僵尸网络再现新动态,DDoS攻击、IoT漏洞攻击并用

2020-03-17 10:20 标签: 僵尸网络再现新动态

近日,安全研究人员发现了会显著影响Linux设备的恶意软件活动。据获取的恶意软件样本分析显示,这些活动与名为Momentum的僵尸网络(从通信频道内所发现图片命名)有关。此外,安全研究人员还发现了该僵尸网络用来入侵设备并执行分布式阻断服务(DDoS)攻击的工具及技术细节。

Momentum会针对采用各种CPU构架的Linux平台,包括ARM、MIPS、Intel、Motorola68020等。它的主要目的是要开启后门来接受命令对给定目标进行各种阻断服务(DoS)攻击。Momentum僵尸网络会扩散的后门程序包括了Mirai、Kaiten和Bashlite等病毒变种。安全研究人员所分析的样本正在派送Mirai后门程序。此外,Momentum是透过攻击多种路由器和网页服务漏洞来进行扩散,进而在目标设备下载并执行Shell脚本。

Momentum如何运作?

Momentum在感染设备后会经由修改rc文件来实现持续性。接着会加入命令和控制(C&C)服务器,连到名为#HellRoom的IRC频道来注册自己并接收命令。IRC协定是它与命令和控制(C&C)服务器通信的主要方法。接着,僵尸网络操作者就可以发送信息到IRC频道来控制受感染系统。

派送服务器放有恶意软件执行程序。另一台服务器是僵尸网络的C&C服务器。C&C服务器是在2019年11月18日开始启用。

一旦建立了通信联机,Momentum便可以透过各种命令来利用受感染设备进行攻击。分析显示,Momentum能够部署36种不同的DoS攻击。

此恶意软件会用许多反射和放大攻击手法来针对多种目标:MEMCACHE、LDAP、DNS和ValveSourceEngine(VSE)。在这些类型的攻击中,恶意软件通常会发送伪造来源IP地址(受害者)的封包到公开服务器的各类服务,从而导致大量响应来淹没受害者IP地址。

除了DoS攻击之外,安全专家发现Momentum还可以进行其他操作:在指定IP端口开启代理程序,更改客户端昵称,停用或启用来自客户端的封包等等。

Momentum特定的攻击功能

Momentum的阻断服务(DoS)攻击

LDAPDDoS反射攻击

在进行LDAPDDoS反射攻击时,恶意软件会将来源IP地址伪装成目标系统来查询可公开访问的LDAP服务器,导致大量响应流量传送给目标。

Memcache攻击

远端攻击者在进行Memcache攻击时,会将来源IP地址伪装成目标系统来对可被攻击的UDPMemcached服务器发送特制的恶意UDP请求。接着这Memcached服务器就会向目标发送大量响应。Momentum使用HTTPGET请求下载反射文件–恶意软件,在其他放大式DoS攻击也会出于相同目的来使用相同的请求。据资料显示,有超过42,000个可被攻击的Memcached服务器可能遭受此类攻击的影响。

UDP-BYPASS攻击

Momentum在进行UDP-BYPASS攻击时会对特定端口上传特制的合法UDP封包来淹没目标主机。在执行此攻击时,恶意软件会选择一个随机端口和对应的特制封包,然后发送到目标主机。恶意软件会在每个线程占用一个端口来上传特制封包。

Phatwonk攻击

Phatwonk攻击可一次执行多种DoS方法:XMAS,同时设定所有flag,usyn(urgsyn)和任意TCPflag组合。

Momentum的其他功能

要达到想要的结果需要靠攻击以外的功能。通常恶意软件会想要躲避侦测,保持开放的通信管道,以及进行更多后续成功的活动。Momentum还有其他功能来帮助自己扩散和入侵设备:

快速变动(FastFlux)。Momentum僵尸网络使用快速变动技术来让自己的命令和控制网络更加有弹性。快速变动网络代表有多个IP地址跟一个网域相关联,然后不断快速地进行连续变更,攻击者用它来误导或躲避安全调查。

后门程序。攻击者可向IRC频道发送命令(“BASH”、“SHD”或SH命令),恶意软件客户端会在受感染系统上接收并执行命令。将结果送回攻击者下指令的同一IRC频道。

扩散。Momentum会利用下表列出的漏洞来进行扩散。我们所调查的C&C服务器显示有1,232名受害者。而其他Momentum变种和C&C服务器可能还有更多的受害者。

安全建议和解决方案

由于安全设定和保护措施的受限,智能联网设备容易遭受入侵威胁。设备制造时通常只考虑到操作性而非安全性。使用者必须采取积极措施来保护自己的设备(尤其是路由器)安全。如前所述,Momentum僵尸网络针对的是Linux设备,这些设备已知容易遭受僵尸网络、勒索软件和虚拟货币挖矿等攻击。但有许多方法可以保护这类设备抵御攻击。

规划所有的联网设备。无论是在家里还是企业,连接网络的所有设备都应该经过充分考量。应该要注意其设定、帐密、软件版本和最新修补程序。此步骤可帮助评估使用者需要采取的安全措施,并且找出可能需要更换或更新的设备。

变更预设密码和程序设定。确保每个设备都使用较强的安全性设定,如果没有就必须更改设定。变更预设密码和弱密码以避免暴力破解和恶意连线等攻击。

修补漏洞。修补更新可能是项困难的工作,尤其是对企业而言。但一旦修补程序发布就必须要加以更新。对某些使用者来说,更新修补程序可能会破坏其日常运作,这时可以选择虚拟修补技术。

进行网络分段。使用网络分段来防止攻击扩散,并隔离可能无法马上离线的有问题设备。

热门文章 我国网络安全的新形势和新挑战 网络安全的演变趋势 第七届国家网络安全宣传周幕:你我共同维护网络安全 2020年第二季度DDos攻击报告 企业如何解决网络安全问题
行业资讯 Industry Information

关于我们

About Us