现在,它的源代码已经发布,您可以期待来自Mirai的更多攻击,Mirai是有记录以来最大的DDoS攻击背后的恶意软件,该攻击是由被劫持的物联网设备驱动的。
自从上周发布这段代码以来,它一直在为较小的攻击负责,这些攻击看起来像是新来者为了准备更大的事情而尝试使用恶意软件,英佩瓦的安全研究人员说. 他们在博客中说:“很可能,这些都是未来事态发展的迹象,我们希望在不久的将来应对米莱发动的袭击。”。
这种担心是在F5的研究人员回响,他说,“我们可以肯定地预计,物联网DDoSing趋势将在全球威胁格局中大幅上升。”
过去两周的历史性袭击取下大众克雷布森安全网站挑战法国主机提供商OVH的资源根据Akamai网络安全副总裁Josh Shaul的说法,标志着DDoS流量的最新高峰,这意味着缓解基础设施必须为规模为3到5倍的攻击做好准备。
他说,尽管攻击的威力高达1Tbps,但以动漫角色米莱·苏纳加命名的米莱并没有什么特别之处。“通常,最酷的东西是利用或恶意软件隐藏或持久的能力。Mirai可以通过重启受感染的设备来坚持,但这并不是非常复杂。”
它在攻击者使用默认密码登录后安装在系统上。Mirai连接到IRC类型的服务,在那里它等待命令。它并没有试图躲避法医的分析,可能是因为它所使用的设备类型没有一个足够熟练的拥有者来寻找它。他说:“这不是虚张声势。
Imperva说,恶意软件通过扫描广泛的IP地址找到易受攻击的机器,直到找到密码容易猜到的物联网设备。它的行动手册中有很多DDoS攻击方法,包括GRE、SYN、ACK、DNS、UDP和简单的面向文本的消息协议(STOMP)洪水。
F5说,DNS攻击包括不常见的DNS水刑攻击,该攻击使用于解析有关实际目标的查询的DNS服务器过载。当一个服务器过载时,查询将被重新传输到目标的另一个DNS服务器,依此类推,直到合法通信量无法定向到目标为止。
Akamai的Shaul说,攻击者在攻击中使用较小的数据包,这会使目标服务器附近的网络设备以及服务器本身受到压力。路由器必须为每个包花费处理能力,而不管其长度如何,因此增加包的绝对数量会导致网络瓶颈。
他说,Akamai已经观察到了这种影响。他说:“流量少但数据包多,你可以在中间中断网络设备。”。“我们在上周的袭击中看到了这种平衡的两面。”
幕后黑手是谁?
Imperva说:“代码揭示出的最有趣的事情之一是一个IP Mirai机器人的硬编码列表,在执行IP扫描时,这些机器人会被编程来避免。这些机构包括美国国防部、美国邮政局、惠普、通用电气和互联网分配号码管理局。
这使得英佩瓦的研究人员推测,恶意软件的创造者是天真地试图通过消除这些IP范围来避免引起注意,然后利用这些IP范围发动有史以来最严密的攻击之一。他们写道:“这些照片一起描绘了一个熟练但经验不足的程序员,他可能有点过头了”,但不是一个资深的网络罪犯。
该代码的命令和控制界面使用英语,但也包含俄语字符串。他们写道:“这为猜测该代码的来源打开了大门,作为米莱是由俄罗斯黑客或至少是一群黑客开发的线索,其中一些黑客来自俄罗斯。”。
Shaul说,不管谁是Mirai的幕后黑手,都可能发动了这场大规模攻击,以此展示其能力,这样类似攻击的威胁就可以用来向潜在受害者勒索现金,以避免DDoS攻击。
下载该软件的人可能是组装了一个通用僵尸网络的人,他们希望将其作为一支DDoS军队进行武器化,例如,在DDoS出租业务中使用。他说:“如果我们不看到这种情况发生,我会感到惊讶。“拥有肉毒杆菌养殖技能的人可能没有DDoS的技能。”
他说,个人可能不会下载Mirai进行恶意DDoS攻击,因为雇佣服务的效率要高得多。
专家表示,招募物联网僵尸网络比试图破坏个人电脑和服务器有很多优势:
- 许多物联网设备都公开了仅受默认密码保护的管理端口。
- 这些设备缺乏防病毒等安全软件。
- 住宅客户和缺乏安全经验的小企业负责保护这些设备。
- 通常物联网设备一直连接到互联网。
- 攻击者不必处理社会工程、电子邮件中毒或昂贵的零日攻击。
去年夏天,一家名为Mirai的公司在其设置的蜜罐中发现了一种新技术,该技术吸引了很多人试图登录该系统。他说,大多数尝试都来自中国,大多数都是试图登录扎根。许多试图登录蜜罐的密码都是物联网设备(闭路摄像头和DVR)的唯一默认密码。
有时在登录提示时,攻击会使用shell命令,这表明恶意软件存在一个错误,使其无法察觉登录尝试失败的事实,因此它会像成功登录一样运行命令。这些命令是试图下载Mirai恶意软件。
这给了Akamai研究人员一些可以比较实际攻击流量的东西。
Akamai跟踪了僵尸网络中的一些主机,发现它们是闭路摄像头和DVR系统。因此,发送的数据包与Mirai发送的数据包相似,而攻击中的设备类型正是Miria所攻击的类型。