安全419了解到,国家互联网应急中心(以下简称 CNCERT)近日发布一则“关于 Mirai 变种Miori 僵尸网络大规模传播的风险提示”,指出一个新的僵尸网络 Mirai_miori( Mirai 变种)正在互联网上快速传播。
通过跟踪监测发现,该僵尸网络自4月6日出现起每日上线境内肉鸡数(以IP数计算)最多已超过1万,且每日会针对多个攻击目标发起 DDoS 攻击,后期随着控制规模扩大攻击行为日益活跃。攻击最猛烈的时候是5月30日共对323个目标发起攻击,5月29日曾先后调动2.5千台肉鸡攻击某受害目标。
Mirai_miori 变种僵尸网络攻击趋势
就在不久前(5月30日),CNCERT 已经就 Mirai 变种僵尸网络大规模传播发出过一次风险预警,CNCERT 提示,捕获的 Mirai 变种样本至少迭代过4个版本,4月1日至5月23日其日上线境内肉鸡数最高达到2.1万台,累计感染肉鸡数达到11.2万。
僵尸网络为何如此危险?
作为一种恶意软件,Mirai 能够感染在 ARC 处理器上运行的智能联网(IoT)设备,比如网络摄像头、家用路由器、家用网络存储设备(NAS)、安卓设备及Linux服务器,并将其转变为远程控制的机器人或“僵尸”并组成网络,通常用于发动 DDoS 攻击或通过挖矿牟利。
2016年9月,Mirai 的作者在一个著名安全专家的网站上发起了 DDoS 攻击,或许是为了隐藏这次攻击的源头,一周后,他们向公众发布了源代码。随后几年里,代码被许多黑客团伙下载复制并重复使用相同的技术来创建其他僵尸网络,Mirai 变种源源不绝,统计显示,全球约有五分之一的物联网设备被 Mirai 及其变种病毒感染。
由于互联网上存在安全漏洞的IoT设备和云主机数量庞大,Mirai 僵尸网络的规模正在不断扩大。而智能物联网设备的用户很多并不知道系统已被控制,也较少对设备固件进行升级,除非用户将设备淘汰更换,失陷设备可能一直被黑客团伙控制。
2021年11月,网络安全厂商 Cloudflare 宣布拦截了史上最大规模 DDoS 攻击,攻击峰值达到17.2M rps,该攻击正是由一个 Mirai僵尸网络变种发起的,攻击流量来自全球125个国家的超过2万个僵尸主机,针对 Cloudflare 的一个金融客户,在短短几秒钟内就发起了超过3.3亿个攻击请求。
不仅仅是 Mirai 僵尸网络,Dofloo、XOR DDoS、 BillGates、Gafgyt 几大家族的攻击活动都非常活跃,给网络空间带来较大威胁。也不仅仅局限于物联网设备,《2021年全球DDoS威胁报告》指出,自2021年10月起,Mirai、BillGates 僵尸网络新增大量运行着 GitLab 服务的服务器,表明犯罪团伙已经将触手伸向了存在漏洞的 IDC 服务器。
2021 年较为活跃的僵尸网络家族
僵尸网络如何让DDoS攻击威胁加剧?
根据观察,DDoS 攻击是僵尸网络第一个有明确收益的攻击方式,在国家和安全人员不断治理打击僵尸网络的形式下,黑产团伙往往打时间差,抢在漏洞修复前利用漏洞投放僵尸网络程序,并持续寻找新型反射漏洞。
举例来看,早在 2021 年 4 月,GitLab 官方就对漏洞CVE-2021-22205发布了补丁,但直到11 月,负责谷歌 DDoS 防御的云安全可靠性工程师 Damian Menscher 披露,DDoS 攻击团伙利用该漏洞批量攻陷了数以万计的服务器,将这些服务器加入僵尸网络,发动大规模 DDoS 攻击。
CNCERT 在本次预警中亦表明,Mirai_miori 变种僵尸网络的传播方式主要为弱口令爆破以及1 day和N day漏洞。
扩大僵尸网络规模是黑客团伙提升 DDoS 打击能力的重要手段,利用漏洞和弱口令扩张控制范围的势头愈演愈烈。统计称当前被僵尸网络利用的在野漏洞已达 72种,最快在 1天内集成最新漏洞,抢在设备漏洞修复前,感染并控制设备。
另一方面,自2021年下半年以来,国家持续加强整治虚拟货币“挖矿”活动,大量基于矿机挖矿的企业迁移海外,利用肉鸡进行挖矿的黑产也受到较大冲击。大量肉鸡从虚拟货币挖矿行业流出,进入 DDoS 攻击领域。预计在未来几年里,DDoS 攻击的峰值及大流量攻击发生的次数都会持续增长。
僵尸网络的猖獗繁衍,也让DDoS攻击在近几年兴起了一种新的打法——扫段攻击,和以往攻击者只盯着单个目标 IP 不断变换攻击手法、寻求突破防护策略短板的攻击方式不同,扫段攻击会对一大段 IP 同时或顺序发起 DDoS 攻击,针对同一 IP 的攻击流量较小、时间持续较短,一般控制在 3-30 秒内,并且组合多种类型发起进攻。
无论从攻击涉及的 IP 数还是单个 IP 的最大攻击流量来看,扫段攻击对企业都是极其严峻的挑战,看似是零星来袭,但黑产团伙会对受害者的 IP 地址、攻击间隔、攻击时长,攻击频度进行不断变化。这类攻击是对现有 DDoS 监测和防御中的单 IP 流量人工阈值、单 IP 流量牵引、牵引消耗等防御策略的针对性对抗。
企业如何抵御僵尸网络和DDoS?
