn),用來(lái)發(fā)送偽造包或者是垃圾數(shù)據(jù)包,使預(yù)定攻擊目標(biāo)癱瘓并“拒絕服務(wù)”。通常蠕蟲(chóng)病毒也可以被利用組成僵尸網(wǎng)絡(luò)。
僵尸網(wǎng)絡(luò)成為大量DDoS攻擊流量的來(lái)源
最早的僵尸網(wǎng)絡(luò)出現(xiàn)在1993年,在IRC聊天網(wǎng)絡(luò)中出現(xiàn)。1999年后IRC協(xié)議的僵尸程序大規(guī)模出現(xiàn)。曾經(jīng),有一名19歲的新西蘭黑客一度控制了全球上一共150萬(wàn)臺(tái)的計(jì)算機(jī)。
2011年4月13日美國(guó)聯(lián)邦司法部和聯(lián)邦調(diào)查局(FBI)宣布破獲大批中毒電腦所組成的“僵尸網(wǎng)絡(luò)”, 已全面關(guān)閉名為Coreflood服務(wù)器和網(wǎng)絡(luò)域名,并對(duì)13名嫌疑人起訴。該網(wǎng)絡(luò)運(yùn)作將近10年,全球有超過(guò)200萬(wàn)臺(tái)個(gè)人電腦被Coreflood惡意程序感染。
近期發(fā)布的2014年第4季度《互聯(lián)網(wǎng)發(fā)展?fàn)顩r安全報(bào)告》中顯示出DDoS攻擊數(shù)量在2014年幾乎翻倍;其來(lái)源也在全球范圍內(nèi)大幅擴(kuò)展;而其中僵尸網(wǎng)絡(luò)則是重要的幫兇,成為大量DDoS攻擊流量的來(lái)源。
因此,DDoS僵尸網(wǎng)絡(luò)經(jīng)常使用惡意軟件來(lái)進(jìn)行擴(kuò)展。根據(jù)最新的報(bào)告,惡意軟件正在向多平臺(tái)、操作系統(tǒng)感知和更具毀滅性的的趨勢(shì)發(fā)展。此外,有知名CDN企業(yè)利用自身的加速平臺(tái)對(duì)搜集到的數(shù)據(jù)進(jìn)行分析后發(fā)現(xiàn),還存在一些針對(duì)WEB應(yīng)用程序展開(kāi)攻擊的僵尸網(wǎng)絡(luò)。
這些僵尸網(wǎng)絡(luò)可以自動(dòng)發(fā)現(xiàn)WEB應(yīng)用程序的漏洞,并發(fā)動(dòng)遠(yuǎn)程文件包含(RFI)和操作系統(tǒng)(OS)命令注入攻擊。盡管看上去與種種攻擊行為并不相關(guān),但安全研究人員還是通過(guò)對(duì)多代碼的源URL和負(fù)載進(jìn)行識(shí)別,對(duì)這些僵尸網(wǎng)絡(luò)做出了描述。通過(guò)使用攻擊負(fù)載,攻擊者得以對(duì)數(shù)據(jù)進(jìn)行聚合,并將僵尸網(wǎng)絡(luò)行為、活動(dòng)者和受攻擊的WEB應(yīng)用程序進(jìn)行匹配。這種對(duì)僵尸網(wǎng)絡(luò)進(jìn)行描述的技術(shù)可以幫助識(shí)別更多的攻擊源。
京公網(wǎng)安備 11010502049343號(hào)