不久前，Radware 緊急響應團隊(ERT)發(fā)現(xiàn)，針對大客戶的Tsunami SYN 泛洪攻擊的使用在大幅增加。此活動明確表明了與服務相關的機器人程序的出現(xiàn)，Radware 安全研究人員成功獲取了一個用于生成這些DDoS 攻擊的二進制惡意軟件樣本。隨后，Radware 安全研究人員將該惡意軟件部署在一個隔離可控的環(huán)境中，以便研究惡意軟件行為及其不同的攻擊方法和對象。

分析表明，在此次攻擊中涉及到了50000 多個攻擊源。然而，在深入分析之后，Radware 安全研究人員卻發(fā)現(xiàn)，80%以上的攻擊流量只是由少數幾個攻擊源生成的。這表明，機器人程序的攻擊主要針對的是某些設備。事實上，主要是路由器和服務器出現(xiàn)了高流量負載情況。這個惡意軟件主要感染的是Linux 設備，那些具有高帶寬上傳功能的服務器。

在短短10 天(2015年6月14-23日)的時間內，Radware 安全研究人員成功監(jiān)測到2000 多個針對7 個不同國家中60 多個不同目標的攻擊。

我們發(fā)現(xiàn)的該惡意軟件特點：

具有三種不同的攻擊類型：SYN 攻擊、HTTP 攻擊和DNS攻擊。每種攻擊還可以設置不同的攻擊選項，如：目標端口、IP和攻擊子類型。

使用XOR 加密通信通道對服務器發(fā)出命令和進行控制。

一個標準的Linux 機器每秒可以生成100K 數據包的攻擊。

被感染機器可以進行自我測試，以確保可以生成偽造IP攻擊。這表明，我們之前了解到的50000 個IP 中的多數都是經過偽造的。

自我復制功能用于維持攻擊的持久性。它會不斷地創(chuàng)建經過微調的二進制副本，因此，文件自身的檢測變得更加困難。

進程名通常隱藏在bash、grep、pwd、sleep 等常用進程名之后。這些命令字符串以一種混淆的格式隱藏在文件中。

雖然這些并不是最新的技術，但是卻表明，目前，為了獲取更多的經濟利益，DDoS 惡意軟件編寫人員變得越來越專業(yè)。他們會不斷感染服務器和路由器，以利用這些高端設備，同時以合理的價格進行出租。

無論是為了經濟收益，還是為了進行間諜活動、網絡戰(zhàn)或是黑客攻擊，攻擊者一直在尋找并利用服務器與應用中存在的安全漏洞。密碼和防護策略比較薄弱的服務器和路由器被大量爆出，這使得惡意軟件租用者可以快速并廉價地組建一個機器人軍隊。

DDoS 尋租產品正在逐漸形成成熟的平臺，可以提供復雜的金融詐騙和垃圾郵件能力，為用戶提供廉價的優(yōu)質服務。

現(xiàn)在，企業(yè)更需要部署防護和緩解技術，并密切注意攻擊者的攻擊目標。要知道現(xiàn)在任何人都可以廉價租用一個惡意僵尸網絡并發(fā)起攻擊。