■盧文文

深度解讀復(fù)雜的DDoS攻擊機(jī)器人程序

■盧文文

不久前，Radware緊急響應(yīng)團(tuán)隊（ERT）發(fā)現(xiàn)，針對大客戶的Tsunami SYN泛洪攻擊的使用在大幅增加。此活動明確表明了與服務(wù)相關(guān)的機(jī)器人程序的出現(xiàn)，Radware安全研究人員成功獲取了一個用于生成這些DDoS攻擊的二進(jìn)制惡意軟件樣本。隨后，Radware安全研究人員將該惡意軟件部署在一個隔離可控的環(huán)境中，以便研究惡意軟件行為及其不同的攻擊方法和對象。

分析表明，在此次攻擊中涉及到了50000多個攻擊源。然而，在深入分析之后，Radware安全研究人員卻發(fā)現(xiàn)，80%以上的攻擊流量只是由少數(shù)幾個攻擊源生成的。這表明，機(jī)器人程序的攻擊主要針對的是某些設(shè)備。事實上，主要是路由器和服務(wù)器出現(xiàn)了高流量負(fù)載情況。這個惡意軟件主要感染的是Linux設(shè)備，那些具有高帶寬上傳功能的服務(wù)器。

在短短10天（2015年6月14-23日）的時間內(nèi)，Radware安全研究人員成功監(jiān)測到2000多個針對7個不同國家中60多個不同目標(biāo)的攻擊。

我們發(fā)現(xiàn)的該惡意軟件特點：具有三種不同的攻擊類型：SYN攻擊、HTTP攻擊和DNS攻擊。每種攻擊還可以設(shè)置不同的攻擊選項，如：目標(biāo)端口、IP和攻擊子類型。使用XOR加密通信通道對服務(wù)器發(fā)出命令和進(jìn)行控制。一個標(biāo)準(zhǔn)的Linux機(jī)器每秒可以生成100K數(shù)據(jù)包的攻擊。

被感染機(jī)器可以進(jìn)行自我測試，以確?？梢陨蓚卧霫P攻擊。這表明，我們之前了解到的50000個IP中的多數(shù)都是經(jīng)過偽造的。

自我復(fù)制功能用于維持攻擊的持久性。它會不斷地創(chuàng)建經(jīng)過微調(diào)的二進(jìn)制副本，文件自身的檢測變得更加困難。

進(jìn)程名通常隱藏在bash、grep、pwd、sleep等常用進(jìn)程名之后。這些命令字符串以一種混淆的格式隱藏在文件中。

雖然這些并不是最新的技術(shù)，但是卻表明，目前，為了獲取更多的經(jīng)濟(jì)利益，DDoS惡意軟件編寫人員變得越來越專業(yè)。他們會不斷感染服務(wù)器和路由器，以利用這些高端設(shè)備，同時以合理的價格進(jìn)行出租。

無論是為了經(jīng)濟(jì)收益，還是為了進(jìn)行間諜活動、網(wǎng)絡(luò)戰(zhàn)或是黑客攻擊，攻擊者一直在尋找并利用服務(wù)器與應(yīng)用中存在的安全漏洞。密碼和防護(hù)策略比較薄弱的服務(wù)器和路由器被大量爆出，這使得惡意軟件租用者可以快速并廉價地組建一個機(jī)器人軍隊。

DDoS尋租產(chǎn)品正在逐漸形成成熟的平臺，可以提供復(fù)雜的金融詐騙和垃圾郵件能力，為用戶提供廉價的優(yōu)質(zhì)服務(wù)。

現(xiàn)在，企業(yè)更需要部署防護(hù)和緩解技術(shù)，并密切注意攻擊者的攻擊目標(biāo)。要知道現(xiàn)在任何人都可以廉價租用一個惡意僵尸網(wǎng)絡(luò)并發(fā)起攻擊。