【编者按】根据Yandex和Qrator Labs的调查,这场由新型僵尸网络Mēris发起的DDoS攻击已经持续了数周,其范围已经席卷了新西兰、美国和俄罗斯。而且攻击设备都是来自拉脱维亚网络设备供应商Mikrotik生产的设备。
近日,媒体报道了针对俄罗斯互联网巨头Yandex的DDoS攻击。这是真的,但不是全部。Yandex的专家确实成功击退了创纪录的2000多万次RPS攻击,这是有史以来最大的互联网攻击。但这只是众多攻击之一,不仅针对Yandex,还针对世界上许多其他公司。这种攻击已经持续了几个星期,在空之前规模巨大。它的来源是一个鲜为人知的新僵尸网络。
俄罗斯互联网巨头Yandex月9日证实,遭遇了互联网史上最大规模的分布式拒绝服务攻击。
Yandex现在是俄罗斯最大的技术公司,提供70多种网络产品和服务,如搜索、电子商务、导航和安装程序。它也是俄罗斯第二大搜索引擎,市场份额为43%,仅次于谷歌的55%。
过去一个月观察到的一系列创纪录的基于RPS的DDoS攻击是一种新的强大僵尸网络证明其实力的结果。
这个名为ris的僵尸网络是迄今为止记录在案的最大规模应用层DDoS攻击的罪魁祸首。不到一周前,攻击达到了每秒2180万次请求的峰值。
根据Yandex和Qrator Labs的调查,Mēris僵尸网络的攻击始于今年6月底。双方的研究人员开始注意到全球网络上新的攻击力量的迹象,这种攻击力量已经捕获了数万台通过以太网连接的设备。到目前为止,僵尸网络还没有显示出它们的真实规模,但它们的数量仍在快速增长。
然而,Qrator实验室检测到的僵尸网络有3万个,Yandex收集到的僵尸网络有5.6万个。此外,Qrator Labs和Yandex认为Mēris僵尸网络的成员设备可能超过20万,黑客并没有发挥出这个僵尸网络的全部实力。而且,不仅仅是Yandex,Mē ris僵尸网络已经席卷了新西兰、美国和俄罗斯。
虽然有人推测Mēris僵尸网络可能源自Mirai未来组合僵尸网络,由单一指挥中心控制的无数物联网设备组成,发起网络级流量攻击,而Mēris僵尸网络也由单一指挥中心控制,其组成设备看起来更强大,主要通过网络连接,攻击设备都来自同一个品牌Mikrotik。
研究人员表示,大多数易受攻击的设备来自Mikrotik,这表明一个以前未知的漏洞可能被用来攻击它们。被困设备运行的是各种版本的RouterOS,大部分都是当前稳定版本之前的固件。Mē ris利用HTTP管道技术发起DDoS攻击。
Mikrotik是一家拉脱维亚网络设备制造商,主要销售有线和无线网络设备,从路由器和交换机到无线网络热点,同时也构建自己的操作系统。ris在拉脱维亚语中是“瘟疫”的意思。
Qrator Labs和Yandex没有办法分析Mē ris使用的恶意程序,也不确定黑客是如何使用这些设备的。虽然自2017年以来,Mikrotik设备一直被黑客利用,但有许多旧的Mikrotik设备没有修补重要的漏洞。然而,分析表明,最新的两个版本占了Mē ris招募的路由器设备的近一半。
Yandex认为,我们可能要等到Mēris僵尸网络发挥出全部实力,或者通过黑市兜售,才能知道黑客的使用渠道。
事实上,自今年8月7日以来,Yandex已经连续5次遭到M275RIS僵尸网络的攻击,而且每次攻击都比前一次更具破坏性。攻击流量也从每秒520万次攻击、650万次攻击、960万次攻击、1090万次攻击上升到9月5日的2180万次攻击,如下图所示。虽然都被Yandex的成功挡住了去路,但是Yandex也提醒了我们,Mē ris的规模和增长速度都很快。
图1:2021年9月5日对Yandex的RPS DDoS攻击时间表
最新攻击中的源IP显示设备主要开放端口2000和5678,说明是Mikrotik做的。
Qrator实验室的研究人员发现,在端口5678上有328,723个活动主机响应TCP探测,其中一些是linksys设备。如果这些设备没有被欺骗,它们可能会很容易被毛利人接管。
65%的攻击设备在端口5678上有SOCKS4- agent,90-95%的设备在端口2000上有带宽测试。
图2:拥有müris僵尸网络来源的国家对Yandex进行了创纪录的攻击。
使用HTTP管道处理使得消除这种攻击成为一项长期被忽视的任务。实际上,网络设备通常安装在合法用户身上。无法确定端点是否完全被攻破,是否被转化为“僵尸机器人”,攻击流量中只有一部分带宽未被占用,其余部分用于安全实时用户流量。最后,即使是被入侵的设备,试图访问资源的用户也可以在资源上注册。
参考资料:
https://habr.com/ru/company/yandex/blog/577026/
