歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
Akamai 研究發現XOR DDoS 殭屍網路透過被入侵的 Linux 機器
2015 / 10 / 05
本篇文章內容由廠商提供,不代表資安人科技網觀點
全新威脅建議書描述近期數起 XOR DDoS 殭屍網路發動的攻擊活動
XOR DDoS 殭屍網路攻城掠地,現已有能力發動 150 Gbps 以上的超大型 DDoS 攻擊
XOR DDoS 殭屍網路發動的 DDoS 攻擊中,有 90% 瞄準亞洲的各個組織
內容遞送網路 (content delivery network;CDN) 服務的全球領導廠商Akamai Technologies, Inc. (NASDAQ 交易代號:AKAM) 發表該公司安全情報反應團隊 (Security Intelligence Response Team;SIRT) 製作的全新網路安全威脅建議書。XOR DDoS 是一種用來綁架 Linux 系統的木馬惡意程式;攻擊者所發展出的殭屍網路,已有能力使用 XOR DDoS 來發動超過 150 Gbps 的分散式阻斷服務 (Distributed Denial of Service;DDoS) 攻擊。建議書完整說明這項威脅的詳細資訊,包括緩解 DDoS 攻擊資料封包 (payload) 分析和移除惡意程式的資訊。該建議書可從http://www.stateoftheinternet.com/xorddos 下載。
何謂XOR DDoS?
XOR DDoS 是一種會感染 Linux 系統的木馬惡意程式,由攻擊者在遠端指示受感染的 Linux 系統發動 DDoS 攻擊。首先,攻擊者會以暴力攻擊法取得 Linux 機器上 Secure Shell 服務的密碼,進而取得存取權限。攻擊者一旦登入系統,就會使用 root 權限執行 Bash shell 指令碼,開始下載並執行惡意程式的二進位檔案。
Akamai 資訊安全事業單位資深副總裁兼總經理 Stuart Scholly 表示:「在過去一年中,XOR DDoS 殭屍網路持續壯大,目前已有能力發動大型 DDoS 攻擊。XOR DDoS 就是攻擊者轉移陣地的例子,他們利用被入侵的 Linux 系統建構殭屍網路,以便發動 DDoS 攻擊。這類攻擊方式發生的次數遠比過去頻繁,因為過去DDoS惡意程式主要以 Windows 機器為攻擊目標。」
XOR DDoS 阻斷服務攻擊
根據Akamai 安全情報反應團隊 (SIRT) 的研究結果顯示,由 XOR DDoS 殭屍網路發動的 DDoS 攻擊,其頻寬從極低的個位數 Gbps 到 150 Gbps 以上的超大規模攻擊皆有。最常見的攻擊目標是遊戲產業,接著是教育機構。殭屍網路每日攻擊的目標多達 20 個,其中 90% 位在亞洲。威脅建議書提及了 Akamai 曾經協助緩解由XOR DDoS 殭屍網路發動的 DDoS 攻擊,在 8 月 22 至 23 日所發生的攻擊中,有一次攻擊的流量將近 179 Gbps,另一次的流量則接近 109 Gbps。有兩種攻擊類型值得留意:SYN 和 DNS 洪水攻擊。
殭屍電腦的 IP 位址並不完全是假造的。觀察 Akamai 客戶所遭遇的 DDoS 攻擊後發現,其中混合了假造和非假造的攻擊流量。假造的 IP 位址之所以產生,是為了讓位址看起來與被感染的主機一樣,來自相同的 /24 或 /16 的位址空間。有一種IP假造技巧,只會更動 IP 位址的第三或第四個八位元組,以避免網際網路服務供應商 (Internet Service Provider;ISP) 在單播逆向路徑轉發 (Unicast Reverse Path Forwarding;uRPF) 保護網路上攔截假造流量。
針對XOR DDoS 攻擊的DDoS緩解
Akamai 亦發現可識別攻擊的靜態特徵,包括 TTL 初始值、TCP 視窗大小和 TCP 標頭選項,這類封包資料的特徵能幫助緩解 DDoS 攻擊,詳細說明亦涵蓋於威脅建議書。此外,建議書中也提供 tcpdump 過濾程式,可比對由這個殭屍網路產生的 SYN 洪水攻擊流量。
如何偵測和移除 XOR DDoS 惡意程式
有兩種方法可以偵測 XOR DDoS 的存在。要在網路中偵測這個殭屍網路,請利用建議書所提供的網路入侵檢測系統 (Snort) 規則,搜尋殭屍電腦及其 C2 之間的通訊。要偵測 Linux 主機是否被這惡意程式感染,可運用建議書的 YARA 規則,識別二進位檔中的相符字串。
XOR DDoS是很頑強的木馬惡意程式,它所執行的程序會重新安裝那些被刪除的惡意檔案,因此建議書也提供移除 XOR DDoS所需的4 個步驟,更詳細內容請見建議書:
1. 在兩個目錄中找出惡意檔案。
2. 找出讓主程序得以持續執行的程序。
3. 終止該惡意程序。
4. 刪除惡意檔案。
Akamai 會繼續監視使用 XOR DDoS 發動 DDoS 攻擊的活動。要瞭解有關威脅、移除惡意程式和 DDoS 緩解技巧的資訊,請至
www.stateoftheinternet.com/xorddos
免費下載威脅建議書。
XOR DDoS
殭屍網路
最新活動
2024.04.26
PAN-OS® 11.1 COSMOS 超越零時差攻擊的AI資安極致創新
2024.04.25
漢昕科技線上資安黑白講「端點管控零信任,軟硬資產不放任」
2024.04.25
ipas資訊安全工程師能力培訓班(初級/中級)
2024.04.26
建構智慧製造對應資安解方媒合交流會
2024.04.29
軟協XBSI強強聯手【資安學院】4/29-4/30 ISO/IEC 27001:2022資訊安全管理系統 主導稽核員「轉版」訓練課程 (二日)
看更多活動
大家都在看
利用中!Palo Alto Networks示警 PAN-OS存在零日漏洞
裝置使用中!超過9萬台D-Link除役NAS發現後門漏洞
強化 Chrome 瀏覽器安全!Google推出V8沙盒保護受攻擊面
Imperva 示警地端WAF嚴重漏洞可導致安全繞過
最新RCE漏洞! 16500 台 Ivanti Connect Secure、Poly Secure gateway 受影響
資安人科技網
文章推薦
OneDegree推出OneInfinity資安保險
趨勢科技公佈「Operation Cronos」癱瘓LockBit細節
零壹科技成立「聯壹數位」子公司強化雲策略布局