「1337」是欧美地区骇客语表示leet或elite的意思,资安专家在攻击封包中一直看到这个数字
图片来源:Imperva
资安公司Imperva两名资安研究人员Avishay Zawoznik和Dima Bekerman在12月26日在官方部落格揭露,一组殭尸网路对Incapsula用户,发动两次大规模DDoS攻击,最大攻击强度为650 Gbps。但他们观察到,攻击来源并非是今年常见的殭尸网路Mirai,而是一个新出现的殭尸网路Leet(资安人员从攻击封包看到1337数字特徵,在骇客术语上相当于Leet之意,故命名之)。目前,Leet殭尸网路伪造了IP(spoofed IPs),所以还无法得知发动攻击的国家和发动攻击的装置类型。
资安研究员在12月21日早上10时55分发现,部分Incapsula用户突然遭受DDoS攻击,攻击流量暴增到400Gbps,攻击时间长达20分钟。直到11点15分,骇客才停止第一波的攻击。之后,骇客又在11点21分发动第二波DDoS攻击,这次攻击强度更高,侦测到的最高攻击流量为650 Gbps,攻击时间持续了17分钟。
这次发动攻击的殭尸网路Leet,最高攻击量高达650 Gbps。图片来源:Imperva
?
这篇分析认为,这次DDoS攻击模式与先前殭尸网路Mirai攻击模式有很大差异。首先,此次攻击无法辨识出攻击装置特徵和攻击来源。过去,殭尸网路Mirai可以追蹤到攻击装置与来源,但是这次追蹤攻击来源的IP位址,发现都是伪造IP(spoofed IPs),无法了解任何攻击来源的资讯。
第二,攻击者在正常SYN封包上面有留下leet或是elite的「签名」。这次DDoS攻击的攻击流量包含两种SYN封包负载(payload),一个是正常的SYN封包,每一个封包大小约在44bytes到60bytes不等。另一个异常的SYN封包大小,每一个约在799bytes到936bytes之间,可利用来扩大攻击容量到650 Gbps。特别的是,正常SYN封包的TCP封包纪录上面出现「1337」的数值,如果从欧美地区的骇客术语(leetspeak)来解读,显示的是leet或elite这两个词彙。所以,从TCP封包纪录的「签名」来看,leet或elite发动这次DDoS攻击殭尸网路的名字,而不是Mirai。
正常SYN封包的TCP封包纪录上面出现「1337」的数值,欧美地区骇客语常用这数字表示leet或elite的字词。图片来源:Imperva
最后,这次嵌入在发动攻击的SYN封包负载字串显示出,这些封包来自于实际的系统文件,而不是像Mirai殭尸网路是以乱数的字串呈现。所以,两名资安研究人员判断,从以上这些资料看来,发动这次攻击并不是Mirai变种,而是新出现的殭尸网路。
这次殭尸网路Leet发动攻击的强度高达650Gbps,几乎跟殭尸网路Mirai在今年6月攻击资安网站Krebs On Security的620 Gbps强度一样。Imperva判断,殭尸网路Leet在未来可能会成为殭尸网路Mirai的对手。而且,更危险的是,之后会有更多类似殭尸网路Leet、殭尸网路Mirai等这样新的殭尸网路出现。
I 相关 / Other
俄罗斯对全球发动的资讯战疑云不但引起美国大动作反制,近年来与俄罗斯间大小冲突不断的乌克兰,也表示该国的政府机构在过去两个月内,至少遭受来自俄罗斯的6,500次骇客攻击,显然已经对乌克兰发动网路战争。乌克兰总
美、法、英等欧美13国大执法,联手打击DDoS攻击服务使用者
图片来源: FBI 有鉴于DDoS攻击日益昌獗,欧美等十多个国家在12月上旬发动一项跨国网路犯罪打击行动,锁定DDoS付费攻击服务的使用者。这项跨国网路犯罪打击行动的参与者包括美国、澳洲、比利时、匈牙利、法国、荷兰、
官员表示,尼泊尔西南部一处村庄今天(28日)遭到象群攻击,造成1死2伤。政府官员艾查里亚(Dilli Ram Acharya)说,这群大象在黎明时分攻击普拉瑟尼村(Praseni),当时光线微弱,冬雾使得可见度下降。艾查理亚说,村民没
网友爆料:昨晚(12月26日)长春理工大学光电信息学院官网遭到黑客攻击,长春西门??大官人
网友爆料:昨晚(12月26日)长春理工大学光电信息学院官网遭到黑客攻击,??官人