在巨額利益的促使下,網絡攻擊所使用的技術和工具已經實現了商品化。在暗網市場,不斷翻新的在線攻擊工具、開源的殭屍網絡等,不僅功能強大易於擴展,界面友好易於上手,這使得網絡犯罪前所未有的簡易、高效。接下來我們就開始聊聊黑產大愛的殭屍網絡。
殭屍網絡指的是一組受感染惡意軟體而被控制的電腦,攻擊者可以完全控制這些電腦。殭屍網絡的控制者可以通過某個隱蔽的通道控制這些電腦,如IRC協議,發出指令而執行惡意活動,如DDOS攻擊、垃圾郵件和數據盜竊。近年來,已經從從傳統的基於PC的殭屍網絡向基於IOT(比如攝像頭)的殭屍網絡轉變。
IOT設備種類多、分布廣,通常缺乏監管,使得問題日益惡化,由這些殭屍網絡發動的攻擊可以達到Tbps級別的流量,通常用戶毫無還手之力。
在諸多的殭屍網絡種,Necurs據信是歷史上規模最大、運行時間最長的垃圾郵件殭屍網絡之一,感染了全球超過900萬臺計算機,除了發送垃圾郵件,Necurs還以分發針對財務的惡意軟體和勒索軟體,加密挖礦而聞名,其受害者幾乎遍布世界每個國家。有人觀察到一臺感染Necurs的計算機向超過4060萬潛在受害者發送了380萬封垃圾郵件。Necurs被認為是由俄羅斯的罪犯操縱的,它是2016年至2019年之間犯罪分子發送垃圾郵件和惡意軟體的最主要方法,並導致全球90%的惡意軟體通過電子郵件傳播。
好消息是,3月10日微軟宣布,得益於 35 個國家/地區的國際警察和私人科技公司的協調行動,已成功破壞了Necurs殭屍網絡
Mirai是另外一個臭名昭著的殭屍網絡,它可以將運行Linux的網絡設備(如IP攝像頭和硬碟錄像機)變成「肉雞」,使之成為大規模殭屍網絡攻擊的一部分。Mirai殭屍網絡於2016年8月首次被發現。同年9月30日,黑客Anna-senpai公開發布Mirai殭屍源碼,這麼做的目的據說一是發現有關機構正在清理其掌控的殭屍設備;二則是為了讓更多的黑客使用該殭屍進行擴散,掩人耳目,隱藏自己的蹤跡。
2016年10月21日,美國東海岸地區遭受大面積網絡癱瘓,其原因為美國域名解析服務提供商Dyn公司當天受到強力的DDoS攻擊所致。Dyn公司稱此次DDoS攻擊涉及千萬級別的IP位址,其中部分重要的攻擊來源於IOT設備,攻擊活動從上午7:00(美國東部時間)開始,直到下午1:00才得以緩解。
Mirai殭屍在黑客Anna-senpai公布源碼後,被黑客利用並快速的形成了大量的殭屍網絡,其中部分黑客參與了此次攻擊,不排除黑客Anna-senpai也參與了本次攻擊,其擁有大概30萬-40萬的Mirai殭屍肉雞。
友情提醒,確保IOT設備及時更新補丁,關閉不必要的埠,是網絡管理者必須關注的措施。業界已推出基於雲的抗DDOS攻擊的解決方案,能夠過濾網絡流量,只允許合法的用戶流量通過,保證服務不會被中斷。