400 節點構成產生 75 Gbps DDoS 攻擊!PBot 惡意軟件捲土重來!
400 節點構成產生 75 Gbps DDoS 攻擊!PBot 惡意軟件捲土重來!
在過去的一段時間,大家都在忙著應對勒索軟件,但可別忘記了另一威脅!那就是 DDoS 攻擊。最近 Akamai Technologies 發佈的《2017 年第二季互聯網現況安全報告》中的最新資料便顯示,分散式阻斷服務 (DDoS) 及網絡應用程式攻擊又再次增加,原因主要是因為 PBot DDoS 惡意軟件捲土重來,成為了 DDoS 攻擊的基礎,它同時也是本季所見最強的攻擊。
在使用 PBot 的案例中,惡意攻擊者利用有數十年歷史的 PHP 程式碼,產生大型 DDoS 攻擊。攻擊者得以建立一個迷你 DDoS 殭屍網絡,藉此發起每秒 75 Gbps 的 DDoS 攻擊。值得注意的是,PBot 殭屍網絡是由相對少量的 400 個節點所構成,卻仍能創造驚人的攻擊流量。
Akamai 的企業威脅研究團隊 (Enterprise Threat Research Team) 在分析報告中亦討論到網域產生演算法 (DGA) 在惡意軟件指揮與控制 (C2) 基礎架構中的使用情況,將其包括在「死灰復燃的攻擊」清單之中。雖然 DGA 早在 2008 年首次與 Conficker 蠕蟲一同出現,但時至今日,新式惡意軟件仍常將其用作通訊技術。團隊發現,受感染網絡產生的 DNS 查閱率是正常網絡的 15 倍之多,這可解釋為惡意軟件在受感染的網絡上存取隨機產生的網域所導致的結果。由於產生的網域絕大多數都沒有註冊,試圖全都存取就必然會產生許多雜訊。要辨識出惡意軟件活動,其中一項重要的方式便是分析受感染的網絡與正常網絡間的行為特徵差異。
去年九月發現 Mirai 殭屍網絡時,Akamai 是其首批目標之一,此後其平台不斷受到 Mirai 殭屍網絡的攻擊!研究人員運用獨到的洞悉能力研究 Mirai 殭屍網絡的不同面向,特別是在第二季針對其 C2 基礎架構進行研究。Akamai 研究指出,Mirai 極有可能像其他殭屍網絡一般,推動 DDoS 商品化。根據觀察,雖然該殭屍網絡有許多 C2 節點都對特定 IP 進行「針對性攻擊」,但有更多節點參與被視為「付費執行」的攻擊。在這些狀況下觀察到的 Mirai C2 節點會對 IP 進行短暫的攻擊,隨後停止運作,接著重新出現攻擊其他目標。
現時攻擊者會不斷針對企業安全防禦中的弱點,弱點越常見,攻擊就越有效,黑客也會投入更多精力和資源進行攻擊。在 WannaCry 和 Petya 攻擊所使用的 Mirai 殭屍網路事件中,SQLi 攻擊量不斷升高而 PBot 亦重新出現,這充分顯示攻擊者不但會轉用新工具,也會重新利用經過去實例證明有效的舊工具。
報告中其他重要發現包括:
-在連續三季下滑後,DDoS 攻擊數量於第二季較上季增加 28%。
-DDoS 攻擊者發動的攻勢比過去都還持久,一季以來平均攻擊同一目標 32 次。其中一間遊戲公司總共被攻擊了 558 次,平均每天約 6 次。
-全球經常性 DDoS 攻擊中所用到的獨特 IP 位址有 32% 來自於埃及,居各國首位;上一季的榜首是美國,而當時埃及還在前五名之外。
-本季被用於發動 DDoS 攻擊的裝置有所減少。大規模 DDoS 攻擊中使用的 IP 位址減少了 98%,數量從 595,000 下降到 11,000。
-網絡應用程式攻擊事件每季增加 5%,每年增加 28%。
-在本季的網絡應用程式攻擊中,有超過一半 (51%) 使用 SQLi 攻擊,超過上一季的 44%,單在第二季就引起 1.85 億次警報。