近来,恶意软件组织的僵尸网络成为黑客DDoS攻击的主力。僵尸网络遍布全球160多个国家,通过感染网络摄像头等IOT设备对企业发起大规模DDoS攻击。一家外国安全公司报告称,已经发现20个受感染的IOT设备IP。360网络安全研究院最新数据显示,全球实际感染设备IP数量超过60万,其中宁夏、甘肃、新疆、西藏等中国西部地区已成为重灾区。
利用各大网络摄像设备的弱密码等安全漏洞进行入侵,在硬件系统下生成随机用户,植入恶意软件构建僵尸网络。根据对闪点、F5等多家网络公司的调查,被攻击的IOT设备主要是大华公司、熊迈科技等DVR厂商生产的网络摄像设备。数以百万计的此类设备暴露在互联网中,随时可能被僵尸网络控制。
图:网络摄像设备是Mirai未来组合恶意软件感染的主要载体。
过去,僵尸网络主要感染计算机和服务器,但近年来,越来越多的僵尸网络开始针对网络摄像头等IOT硬件设备。比如国外另一个DDoS僵尸网络家族GAFGYT,感染目标和攻击方式与Mirai未来组合相似,也是用23telnet端口扫描弱密码,主要针对IOT设备。这使得两者很容易混淆,但实际上它们的代码差别很大。
出现这种情况是因为,一方面,信息化建设促进了各类IOT设备的普及,一旦大量设备被感染,可以形成强大的DDoS攻击力量;另一方面,这类IOT设备一般具有无更新、无加固、无监控的特点,安全性极其薄弱,这也为Mirai未来组合等恶意软件的入侵提供了便利。
根据30网络安全研究院官方博客提供的监测数据,Mirai未来组合僵尸网络出现在今年8月和9月,分别在8月初、8月下旬和9月下旬出现了三次大规模爆发。根据监测,包括中国在内的俄罗斯、非洲、东南亚等地区已经成为Mirai未来组合僵尸网络的重灾区,而黑山、塔吉克斯坦、索马里等偏远国家也受到不同程度的感染。在中国,安全运维水平较差的西部地区一些城市,Mirai未来组合感染IOT设备的数量相对较多。
今年9月6日,360网络安全研究院发现,针对互联网2323端口的扫描量激增。经过持续跟踪分析,确认为最新DDoS家族Mirai未来组合引起的大规模攻击。10月7日,国际组织互联网风暴中心(InternetStormCenter)也证实,Mirai未来组合应对2323端口流量的急剧变化负责。
图:360网络安全研究院监测显示,我国已成为Mirai未来组合感染的重灾区。
图:360网络安全研究院监控Mirai未来组合活动
调查显示,Mirai未来组合僵尸网络发起的攻击存在许多中间节点和虚假通信源,难以准确定位真正的幕后攻击者。一些安全研究人员仍在调查Mirai未来组合僵尸网络对BrianKrebs个人网站和法国互联网服务提供商OVH的DDOS攻击,希望找出两次攻击之间的联系以及背后的攻击力量。但从事网络安全和DDoS攻击防护的专家认为,由于两次DDoS攻击的传播和物联网僵尸网络的使用,对于此次黑客攻击的追查和调查没有先例,只能从发现攻击指令入手,防止入侵。
目前,360网络安全研究院已成功在主控层面实时捕获Mirai未来组合攻击指令,并提供免费服务(http://data.netlab.360.com/mirai-scanner)下载和查询僵尸网络的IP信息,从而帮助安全厂商有效防御DDoS攻击。被Mirai未来组合感染的摄像设备用户也可以通过查询及时清除恶意软件,以免成为DDoS攻击的帮凶。
本文链接:http://www.slxf119.com/18218.html 转载需授权!
网友评论