不久前，Radware 緊急響應(yīng)團(tuán)隊(duì)(ERT)發(fā)現(xiàn)，針對(duì)大客戶的Tsunami SYN 泛洪攻擊的使用在大幅增加。此活動(dòng)明確表明了與服務(wù)相關(guān)的機(jī)器人程序的出現(xiàn)，Radware 安全研究人員成功獲取了一個(gè)用于生成這些DDoS 攻擊的二進(jìn)制惡意軟件樣本。隨后，Radware 安全研究人員將該惡意軟件部署在一個(gè)隔離可控的環(huán)境中，以便研究惡意軟件行為及其不同的攻擊方法和對(duì)象。

分析表明，在此次攻擊中涉及到了50000 多個(gè)攻擊源。然而，在深入分析之后，Radware 安全研究人員卻發(fā)現(xiàn)，80%以上的攻擊流量只是由少數(shù)幾個(gè)攻擊源生成的。這表明，機(jī)器人程序的攻擊主要針對(duì)的是某些設(shè)備。事實(shí)上，主要是路由器和服務(wù)器出現(xiàn)了高流量負(fù)載情況。這個(gè)惡意軟件主要感染的是Linux 設(shè)備，那些具有高帶寬上傳功能的服務(wù)器。

在短短10 天(2015年6月14-23日)的時(shí)間內(nèi)，Radware 安全研究人員成功監(jiān)測(cè)到2000 多個(gè)針對(duì)7 個(gè)不同國(guó)家中60 多個(gè)不同目標(biāo)的攻擊。

我們發(fā)現(xiàn)的該惡意軟件特點(diǎn)：

具有三種不同的攻擊類型：SYN 攻擊、HTTP 攻擊和DNS攻擊。每種攻擊還可以設(shè)置不同的攻擊選項(xiàng)，如：目標(biāo)端口、IP和攻擊子類型。

使用XOR 加密通信通道對(duì)服務(wù)器發(fā)出命令和進(jìn)行控制。

一個(gè)標(biāo)準(zhǔn)的Linux 機(jī)器每秒可以生成100K 數(shù)據(jù)包的攻擊。

被感染機(jī)器可以進(jìn)行自我測(cè)試，以確?？梢陨蓚卧霫P攻擊。這表明，我們之前了解到的50000 個(gè)IP 中的多數(shù)都是經(jīng)過(guò)偽造的。

自我復(fù)制功能用于維持攻擊的持久性。它會(huì)不斷地創(chuàng)建經(jīng)過(guò)微調(diào)的二進(jìn)制副本，因此，文件自身的檢測(cè)變得更加困難。

進(jìn)程名通常隱藏在bash、grep、pwd、sleep 等常用進(jìn)程名之后。這些命令字符串以一種混淆的格式隱藏在文件中。

雖然這些并不是最新的技術(shù)，但是卻表明，目前，為了獲取更多的經(jīng)濟(jì)利益，DDoS 惡意軟件編寫(xiě)人員變得越來(lái)越專業(yè)。他們會(huì)不斷感染服務(wù)器和路由器，以利用這些高端設(shè)備，同時(shí)以合理的價(jià)格進(jìn)行出租。

無(wú)論是為了經(jīng)濟(jì)收益，還是為了進(jìn)行間諜活動(dòng)、網(wǎng)絡(luò)戰(zhàn)或是黑客攻擊，攻擊者一直在尋找并利用服務(wù)器與應(yīng)用中存在的安全漏洞。密碼和防護(hù)策略比較薄弱的服務(wù)器和路由器被大量爆出，這使得惡意軟件租用者可以快速并廉價(jià)地組建一個(gè)機(jī)器人軍隊(duì)。

DDoS 尋租產(chǎn)品正在逐漸形成成熟的平臺(tái)，可以提供復(fù)雜的金融詐騙和垃圾郵件能力，為用戶提供廉價(jià)的優(yōu)質(zhì)服務(wù)。

現(xiàn)在，企業(yè)更需要部署防護(hù)和緩解技術(shù)，并密切注意攻擊者的攻擊目標(biāo)。要知道現(xiàn)在任何人都可以廉價(jià)租用一個(gè)惡意僵尸網(wǎng)絡(luò)并發(fā)起攻擊。