新型物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)現(xiàn)身����,瘋狂劫持設(shè)備發(fā)動(dòng)大規(guī)模DDoS攻擊
自 2024 年底起,IoT 僵尸網(wǎng)絡(luò)的 C&C 服務(wù)器便開始向日本及其他國家和地區(qū)發(fā)送大規(guī)模 DDoS 攻擊命令����。這些命令的目標(biāo)涵蓋了多家公司,其中不乏日本的大型企業(yè)與銀行�。
盡管目前無法確認(rèn)直接聯(lián)系,但一些目標(biāo)組織反饋��,在此期間出現(xiàn)了臨時(shí)連接異常和網(wǎng)絡(luò)中斷的情況�,而這些狀況與觀察到的攻擊命令高度吻合。
物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的新威脅聚焦日本
這個(gè)基于 Mirai/Bashlite 的僵尸網(wǎng)絡(luò)利用 RCE 漏洞或弱密碼來感染物聯(lián)網(wǎng)設(shè)備����。感染階段包括下載一個(gè)腳本,該腳本會(huì)從分發(fā)服務(wù)器獲取加載程序可執(zhí)行文件�。
之后,加載程序使用專門的 User-Agent 標(biāo)頭從服務(wù)器成功檢索實(shí)際的惡意軟件負(fù)載�,然后在內(nèi)存中執(zhí)行它。
該惡意軟件與 C&C 服務(wù)器通信���,以獲取發(fā)起 DDoS 攻擊(SYN Flood�����、TCP ACK Flood����、UDP Flood 等)或?qū)⒃O(shè)備轉(zhuǎn)變?yōu)榇矸?wù)器的命令。
使用自定義 User-Agent 標(biāo)頭從分發(fā)服務(wù)器下載二進(jìn)制文件的代碼
它采用了多種規(guī)避技術(shù)��,并通過鏡像過去的 Mirai 僵尸網(wǎng)絡(luò)行為來 停用阻止DDoS 攻擊期間由高負(fù)載觸發(fā)的系統(tǒng)重啟的看門狗計(jì)時(shí)器���。
它還操縱 iptables 規(guī)則來阻礙感染檢測(cè)和 DDoS 攻擊可見性。通過阻止 WAN 端 TCP 連接�����,它旨在防止交叉感染���,同時(shí)保持內(nèi)部管理訪問�。
通過使用動(dòng)態(tài)配置的 iptables 規(guī)則����,惡意軟件能夠接收來自外界的 UDP 數(shù)據(jù)包,并通過隱藏其活動(dòng)來抑制 TCP RST 數(shù)據(jù)包����。
用于禁用看門狗定時(shí)器的惡意軟件代碼
2024 年 12 月 27 日至 2025 年 1 月 4 日期間觀察到的 DDoS 攻擊針對(duì)的是北美��、歐洲和亞洲的組織�����,主要集中在美國��、巴林和波蘭���。
趨勢(shì)科技的分析顯示,不同目標(biāo)地區(qū)的命令模式有所不同��。針對(duì)日本目標(biāo)的攻擊經(jīng)常使用“stomp”命令���,而針對(duì)國際目標(biāo)的攻擊則更常使用“gre”命令�。
攻擊主要集中在交通運(yùn)輸����、信息通信、金融保險(xiǎn)等領(lǐng)域�����。而國際攻擊也主要集中在信息通信、金融保險(xiǎn)行業(yè)�����,針對(duì)交通運(yùn)輸領(lǐng)域的攻擊明顯較少�����。
目標(biāo)行業(yè)
這些攻擊背后的實(shí)施者表現(xiàn)出了適應(yīng)性�,并在實(shí)施初步防御措施后針對(duì)日本組織測(cè)試了“套接字”和“握手”等新命令。
惡意軟件在初始化階段設(shè)置的 iptables 規(guī)則
僵尸網(wǎng)絡(luò)分析結(jié)果顯示���,共有 348 臺(tái)設(shè)備遭到感染。受感染設(shè)備中�����,80% 主要是 TP-Link 和 Zyxel 等供應(yīng)商生產(chǎn)的無線路由器����,此外,來自??低暤?IP 攝像機(jī)在受感染設(shè)備中也占了相當(dāng)比例。
導(dǎo)致其被利用的因素包括默認(rèn)設(shè)置的持久性��、過時(shí)的固件和安全功能不充分,這些因素使攻擊者能夠輕易破壞這些設(shè)備并利用它們進(jìn)行 DDoS 攻擊和網(wǎng)絡(luò)入侵等惡意活動(dòng)�����。
針對(duì) DDoS 攻擊和物聯(lián)網(wǎng)漏洞的緩解策略
為了減輕僵尸網(wǎng)絡(luò)感染和 DDoS 攻擊���,請(qǐng)實(shí)施強(qiáng)大的安全措施����。通過更改默認(rèn)憑據(jù)���、定期更新固件和分段物聯(lián)網(wǎng)網(wǎng)絡(luò)來保護(hù)物聯(lián)網(wǎng)設(shè)備���。
同時(shí),要嚴(yán)格限制設(shè)備的遠(yuǎn)程訪問權(quán)限�����,對(duì)設(shè)備進(jìn)行行之有效的管理�,密切監(jiān)控網(wǎng)絡(luò)流量,一旦發(fā)現(xiàn)異常即刻響應(yīng)處理�。
針對(duì) UDP 洪水攻擊,可通過阻止特定的 IP 地址和協(xié)議來進(jìn)行防范;還可以積極與服務(wù)提供商展開深度合作,共同應(yīng)對(duì)風(fēng)險(xiǎn);另外�����,加強(qiáng)路由器硬件的防護(hù)能力��,也是減輕 UDP 洪水攻擊影響的重要舉措 ����。
參考及來源:https://gbhackers.com/new-iot-botnet-launches-large-scale-ddos-attacks/
來源:嘶吼專業(yè)版
在線咨詢
在線咨詢
0371-63319761
