[[176294]]

近日非洲國家利比里亞遭受僵尸網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)全面癱瘓，這個(gè)攻擊背后的僵尸網(wǎng)絡(luò)似乎與上個(gè)月Dyn DNS服務(wù)遭受的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊相同。

本周，利比里亞的互聯(lián)網(wǎng)遭受了嚴(yán)重的破壞，強(qiáng)大的分布式拒絕服務(wù)(DDoS)攻擊破壞了該國服務(wù)提供商的系統(tǒng)，而這些服務(wù)提供商使用同一根互聯(lián)網(wǎng)電纜為全國提供網(wǎng)絡(luò)服務(wù)，導(dǎo)致全國網(wǎng)絡(luò)癱瘓。安全專家將這次攻擊指向Mirai僵尸網(wǎng)絡(luò);根據(jù)安全架構(gòu)師Kevin Beaumont表示，這個(gè)#14 Mirai僵尸網(wǎng)絡(luò)可能是由上個(gè)月Dyn域名系統(tǒng)(DNS)DDoS攻擊背后的威脅行為者控制

。 “在過去一年，我們看到對利比里亞基礎(chǔ)設(shè)施的持續(xù)短期攻擊，”Beaumont稱，“在攻擊過程中，傳輸提供商證實(shí)輸出流量超過500 Gbps，攻擊持續(xù)時(shí)間很短，這是最大的Mirai僵尸網(wǎng)絡(luò)，控制它的域名早于Dyn的攻擊。這種容量使其成為有史以來最大的DDoS僵尸網(wǎng)絡(luò)。鑒于這種容量，可能是攻擊Dyn相同的攻擊者所操作。”

Beaumont補(bǔ)充說，對利比里亞的攻擊似乎只是一個(gè)測試，這種攻擊非常令人擔(dān)憂，因?yàn)檫@意味著Mirai操作者已經(jīng)有足夠的能力可嚴(yán)重破壞一個(gè)國家的系統(tǒng)。

Linux/IRCTelenet：新IoT僵尸網(wǎng)絡(luò)出現(xiàn)

同時(shí)，新興物聯(lián)網(wǎng)(IoT)僵尸網(wǎng)絡(luò)悄然出現(xiàn)，它可能比Mirai更令人擔(dān)憂。這個(gè)僵尸網(wǎng)絡(luò)被稱為Linux/IRCTelnet，根據(jù)名為Unixfreaxjp安全研究人員表示，這種最新的威脅可利用IRC執(zhí)行DDoS攻擊，它可對遠(yuǎn)程登錄協(xié)議使用暴力攻擊來控制基于Linux的IoT設(shè)備，這很像Mirai的做法

。 根據(jù)Unixfreaxjp表示，新惡意軟件的組成部分很有趣，因?yàn)樗Y(jié)合了其他僵尸惡意軟件的組件和技術(shù)。例如，Unixfreaxjp發(fā)現(xiàn)了Trunami/Kaiten中使用的技術(shù)，以及被稱為GayFgt、Torlus、Lizkebab、Bashdoor或Bashlite的惡意軟件系列，同時(shí)還使用IoT證書列表硬編碼到Mirai僵尸網(wǎng)絡(luò)代碼。

Unixfreaxjp稱：“這個(gè)僵尸網(wǎng)絡(luò)的DoS攻擊機(jī)制很像UDP洪水、TCP洪水以及其他系列攻擊方法，在IPv4和IPv6協(xié)議中，還在IPv4或IPv6額外的IP欺詐選項(xiàng)中。”

LDAP放大攻擊可能會推動DNS DDoS攻擊

而根據(jù)Corero網(wǎng)絡(luò)安全公司表示，Dyn DNS遭受的DDoS攻擊被觀察有高達(dá)1.2 Tbps流量，而新型輕量級目錄訪問協(xié)議(LDAP)放大攻擊向量可將DNS DDoS攻擊擴(kuò)展到每秒幾十萬億比特。DDoS防御公司Marlborough報(bào)告了一個(gè)新的重大零日DDoS攻擊向量，它可將DDoS攻擊量擴(kuò)大至攻擊者最初生成原始量的55倍多。

Corero在10月下旬第一次觀察到使用該技術(shù)針對其客戶。這種放大攻擊取決于LDAP，這是用于處理用戶身份驗(yàn)證數(shù)據(jù)的廣泛使用的協(xié)議，特別是作為微軟Active Directory的一部分。

Corero公司首席技術(shù)官兼首席運(yùn)營官Dave Larson推測，如果這種技術(shù)結(jié)合其他DDoS做法(例如最近Mirai IoT僵尸網(wǎng)絡(luò)攻擊中采用的方法)，我們很快就會看到無法想象的供給規(guī)模，這可能帶來深遠(yuǎn)的影響。千兆級攻擊很快會成為現(xiàn)實(shí)，并可能嚴(yán)重影響互聯(lián)網(wǎng)的可用性--至少在某些地區(qū)。