导语:黑客最近正在利用Mirai僵尸网络的一个变种来发起新一波的DDoS攻击,且攻击的目标针对的是金融行业。
黑客最近正在利用Mirai僵尸网络的一个变种来发起新一波的DDoS攻击,且攻击的目标针对的是金融机构。根据最新的分析,本次攻击至少利用了13000个被劫持的物联网设备,产生的流量高达30 Gbps,不过这远远低于其最高时的流量记录——620Gbps。
Recorded Future的研究人员在上周四首次报道了该Mirai变种的攻击技术细节,他们表示,该Mirai僵尸网络可能与2017年10月发现的IoTroop或Reaper僵尸网络有着密切的关联。
关于Mirai僵尸网络的的袭击事件,最近的一次是Recorded Future在1月27日至28日之间发现的。在这期间,有三家金融机构遭受了DDoS攻击。1月29日,荷兰银行表示他们遭到了DDoS攻击,而其他的荷兰银行也遭受了类似的攻击。其中,黑客在针对第一个目标进行攻击时,采用了DNS放大技术,流量达到了30Gbps。
研究人员认为,如果这些攻击是由IoTroop发起的的,那这意味着,该僵尸网络自2017年10月以来已经发展到利用其他物联网设备中的漏洞,并且可能会继续这样做以传播僵尸网络并促成更大的DDoS攻击。
根据之前对恶意软件的分析,IoTroop分享Mirai的部分代码。与Mirai类似,该恶意软件针对的是网络连接设备,例如由TP-Link,Avtech,MikroTik,Linksys,Synology和GoAhead等公司制造的无线网络摄像头。
Recorded Future指出,Mirai的最新版本不同于最初的Mirai和IoTroop恶意软件,Mirai和IoTroop是用于感染物联网设备的僵尸网络和恶意软件的名称。
研究人员表示,尽管很多物联网供应商和设备都曾出现在2017年10月发布的有关IoTroop的研究中,但大华CCTV数码摄像机,三星UE55D7000电视和许多基于Contiki(一个物联网开源操作系统)的设备制造商却没有注意到该报告,且都不知道易受到Reaper / IoTroop恶意软件的攻击,这意味着,物联网设备的安全管理将在未来带来更大的网络安全挑战。
目前,研究人员还未对这个最新的Mirai变体进行命名,因为它更有效的使用了IoTroop代码,允许恶意软件在攻击过程中被更新。IoTroop是使用灵活的Lua引擎和脚本构建的,这意味着它不会受限于以前攻击的静态,预先编程的攻击,它的代码可以很容易地即时更新。一旦有新的恶意攻击可用,大规模的老旧僵尸网络就可以立即开始实施新形式的恶意攻击。
根据研究人员的追踪,目前该变种的攻击目标区域主要遍布在俄罗斯、巴西和乌克兰,因为这些国家的物联网设备的防御措施都比较脆弱。
研究人员表示:
有关IoTroop攻击金融机构的消息越来越多,我们意识到,监控潜在的恶意软件并及时识别最新的僵尸网络将变得越来越重要。”
最近两年的Mirai攻击大事件
2016年10月,美国半个互联网的瘫痪,这起事件源于提供动态DNS服务的DynDNS遭到了大规模的DDoS攻击。导致许多使用DynDNS服务的网站遭遇访问灾难,其中包括Twitter、Airbnb、Reddit等一度瘫痪,Twitters甚至出现了近24小时0访问的局面。
自Mirai 2016年10月发布源代码以来,一些恶意软件变种已经出现。在Mirai源代码发布后,一个基于Linux的僵尸网络以弱telnet协议为目标,并通过IRC与被攻击的设备进行通信。2016年11月,Mirai变种对德国电信公司发动了大规模的DDoS攻击,该攻击导致近100万用户家庭网络服务中断。
就在今年1月,研究人员发现了一种名为Satori(Mirai Okiru)的Mirai变种, Mirai Okiru旨在针对基于ARC的系统。据悉,Mirai Okiru在被发现之前几乎没有任何的反病毒引擎可以检测到,再加上目前Linux物联网的威胁形势迅速变化,因此研究人员认为攻击者将会利用Mirai Okiru瞄准基于ARCCPU的物联网设备,从而导致毁灭性的影响。