随着攻击的逐渐变缓,此次针对俄罗斯互联网巨头Yandex的分布式拒绝服务(DDoS)攻击的有关技术细节正在浮出水面。一个被称为Meris的大规模僵尸网络被认为应该对此负责,它在几乎同一时间向Yandex发起了数百万的HTTP网页请求。
这种DDoS技术被称为HTTP管道连接,即一个浏览器请求连接到一个服务器后,在不等服务器响应的情况下,再次发送出多个请求。据报道,这些请求主要来自于MikroTik公司的网络设备。研究人员称,攻击者主要利用了56,000多台MikroTik主机中的一个未修补的漏洞来发起的DDoS攻击。
据统计,Meris僵尸网络对Yandex发起了自研究人员发现它以来的最大的攻击流量,峰值为每秒2180万个请求(RPS)。相比之下,据统计,有史以来最大的DDoS攻击发生在8月19日,达到了1720万RPS。
最近的Meris攻击
研究人员将Meris与之前8月19日的DDoS攻击进行了对比。对Yandex的攻击发生在8月29日至9月5日之间,当时发生了2180万RPS的攻击。这两者都被认为是Meris僵尸网络背后的威胁者进行大规模攻击的前兆,目前他们还没有打出所有的火力。
Yandex 的安全团队成员也对僵尸网络攻击方式进行了分析。根据我们对僵尸网络内部结构的分析,发现其方式主要是使用L2TP[第二层隧道协议]隧道在网络通信中进行攻击。目前受感染的设备数量达到了25万台。
L2TP是一个用于管理虚拟私人网络和提供互联网服务的协议。该隧道为两个私人网络之间跨越公共互联网进行数据传输提供了便利。
Yandex和Qrato对这次攻击展开了调查,并一致认为Meris是高度复杂的。
此外,所有的这些[被攻击的MikroTik主机]都是网络性能很强的设备,不是你日常连接Wi-Fi的路由器。这里我们所说的是一个僵尸网络,它主要由通过以太网连接的物理网络设备组成。
早期的警告被忽视
技术方面包括攻击者利用的一个2018年的一个漏洞,其编号为CVE-2018-14847。研究人员在进行信息披露时警告说,我们需要非常认真地对待这个漏洞,因为目前新发现了一种允许在MikroTik边缘和消费者路由器上执行远程代码的黑客技术。
研究人员称,我们现在已经发现了攻击者是如何使用它来获得系统的root shell的。它首先会使用CVE-2018-14847来管理证书,然后通过认证的代码路径来安装一个后门。
虽然MikroTik当年修补了CVE-2018-14847漏洞,但只有大约30%的含有漏洞的调制解调器进行了修补,该漏洞使得有大约20万台路由器容易受到攻击。MikroTik的RouterOS主要为其商业级RouterBOARD品牌以及为该供应商的ISP/运营商级装备提供技术支持。
Qrato最近对该DDoS攻击的分析显示,被攻击的主机都开放有2000端口(带宽测试服务器)和5678端口(Mikrotik邻居发现协议)。研究人员报告说,互联网上有328,723台活跃的主机回复了5678端口的TCP探测。
缓解攻击造成的影响
虽然给MikroTik设备打补丁是缓解未来Meris攻击最理想的措施,但研究人员也建议将其列入黑名单。
由于那些Meris攻击没有使用欺骗攻击技术,每个攻击受害者都可以对攻击的源头进行溯源。我们可以在不干扰其终端用户使用的情况下,对其就行防御。
目前还不清楚Meris僵尸网络的幕后攻击者将来会如何进行行动。他们可能会利用被攻击的设备,将其百分之百的网络处理能力(包括带宽和处理器)掌握在自己手中。在这种情况下,除了阻止第一个请求之后的每一个连续的请求,防止其回答请求设备外,没有其他办法。
本文翻译自:https://threatpost.com/yandex-meris-botnet/169368/如若转载,请注明原文地址。