Imperva 的安全专家称,Mirai 僵尸网络新变种瞄准该公司某美国大学用户发起为时 54 小时的分布式拒绝服务( DDoS )攻击,峰值高达 37,000 RPS。专家强调,此次攻击事件打破了 Mirai 僵尸网络有史以来最高记录。
恶意软件 Mirai 最初由研究员 MalwareMustDie 于 2016 年 8 月发现,专门针对物联网设备,曾感染成千上万的路由器与物联网( IoT )设备,主要包括硬盘刻录机( DVR )和闭路电视( CCTV )系统。当 Mirai 僵尸网络感染设备时,会随机选择 IP 并尝试使用管理员凭据通过 Telnet 和 SSH 端口进行登录。
2016 年,Mirai 僵尸网络攻击了两大知名网站 Brian Krebs 与 the Dyn DNS service 。同年10月,Mirai 僵尸网络的源代码在线泄露,各类新变种滋生。Brian Krebs 专家称,代号为“ Anna- senpai ”的用户在知名黑客论坛 Hackforum 共享了恶意软件 Mirai 源代码链接。2017 年 1 月,专家发现一个据称是 Windows 版本的 Mirai 新变种出现,允许 Linux 木马传播至更多 IoT 设备。
经推测,Mirai 新变种由源代码泄露导致。Mirai 僵尸网络之前通过网络层展开 DDoS 攻击,而新变种则利用应用层进行攻击。
专家表示,发起攻击的僵尸网络主要由闭路电视摄像机头、DVR 和路由器组成。攻击者可能利用已知 IoT 设备漏洞打开 Telnet( 23 )端口和 TR-069( 7547 )端口。
据悉,此次攻击中使用的 DDoS 僵尸采用不同的用户代理,而非曾在默认 Mirai 版本中出现的五个硬编码样例。技术细节表明,Mirai 僵尸网络新变种已被改进并用于提供更复杂的应用层攻击。
分析显示,攻击流量来自全球 9,793 个 IP,超过 70% 的设备位于以下国家及地区:美国(18.4%)、以色列(11.3%)、台湾(10.8%)、印度(8.7% )、土耳其(6%)、俄罗斯(3.8%)、意大利(3.2%)、墨西哥(3.2%)、哥伦比亚(3.0%)和保加利亚(2.2%)。
原作者:Pierluigi Paganini, 译者:青楚 校对:Liuf
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接
请登录后发表评论
注册