侵权投诉
订阅
纠错
加入自媒体

你知道什么是物联网僵尸网络吗?

2017-04-21 08:54
汉水狂客
关注

 IoT僵尸网络可能是最可怕的威胁之一,配置不当和有缺陷的“物联网”设备意味着它们会成为黑客的特权攻击媒介。

2016年8月,研究员MalwareMustDie分析了一款新的ELF Trojan后门的样本,它又被称为ELF Linux/Mirai,专门攻击物联网设备。Mirai是当下最流行的物联网设备大规模攻击工具,但并不是唯一的。安全公司已经发现了许多其他瞄准物联网设备的恶意软件; 与此同时,网络上又出现了新的威胁,如Leet僵尸网络和Amnesia僵尸网络。

在这篇文章中,我们将分析最近网络上发现的主要物联网僵尸网络,以及涉及到的攻击情景。

Leet僵尸网络

就在圣诞节之前,12月21日上午,Imperva公司的专家观察到一次了对该公司的大规模攻击。在Leet僵尸网络的支持下,这次大规模的DDoS攻击流量达到了650 Gbps。Leet僵尸网络瞄准了Imperva Incapsula网络上的几个任意IP。

调查攻击的专家发现该僵尸网络由数千个相互协调的物联网设备组成。

该攻击并不是针对该公司的特定客户发起的,可能是因为黑客无法解决Incapsula缓解代理隐藏了受害者的IP地址。

Imerva发表的分析称,“很难说为什么这次攻击并不针对特定的客户。非常可能的是,犯罪者无法解析实际受害者的IP地址,因为它被Incapsula代理掩盖了”。

Incapsula观察到两次不同的DDoS攻击,第一次持续20分钟,达到400 Gbps,而第二次持续约17分钟,达到650 Gbps。

分析称,“第一次DDoS攻击持续了大约20分钟,达到了400Gbps。由于没能造成破坏,攻击者又回来实施了第二轮攻击。这一次足够的僵尸网络“肌肉”每秒生成了超过1.5亿个数据包(Mpps)总计650 Gbps的DDoS洪水”。

两次攻击都失败了,但是由于黑客使用了伪造IP,研究人员无法跟踪攻击的真正来源。

对构成恶意流量的数据包内容的分析显示,本次攻击由Leet僵尸网络提供了支持,所谓的攻击是数据包内的“签名”。

“我们首先注意到的是,犯罪者在一些常规大小的SYN数据包中留下了“签名”。在这些数据包的TCP选项标头中,这些值被排列为“1337”。这是 “leet”或“leetspeak”的leetspeak。” Imperva分析道

专家们也注意到,很大部分的SYN攻击载荷(799到936字节)是由似乎随机的字符串填充,其他内容则包含了IP地址的碎片列表。

“我们所面临的恶意软件似乎被编程来访问本地文件(例如,访问日志和iptable列表),并获取其内容来生成其攻击载荷。”

1  2  3  下一页>  
声明: 本文由入驻维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号