深度解讀復雜的DDoS攻擊機器人程序

■盧文文

深度解讀復雜的DDoS攻擊機器人程序

■盧文文

不久前，Radware緊急響應團隊（ERT）發現，針對大客戶的Tsunami SYN泛洪攻擊的使用在大幅增加。此活動明確表明了與服務相關的機器人程序的出現，Radware安全研究人員成功獲取了一個用于生成這些DDoS攻擊的二進制惡意軟件樣本。隨后，Radware安全研究人員將該惡意軟件部署在一個隔離可控的環境中，以便研究惡意軟件行為及其不同的攻擊方法和對象。

分析表明，在此次攻擊中涉及到了50000多個攻擊源。然而，在深入分析之后，Radware安全研究人員卻發現，80%以上的攻擊流量只是由少數幾個攻擊源生成的。這表明，機器人程序的攻擊主要針對的是某些設備。事實上，主要是路由器和服務器出現了高流量負載情況。這個惡意軟件主要感染的是Linux設備，那些具有高帶寬上傳功能的服務器。

在短短10天（2015年6月14-23日）的時間內，Radware安全研究人員成功監測到2000多個針對7個不同國家中60多個不同目標的攻擊。

我們發現的該惡意軟件特點：具有三種不同的攻擊類型：SYN攻擊、HTTP攻擊和DNS攻擊。每種攻擊還可以設置不同的攻擊選項，如：目標端口、IP和攻擊子類型。使用XOR加密通信通道對服務器發出命令和進行控制。一個標準的Linux機器每秒可以生成100K數據包的攻擊。

被感染機器可以進行自我測試，以確保可以生成偽造IP攻擊。這表明，我們之前了解到的50000個IP中的多數都是經過偽造的。

自我復制功能用于維持攻擊的持久性。它會不斷地創建經過微調的二進制副本，文件自身的檢測變得更加困難。

進程名通常隱藏在bash、grep、pwd、sleep等常用進程名之后。這些命令字符串以一種混淆的格式隱藏在文件中。

雖然這些并不是最新的技術，但是卻表明，目前，為了獲取更多的經濟利益，DDoS惡意軟件編寫人員變得越來越專業。他們會不斷感染服務器和路由器，以利用這些高端設備，同時以合理的價格進行出租。

無論是為了經濟收益，還是為了進行間諜活動、網絡戰或是黑客攻擊，攻擊者一直在尋找并利用服務器與應用中存在的安全漏洞。密碼和防護策略比較薄弱的服務器和路由器被大量爆出，這使得惡意軟件租用者可以快速并廉價地組建一個機器人軍隊。

DDoS尋租產品正在逐漸形成成熟的平臺，可以提供復雜的金融詐騙和垃圾郵件能力，為用戶提供廉價的優質服務。

現在，企業更需要部署防護和緩解技術，并密切注意攻擊者的攻擊目標。要知道現在任何人都可以廉價租用一個惡意僵尸網絡并發起攻擊。