Akamai 研究發現XOR DDoS 殭屍網路透過被入侵的 Linux 機器

2015 / 10 / 05

本篇文章內容由廠商提供，不代表資安人科技網觀點

全新威脅建議書描述近期數起 XOR DDoS 殭屍網路發動的攻擊活動
XOR DDoS 殭屍網路攻城掠地，現已有能力發動 150 Gbps 以上的超大型 DDoS 攻擊
XOR DDoS 殭屍網路發動的 DDoS 攻擊中，有 90% 瞄準亞洲的各個組織

內容遞送網路 (content delivery network；CDN) 服務的全球領導廠商Akamai Technologies, Inc. (NASDAQ 交易代號：AKAM) 發表該公司安全情報反應團隊 (Security Intelligence Response Team；SIRT) 製作的全新網路安全威脅建議書。XOR DDoS 是一種用來綁架 Linux 系統的木馬惡意程式；攻擊者所發展出的殭屍網路，已有能力使用 XOR DDoS 來發動超過 150 Gbps 的分散式阻斷服務 (Distributed Denial of Service；DDoS) 攻擊。建議書完整說明這項威脅的詳細資訊，包括緩解 DDoS 攻擊資料封包 (payload) 分析和移除惡意程式的資訊。該建議書可從http://www.stateoftheinternet.com/xorddos 下載。

何謂XOR DDoS？
XOR DDoS 是一種會感染 Linux 系統的木馬惡意程式，由攻擊者在遠端指示受感染的 Linux 系統發動 DDoS 攻擊。首先，攻擊者會以暴力攻擊法取得 Linux 機器上 Secure Shell 服務的密碼，進而取得存取權限。攻擊者一旦登入系統，就會使用 root 權限執行 Bash shell 指令碼，開始下載並執行惡意程式的二進位檔案。

Akamai 資訊安全事業單位資深副總裁兼總經理 Stuart Scholly 表示：「在過去一年中，XOR DDoS 殭屍網路持續壯大，目前已有能力發動大型 DDoS 攻擊。XOR DDoS 就是攻擊者轉移陣地的例子，他們利用被入侵的 Linux 系統建構殭屍網路，以便發動 DDoS 攻擊。這類攻擊方式發生的次數遠比過去頻繁，因為過去DDoS惡意程式主要以 Windows 機器為攻擊目標。」

XOR DDoS 阻斷服務攻擊
根據Akamai 安全情報反應團隊 (SIRT) 的研究結果顯示，由 XOR DDoS 殭屍網路發動的 DDoS 攻擊，其頻寬從極低的個位數 Gbps 到 150 Gbps 以上的超大規模攻擊皆有。最常見的攻擊目標是遊戲產業，接著是教育機構。殭屍網路每日攻擊的目標多達 20 個，其中 90% 位在亞洲。威脅建議書提及了 Akamai 曾經協助緩解由XOR DDoS 殭屍網路發動的 DDoS 攻擊，在 8 月 22 至 23 日所發生的攻擊中，有一次攻擊的流量將近 179 Gbps，另一次的流量則接近 109 Gbps。有兩種攻擊類型值得留意：SYN 和 DNS 洪水攻擊。

殭屍電腦的 IP 位址並不完全是假造的。觀察 Akamai 客戶所遭遇的 DDoS 攻擊後發現，其中混合了假造和非假造的攻擊流量。假造的 IP 位址之所以產生，是為了讓位址看起來與被感染的主機一樣，來自相同的 /24 或 /16 的位址空間。有一種IP假造技巧，只會更動 IP 位址的第三或第四個八位元組，以避免網際網路服務供應商 (Internet Service Provider；ISP) 在單播逆向路徑轉發 (Unicast Reverse Path Forwarding；uRPF) 保護網路上攔截假造流量。

針對XOR DDoS 攻擊的DDoS緩解
Akamai 亦發現可識別攻擊的靜態特徵，包括 TTL 初始值、TCP 視窗大小和 TCP 標頭選項，這類封包資料的特徵能幫助緩解 DDoS 攻擊，詳細說明亦涵蓋於威脅建議書。此外，建議書中也提供 tcpdump 過濾程式，可比對由這個殭屍網路產生的 SYN 洪水攻擊流量。

如何偵測和移除 XOR DDoS 惡意程式
有兩種方法可以偵測 XOR DDoS 的存在。要在網路中偵測這個殭屍網路，請利用建議書所提供的網路入侵檢測系統 (Snort) 規則，搜尋殭屍電腦及其 C2 之間的通訊。要偵測 Linux 主機是否被這惡意程式感染，可運用建議書的 YARA 規則，識別二進位檔中的相符字串。

XOR DDoS是很頑強的木馬惡意程式，它所執行的程序會重新安裝那些被刪除的惡意檔案，因此建議書也提供移除 XOR DDoS所需的4 個步驟，更詳細內容請見建議書：
1. 在兩個目錄中找出惡意檔案。
2. 找出讓主程序得以持續執行的程序。
3. 終止該惡意程序。
4. 刪除惡意檔案。

Akamai 會繼續監視使用 XOR DDoS 發動 DDoS 攻擊的活動。要瞭解有關威脅、移除惡意程式和 DDoS 緩解技巧的資訊，請至 www.stateoftheinternet.com/xorddos免費下載威脅建議書。

XOR DDoS 殭屍網路