Lizardstresser IoT Botnet推出400Gbps DDOS攻击

2021-07-06 12:46:22来源:

研究人员表示,刘座博特网络推出了对巴西的银行,电信和政府机构的攻击(DDOS)攻击,以及三家大型美国博彩公司。

通过使用默认密码定位物联网(物联网)设备(IOT)设备,僵尸网络已经足够大,以在没有任何形式的放大形式的情况下发射400千兆位(Gbps)攻击。

攻击者只使用了他们感染了LizardStresser恶意软件的物联网设备可用的累积带宽。

恶意软件是由Lizard Squad DDOS组创建的,该组在2015年初发布了源代码,使其他有抱负的DDOS攻击者能够建立自己的僵尸网络。

LizardStresser活动在2016年的过程中增加,IoT设备开始成为常客的目标。

Arbor Networks的研究人员认为Lizardstresser是针对IoT设备的四个主要原因。

首先,IOT设备通常运行Linux操作系统的嵌入式或剥离版本,这意味着对目标架构可以轻松编译恶意软件,主要是ARM / MIPS / X86。

其次,IoT设备可能具有对Internet的总访问,而没有任何带宽限制或过滤。

第三,大多数IOT设备中的剥离操作系统和处理能力较少的安全功能,包括审核,并且大多数妥协都被业主忽略了。

最后,为了节省工程时间,IoT设备的制造商有时重复使用不同类别的设备中的硬件和软件部分。由于该软件重用,用于管理设备最初的默认密码可以在不同的设备上共享。

LizardStresser是一个用C编程语言编写的DDOS僵尸网络,其客户端旨在在Created Linux设备上运行,该设备连接到硬编码命令和控制(C&C)服务器。

根据Arbor的Matthew Bing,该协议基本上是互联网中继聊天(IRC)协议的轻量级版本。

感染的客户端将连接到服务器并接收命令以使用各种攻击方法启动DDOS攻击,他在博客文章中写道。

客户端可以运行可用于下载更新版本的LizardStresser或完全不同的恶意软件的任意shell命令。

客户端还可以连接到随机IP地址,并尝试通过Telnet使用硬编码用户名和密码列表作为传播方法登录。将成功的登录报告回C&C服务器以供以后同化进入僵尸网络。

Arbor一直在跟踪两个Lizardstresser C&C服务器,其研究人员认为由同一组威胁演员经营。

“虽然他们似乎在彼此之间说英语,但他们的主要目标在巴西的兴趣以及全球游戏网站上表现出兴趣,”Bing说。

一个攻击与超过1,000个源IP地址相关联,并在超过400Gbps达到峰值。

研究人员表示,攻击很有趣,因为攻击数据包似乎没有欺骗,这意味着流量来自数据包中的源地址,而不放大依赖于用户数据报协议(UDP),例如网络时间协议(NTP)或简单的网络管理协议(SNMP)。

威胁演员似乎通过分钟迅速改变他们的策略分钟,说Bing,在UDP洪水和TCP洪水之间切换了各种标志。

“这可能是威胁演员调整他们的攻击以获得最大的影响。基于UDP的攻击部分进一步表征为源自UDP高端口到目的地端口UDP / 443,其包大小为约1,400字节,“他写道。

研究人员追溯到越南的大部分攻击来源,其次是巴西,但也有其他来源散落在全球各地。

响应的近90%的主机具有“NetSurveillance Web”的HTML标题,表示Bing,它似乎是各种Internet可访问的网络摄像头使用的通用代码。

他说,root用户的默认密码可在线获得,并且默认情况下启用Telnet。“我们相信威胁演员定制了Lizardstresser Brute-Force代码,以根据NetSurveillance代码使用此已发布但未使用的IoT设备的默认密码。”

lezardstresser的公开版本会随机生成IP地址,但Bing表示,此攻击者可能修改代码以更喜欢某些地理位置。他说,另一种可能性是越南和巴西是运行NetSurveillance的IoT设备的主要用户。

研究人员表示,Lizardstresser正在成为IoT设备最受欢迎的僵尸网络,因为它使威胁演员可以轻松调整Telnet扫描。

对于IOT设备的默认密码,攻击者可以将独家受害者群体进入其僵尸网络。

DDOS攻击越来越受到攻击者的欢迎,平均-InthensityDoosattacks现在强大的Enuardo敲击了大多数企业离线。

但DDOS攻击也是网络罪犯展示其攻击能力的一种方式,主要是由于延迟目的。

其他网络犯罪集团出售DDOS工具,使业务组织能够致力于竞争对手的在线服务。

越来越多的企业也看到DDOS攻击被用作分散注意力或烟幕,以安装恶意软件和已能进行数据。

在一起,这些趋势意味着几乎没有组织从DDOS攻击中是安全的。DDOS使攻击更容易通过各种动机进行一系列演员进行。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章