新型DdoS即服务出现在公共网络中,导致每天新增一万台计算机被感染为僵尸机器。另一种DdoS僵尸网络已经连续好几个月攻击全世界范围内主要服装零售商、各大银行、社交网络以及政府机构的网络服务器,另外出于政治原因的攻击也开始出现,例如马拉西亚政府主要网站目前正遭受DdoS攻击。
相信大家对分布式拒绝攻击(即DDoS)早有耳闻,这种攻击是通过让受感染的计算机(即僵尸机器)发送大量无用的流量来攻击和关闭企业的网上业务或者资源,导致企业因为停机时间和业务中断而蒙受损失。攻击者们一直在不断寻找新的方法来利用这种几乎不可能抵御的经典攻击。
近日Damballa Research研究所近日发现了一种所谓的IMDDoS攻击(DdoS攻击的商业服务),这种攻击现在已经成为全球最大的僵尸网络。该僵尸网络主要是由位于我国的受感染的机器组成的,不过美国仍然是拥有受IMDDoS攻击的机器最多的前十大国家之一,还有很多受感染机器来自北美互联网服务供应商和大型企业。
DdoS即服务并不是什么新的攻击形式,僵尸网络操控者通常都是通过地下论坛来提供不同的服务。“作为潜在的租户,你将需要直接与所有者沟通,并且通过互联网中继聊天(IRC)来协商,”Damballa研究所副总裁Gunter Ollmann表示。
但是IMDDoS服务是非常明确的,它的网站详细列明了它提供的各种不同的服务。“这是一套完整的服务产品,它们可以同时处理多个用户,”他表示。
Ollman表示,该僵尸网络平均每小时增加25000个独特的递归DNS查询,Damballa研究所对于僵尸机器的数量并没有准确的数字,但是Ollmann表示,该僵尸网络正准备攻击命名web服务器。“恶意软件本身并不复杂,但是从技术上来看,它是一个多用途的代理。”
Arbor Networks公司的研究所正在调查IMDDoS是否与另一种DdoS僵尸网络有关,即YoyoDDoS,该僵尸网络攻击了将近200个网站,且这些网站大部分都是位于中国和美国。“我们认为这其中应该有某种联系,可能是因为使用了共享代码,”Arbor公司的高级安全研究员Jose Nazario表示。
“DdoS即业务正愈演愈烈,并且不断演化,”Shadowserver的主管Andre' Di Mino表示,该公司一直在追踪基于BlachEnergy的僵尸网络对全球范围内各行业发动的分布式拒绝服务攻击。“我们发现分布式拒绝服务攻击方面的僵尸网络技术发展非常快,很多攻击者都跃跃欲试。”
对于这些服务的需求正在持续上升,他表示,“这不只是勒索问题了,还能够打击你的竞争对手,或者只是简单地发布关于某事件或者企业的声明,”Di Mino表示。“分布式拒绝攻击再次演变延展到技术问题意外的范围,包括社会、政治和经济等范围。”
Arbor公司的Nazario表示,DdoS在过去几年中一直都是最热门的攻击手段,DdoS最大的变化就是DdoS攻击者开始瞄准应用程序层,而不再是网络层,例如HTTP和DNS。
Damballa公司的Ollmann表示,DdoS僵尸网络往往都是由“二手”或者循环的僵尸机器组成的。“受感染的机器不断被各种僵尸网络利用,他们被不同僵尸网络操控者用于各种不同类型的目的,”Ollmann表示,“当受感染机器被利用多次后,价值就会降低,所以你会发现使用‘二手’僵尸机器的最后都是DdoS。”
这样能够帮助僵尸网络操控者最大限度地挖掘僵尸机器的价值。
与此同时,DdoS在黑市的商业价值也越来越高,例如IMDDoS服务。Ollmann在分析后发现IMDDoS及其恶意代码属于恶意代码中独特的类别。
【编辑推荐】