近日非洲国家利比里亚遭受僵尸网络攻击,网络全面瘫痪,这个攻击背后的僵尸网络似乎与上个月Dyn DNS服务遭受的物联网僵尸网络攻击相同。
本周,利比里亚的互联网遭受了严重的破坏,强大的分布式拒绝服务(DDoS)攻击破坏了该国服务提供商的系统,而这些服务提供商使用同一根互联网电缆为全国提供网络服务,导致全国网络瘫痪。安全专家将这次攻击指向Mirai僵尸网络;根据安全架构师Kevin Beaumont表示,这个#14 Mirai僵尸网络可能是由上个月Dyn域名系统(DNS)DDoS攻击背后的威胁行为者控制
。 “在过去一年,我们看到对利比里亚基础设施的持续短期攻击,”Beaumont称,“在攻击过程中,传输提供商证实输出流量超过500 Gbps,攻击持续时间很短,这是最大的Mirai僵尸网络,控制它的域名早于Dyn的攻击。这种容量使其成为有史以来最大的DDoS僵尸网络。鉴于这种容量,可能是攻击Dyn相同的攻击者所操作。”
Beaumont补充说,对利比里亚的攻击似乎只是一个测试,这种攻击非常令人担忧,因为这意味着Mirai操作者已经有足够的能力可严重破坏一个国家的系统。
Linux/IRCTelenet:新IoT僵尸网络出现
同时,新兴物联网(IoT)僵尸网络悄然出现,它可能比Mirai更令人担忧。这个僵尸网络被称为Linux/IRCTelnet,根据名为Unixfreaxjp安全研究人员表示,这种最新的威胁可利用IRC执行DDoS攻击,它可对远程登录协议使用暴力攻击来控制基于Linux的IoT设备,这很像Mirai的做法
。 根据Unixfreaxjp表示,新恶意软件的组成部分很有趣,因为它结合了其他僵尸恶意软件的组件和技术。例如,Unixfreaxjp发现了Trunami/Kaiten中使用的技术,以及被称为GayFgt、Torlus、Lizkebab、Bashdoor或Bashlite的恶意软件系列,同时还使用IoT证书列表硬编码到Mirai僵尸网络代码。
Unixfreaxjp称:“这个僵尸网络的DoS攻击机制很像UDP洪水、TCP洪水以及其他系列攻击方法,在IPv4和IPv6协议中,还在IPv4或IPv6额外的IP欺诈选项中。”
LDAP放大攻击可能会推动DNS DDoS攻击
而根据Corero网络安全公司表示,Dyn DNS遭受的DDoS攻击被观察有高达1.2 Tbps流量,而新型轻量级目录访问协议(LDAP)放大攻击向量可将DNS DDoS攻击扩展到每秒几十万亿比特。DDoS防御公司Marlborough报告了一个新的重大零日DDoS攻击向量,它可将DDoS攻击量扩大至攻击者最初生成原始量的55倍多。
Corero在10月下旬第一次观察到使用该技术针对其客户。这种放大攻击取决于LDAP,这是用于处理用户身份验证数据的广泛使用的协议,特别是作为微软Active Directory的一部分。
Corero公司首席技术官兼首席运营官Dave Larson推测,如果这种技术结合其他DDoS做法(例如最近Mirai IoT僵尸网络攻击中采用的方法),我们很快就会看到无法想象的供给规模,这可能带来深远的影响。千兆级攻击很快会成为现实,并可能严重影响互联网的可用性--至少在某些地区。