据了解国家互联网应急中心(以下简称 CNCERT)近日发布一则“关于 Mirai 变种Miori 僵尸网络大规模传播的风险提示”,指出一个新的僵尸网络 Mirai_miori( Mirai 变种)正在互联网上快速传播。
通过跟踪监测发现,该僵尸网络自4月6日出现起每日上线境内肉鸡数(以IP数计算)最多已超过1万,且每日会针对多个攻击目标发起 DDoS 攻击,后期随着控制规模扩大攻击行为日益活跃。攻击最猛烈的时候是5月30日共对323个目标发起攻击,5月29日曾先后调动2.5千台肉鸡攻击某受害目标。
Mirai_miori 变种僵尸网络攻击趋势
就在不久前(5月30日),CNCERT 已经就 Mirai 变种僵尸网络大规模传播发出过一次风险预警,CNCERT 提示,捕获的 Mirai 变种样本至少迭代过4个版本,4月1日至5月23日其日上线境内肉鸡数最高达到2.1万台,累计感染肉鸡数达到11.2万。
僵尸网络为何如此危险?
作为一种恶意软件,Mirai 能够感染在 ARC 处理器上运行的智能联网(IoT)设备,比如网络摄像头、家用路由器、家用网络存储设备(NAS)、安卓设备及Linux服务器,并将其转变为远程控制的机器人或“僵尸”并组成网络,通常用于发动 DDoS 攻击或通过挖矿牟利。
2016年9月,Mirai 的作者在一个著名安全专家的网站上发起了 DDoS 攻击,或许是为了隐藏这次攻击的源头,一周后,他们向公众发布了源代码。随后几年里,代码被许多黑客团伙下载复制并重复使用相同的技术来创建其他僵尸网络,Mirai 变种源源不绝,统计显示,全球约有五分之一的物联网设备被 Mirai 及其变种病毒感染。
由于互联网上存在安全漏洞的IoT设备和云主机数量庞大,Mirai 僵尸网络的规模正在不断扩大。而智能物联网设备的用户很多并不知道系统已被控制,也较少对设备固件进行升级,除非用户将设备淘汰更换,失陷设备可能一直被黑客团伙控制。
2021年11月,网络安全厂商 Cloudflare 宣布拦截了史上最大规模 DDoS 攻击,攻击峰值达到17.2M rps,该攻击正是由一个 Mirai僵尸网络变种发起的,攻击流量来自全球125个国家的超过2万个僵尸主机,针对 Cloudflare 的一个金融客户,在短短几秒钟内就发起了超过3.3亿个攻击请求。
不仅仅是 Mirai 僵尸网络,Dofloo、XOR DDoS、 BillGates、Gafgyt 几大家族的攻击活动都非常活跃,给网络空间带来较大威胁。也不仅仅局限于物联网设备,《2021年全球DDoS威胁报告》指出,自2021年10月起,Mirai、BillGates 僵尸网络新增大量运行着 GitLab 服务的服务器,表明犯罪团伙已经将触手伸向了存在漏洞的 IDC 服务器。
企业如何抵御僵尸网络和DDoS?
DDoS僵尸网络控制的资源众多,攻击目标变换迅速,溯源非常困难,其活跃程度和凶险程度给企业正常业务造成重大威胁,防护挑战正逐步升级。
部分广泛使用的基础软件存在漏洞,大量 IoT 设备或 IDC 服务器也容易受漏洞影响成为肉鸡。企业应该及时梳理已有资产列表,不使用弱密码或默认密码,定期更换密码;发现服务器存在高危安全漏洞时,务必及时修复,否则,不仅导致存在漏洞的设备被黑客攻陷,还会波及内部其他服务器,导致大量服务器被部署僵尸网络的攻击程序,持续对外发起 DDoS 攻击。
虚拟货币监管的加码,导致大量肉鸡流入 DDoS 攻击黑产,对于企业来讲,需要评估在遭遇 Tb 级超大流量攻击的极端场景下,现有防护方案和防护资源是否还能保障业务不受 DDoS 攻击影响。如今僵尸网络成扫段攻击的重要推手,由于大量 IP 被同时攻击,很容易出现少量透传导致机房网络异常、大量攻击流量与业务流量叠加,导致防护设备性能紧张等问题,应对方案和普通的 DDoS 攻击有较大区别。
通常来讲,普通企业不具备足够大的带宽跟DDoS大流量做对抗,专业化的黑产团伙甚至具有比防守方更丰富的经验,这个对抗过程需要非常精锐的团队进行7×24小时的支撑;面对扫段攻击等特殊的攻击方式,必须秒级监测、秒级清洗才能对避免业务和服务造成影响。因此,选择跟专业度高的安全团队合作是企业应对
DDoS攻击最有保障的一种方式。
DDoS攻击是所有网络威胁中唯一可以指哪打哪的攻击,效果可谓立竿见影。更有甚者,DDoS也正在成为勒索犯罪团伙的首选手段,其实施成本低、收益丰厚、难以溯源,预计未来一段时间内,都将对企业安全构成较大威胁。DDoS防护是许多企业的安全能力短板,在日常安全防护中应制定必要的预案,进行适当的演练,提升监测和响应的灵敏度,避免企业的核心资产、日常业务及品牌声誉在攻击面前化为灰烬。