DDoS僵尸网络控制的资源众多,攻击目标变换迅速,溯源非常困难,其活跃程度和凶险程度给企业正常业务造成重大威胁,防护挑战正逐步升级。
部分广泛使用的基础软件存在漏洞,大量 IoT 设备或 IDC 服务器也容易受漏洞影响成为肉鸡。企业应该及时梳理已有资产列表,不使用弱密码或默认密码,定期更换密码;发现服务器存在高危安全漏洞时,务必及时修复,否则,不仅导致存在漏洞的设备被黑客攻陷,还会波及内部其他服务器,导致大量服务器被部署僵尸网络的攻击程序,持续对外发起 DDoS 攻击。
虚拟货币监管的加码,导致大量肉鸡流入 DDoS 攻击黑产,对于企业来讲,需要评估在遭遇 Tb 级超大流量攻击的极端场景下,现有防护方案和防护资源是否还能保障业务不受 DDoS 攻击影响。如今僵尸网络成扫段攻击的重要推手,由于大量 IP 被同时攻击,很容易出现少量透传导致机房网络异常、大量攻击流量与业务流量叠加,导致防护设备性能紧张等问题,应对方案和普通的 DDoS 攻击有较大区别。
通常来讲,普通企业不具备足够大的带宽跟DDoS大流量做对抗,专业化的黑产团伙甚至具有比防守方更丰富的经验,这个对抗过程需要非常精锐的团队进行7×24小时的支撑;面对扫段攻击等特殊的攻击方式,必须秒级监测、秒级清洗才能对避免业务和服务造成影响。因此,选择跟专业度高的安全团队合作是企业应对DDoS攻击最有保障的一种方式。
安全419了解到,腾讯安全基于多年海量业务安全实践和黑灰产对抗经验,提供腾讯云T-Sec DDoS防护解决方案,依托遍布全球的秒级延迟响应和T级清洗能力,通过IP画像、行为模式分析、Cookie挑战等多维算法,结合AI智能引擎持续更新防护策略,可弹性应对从网络层到应用层的各类型DDoS攻击场景,保证毫秒级网络稳定和秒级清洗切换,能够在保障业务不受影响的情况下,将清洗准确度提高至99.995%。其认为,策略升级之下,智能调度是如今DDoS攻防的关键。
电信云堤DDoS攻击防护依托于中国电信的互联网带宽、运营商级清洗设备、IT系统能力,深入分析DDoS攻击特点,可以为政企客户量身定制服务。对经过中国电信骨干网的访问目标IP的流量进行在线实时监控和深度分析,对大流量攻击的测度最为准确。近源清洗,准确辨别攻击源分布,分布式部署的流量清洗设备将攻击流量分而治之,解决全程全网的带宽拥塞环节,确保客户业务的安全稳定。流量压制,根据攻击源的物理位置,分方向对来自某一个方向的流量进行黑洞操作。不受虚假源IP影响,实现攻击源的准确定位。
DDoS攻击是所有网络威胁中唯一可以指哪打哪的攻击,效果可谓立竿见影。更有甚者,DDoS也正在成为勒索犯罪团伙的首选手段,其实施成本低、收益丰厚、难以溯源,预计未来一段时间内,都将对企业安全构成较大威胁。DDoS防护是许多企业的安全能力短板,在日常安全防护中应制定必要的预案,进行适当的演练,提升监测和响应的灵敏度,避免企业的核心资产、日常业务及品牌声誉在攻击面前化为灰烬。
相关数据及图表来源:
《关于Mirai变种Miori僵尸网络大规模传播的风险提示》,CNCERT
《关于Mirai变种僵尸网络大规模传播的风险提示》,CNCERT
《2021年全球DDoS威胁报告》,腾讯安全&绿盟科技