导语:近日,知名数据应用安全公司Imperva的安全专家发现,公司网络遭遇大规模DDoS攻击,其攻击峰值流量达650Gbps。

近日,知名数据应用安全公司Imperva的安全专家发现,公司网络遭遇大规模DDoS攻击,其攻击峰值流量达650Gbps。

攻击描述

Imperva将攻击主力称为“Leet僵尸网络”(Leet Botnet),针对的是Imperva Incapsula网络中的多个IP地址。

僵尸网络 Leet 针对 Imperva Incapsula 网络中的多个 IP 地址发动攻击。这次攻击没有针对特定用户,很可能是 Incapsula 的代理服务器对用户 IP 进行了隐藏处理,致使攻击者无法解析受害者的 IP 地址。

Imperva发布的分析指出,攻击为什么没有针对某个特定用户,这很难说。很可能罪犯无法解析被Incapsula代理隐藏的受害者真实IP地址。Imperva公司Incapsula产品线的安全研究专家Avishay Zawoznik表示,

由于使用了IP地址欺骗技术,难以精确确定攻击中使用的设备。然而,我们在有效载荷内容中发现一些可靠线索,对个别有效载荷进行手工分析后发现某类Linux设备。例如,某些设备包含/proc(pro文件系统)文件夹详情,这是Unix类系统特有的。

1483082904588567.png

 【攻击峰值高达650 Gbps】

对攻击进行分析后,Imperva认为攻击者无法找到隐藏在Imperva代理后的具体目标,从而选择攻击基于云的服务。

此次攻击有两波。第一波攻击持续了将近 20 分钟,流量峰值在 400Gbps 左右,但被 Imperva 防御住了。Imperva报告称,攻击者重新集结并展开第二轮攻击,而这次峰值达650 Gbps,攻击每秒的数据包数量达到了1.5亿个。

1483082933843699.png

【数据包每秒速率达到150+ Mpps】

第二波攻击持续了约 17 分钟,仍以失败告终。由于这两波攻击都使用了IP地址欺骗技术,因此很难追踪僵尸网络的实际地理位置或是清楚的确定攻击中使用的设备。

1483082968977334.gif

但是,Imperva能分析数据包的内容找到关于僵尸网络身份的蜘丝马迹。虽然规模与KrebsOnSecurity10月遭受的Mirai攻击类似,但却有不同之处。

有效载荷分析 

经过分析,攻击流量来自于僵尸网络 Leet (堪比 僵尸网络 Mirai ),此次攻击中的恶意流量由两种不同的 SYN 载荷组成:

常规 SYN 数据包,44 字节到 60 字节不等;
异常 SYN 数据包,799 字节到 936 字节不等。

恶意软件可以访问受感染设备的本地文件并利用数据内容生成大量载荷,这些随机载荷可以绕过基于签名的安全防护继续发送。

通过仔细检查两个有效载荷,Imperva指出,“Leet”这个名字源于数据包内的签名。这些数据包的TCP选项头部的值为“1337”语言,被称为“leet”或“elite”。 1337语言国外黑客使用的奇怪语言,通常是把拉丁字母转变成数字或是特殊符号。

1483083039801586.jpeg

【TCP选项头部的值为“1337”语言】

接下来吸引我们眼球的是,虽然一些载荷是由看似随机的字符串组成,但是有一些里面却包含零散的IP地址列表。

1483083072718610.png

 【SYN有效载荷由零散的IP列表生成】

这些零散的IP列表暗示了有效载荷内容生成的方式。看来我们面对的恶意软件可以访问本地文件(如访问日志和IP列表)并窃取它们的内容生成自己的有效载荷。

除了刻画一种很酷的精神形象外,这种攻击方法还实现了一种实用的目的。具体来说,它形成了一种有效的模糊处理技术,可用于生成无限的随机载荷。通过这些有效载荷,犯罪分子可以绕过基于签名的安全系统。

Leet僵尸网络能力堪比Mirai 

截至目前,2016年发生的大规模DDoS攻击多多少少都与Mirai僵尸网络相关。然而,有效载荷的特征清楚地显示,此次工具与Mirai或是其最新的变体都没有关系。证据如下:

1. Mirai恶意软件并不是用于实施大型SYN攻击的;

屏幕快照 2016-12-30 下午3.18.50.png

2. Mirai有硬编码TCP选项(MSS、ACK、TSVAL、WSS),但是在99.99%(0.01%意外相似)的有效载荷中并没有出现。

屏幕快照 2016-12-30 下午3.19.01.png

屏幕快照 2016-12-30 下午3.19.15.png

屏幕快照 2016-12-30 下午3.19.25.png

3. Mirai的有效载荷由随机字符串生成,但是此次攻击的有效载荷是由系统文件内容构成。

这一切证据都表明发起此次攻击的是一种新的僵尸网络。Imperva认为,Leet僵尸网络的能力堪比Mirai。随着不安全的物联网设备不断增加,情况会变得更糟。

F-Secure公司的安全顾问Sean Sullivan指出,

组织机构应做好准备缓解DDoS攻击,并在攻击结束时做好准备使网络正常运行。DDoS攻击无法避免,只能在事件发生后时刻准备减少下线时间,从而缓解DDoS威胁。 

从长远来看,物联网僵尸网络的解决方案可能在于监管。各国政府因担心遏制创新,而不愿意规范互联网。但到了一定程度时,这是唯一的解决方案。安全行业数年来一直在警告物联网存在安全隐患,但制造商为了尽早获取市场份额,仍在不断推出不安全的新产品。

其它行业已经开始实施监管措施,例如保健和工程行业。应让物联网制造商更加清楚地认识到推出不安全产品需承担法律责任,这一步实施起来很艰难。安全认证也许有帮助,但可能还远远不够。监管者对情节严重的罪犯处以巨额罚款将会使开发人员更重视安全问题。

Sullivan警告称,短期内,要使网络和物联网设备更安全,其希望渺茫,但互联网服务提供商(ISP)可以授权安全团队运行更安全的网络。

源链接

Hacking more

...