新一波DDoS僵尸網絡攻擊來勢洶洶
新型DdoS即服務出現在公共網絡中,導致每天新增一萬臺計算機被感染為僵尸機器。另一種DdoS僵尸網絡已經連續好幾個月攻擊全世界范圍內主要服裝零售商、各大銀行、社交網絡以及政府機構的網絡服務器,另外出于政治原因的攻擊也開始出現,例如馬拉西亞政府主要網站目前正遭受DdoS攻擊。
相信大家對分布式拒絕攻擊(即DDoS)早有耳聞,這種攻擊是通過讓受感染的計算機(即僵尸機器)發送大量無用的流量來攻擊和關閉企業的網上業務或者資源,導致企業因為停機時間和業務中斷而蒙受損失。攻擊者們一直在不斷尋找新的方法來利用這種幾乎不可能抵御的經典攻擊。
近日Damballa Research研究所近日發現了一種所謂的IMDDoS攻擊(DdoS攻擊的商業服務),這種攻擊現在已經成為全球最大的僵尸網絡。該僵尸網絡主要是由位于我國的受感染的機器組成的,不過美國仍然是擁有受IMDDoS攻擊的機器最多的前十大國家之一,還有很多受感染機器來自北美互聯網服務供應商和大型企業。
DdoS即服務并不是什么新的攻擊形式,僵尸網絡操控者通常都是通過地下論壇來提供不同的服務。“作為潛在的租戶,你將需要直接與所有者溝通,并且通過互聯網中繼聊天(IRC)來協商,”Damballa研究所副總裁Gunter Ollmann表示。
但是IMDDoS服務是非常明確的,它的網站詳細列明了它提供的各種不同的服務。“這是一套完整的服務產品,它們可以同時處理多個用戶,”他表示。
Ollman表示,該僵尸網絡平均每小時增加25000個獨特的遞歸DNS查詢,Damballa研究所對于僵尸機器的數量并沒有準確的數字,但是Ollmann表示,該僵尸網絡正準備攻擊命名web服務器。“惡意軟件本身并不復雜,但是從技術上來看,它是一個多用途的代理。”
Arbor Networks公司的研究所正在調查IMDDoS是否與另一種DdoS僵尸網絡有關,即YoyoDDoS,該僵尸網絡攻擊了將近200個網站,且這些網站大部分都是位于中國和美國。“我們認為這其中應該有某種聯系,可能是因為使用了共享代碼,”Arbor公司的高級安全研究員Jose Nazario表示。
“DdoS即業務正愈演愈烈,并且不斷演化,”Shadowserver的主管Andre' Di Mino表示,該公司一直在追蹤基于BlachEnergy的僵尸網絡對全球范圍內各行業發動的分布式拒絕服務攻擊。“我們發現分布式拒絕服務攻擊方面的僵尸網絡技術發展非常快,很多攻擊者都躍躍欲試。”
對于這些服務的需求正在持續上升,他表示,“這不只是勒索問題了,還能夠打擊你的競爭對手,或者只是簡單地發布關于某事件或者企業的聲明,”Di Mino表示。“分布式拒絕攻擊再次演變延展到技術問題意外的范圍,包括社會、政治和經濟等范圍。”
Arbor公司的Nazario表示,DdoS在過去幾年中一直都是最熱門的攻擊手段,DdoS最大的變化就是DdoS攻擊者開始瞄準應用程序層,而不再是網絡層,例如HTTP和DNS。
Damballa公司的Ollmann表示,DdoS僵尸網絡往往都是由“二手”或者循環的僵尸機器組成的。“受感染的機器不斷被各種僵尸網絡利用,他們被不同僵尸網絡操控者用于各種不同類型的目的,”Ollmann表示,“當受感染機器被利用多次后,價值就會降低,所以你會發現使用‘二手’僵尸機器的最后都是DdoS。”
這樣能夠幫助僵尸網絡操控者最大限度地挖掘僵尸機器的價值。
與此同時,DdoS在黑市的商業價值也越來越高,例如IMDDoS服務。Ollmann在分析后發現IMDDoS及其惡意代碼屬于惡意代碼中獨特的類別。
【編輯推薦】
