受雇型 DDoS (DDoS-for-Hire) 鎖定 Joomla 等 SaaS 應用程式展開攻擊

【2015年3月5日,台北】協助傳送、最佳化及保護網上內容和業務應用的全球領先雲端服務供應商Akamai Technologies, Inc. (NASDAQ交易代號:AKAM)透過旗下的 Prolexic安全工程及研究團隊(Prolexic Security Engineering & Research Team;PLXsert)與PhishLabs研究分析情報部門(R.A.I.D)合作,於今日發表全新網路安全威脅建議書。該建議書警告企業和軟體即服務 (Software-as-a-Service;SaaS) 供應商,攻擊者利用安裝了易被入侵的 Google 地圖外掛程式的 Joomla 伺服器作為發動分散式阻斷服務(Distributed Denial of Service;DDoS)攻擊的平台。該建議書可從www.stateoftheinternet.com/joomla-reflection下載。

Akamai 資訊安全事業單位資深副總裁兼總經理 Stuart Scholly 表示:「軟體即服務供應商提供的網路應用程式漏洞,讓其持續淪為網路犯罪者的武器。他們現在又發展新型的 DDoS 攻擊方式及受雇型 DDoS 工具,鎖定易被入侵的 Joomla 外掛程式展開攻擊,在無窮盡的網路應用程式漏洞上再添一筆。企業必須準備好應對DDoS 攻擊的防護計畫,以緩解 DDoS 可能利用數百萬台基於雲端的 SaaS 伺服器阻斷服務流量。」

Joomla的Google 地圖外掛程式漏洞 促成DDoS 攻擊

Joomla 的Google地圖外掛程式的已知漏洞,允許外掛程式被利用成為代理伺服器。代理伺服器是中介伺服器,以其他身份處理要求和回傳結果。使用易被入侵的Google 地圖外掛程式的Joomla伺服器,因而被利用成為代理伺服器。攻擊者假造要求來源,導致結果從代理伺服器送出,傳遞至企圖阻斷服務的對象。流量攻擊看似來自 Joomla 伺服器,但無法得知真正的攻擊來源。

PLXsert 與 PhishLabs 的 R.A.I.D 部門合作,比對 DDoS 攻擊特徵的流量,發現來自多個 Joomla 網站,顯示易被入侵的安裝程式被大量用於反射式 GET 洪泛攻擊,此為 DDoS 攻擊的其中一種。觀察到的攻擊流量與資料顯示,該攻擊係由已知的受雇型 DDoS 網站發動。

PLXsert 可辨識網際網路上超過 150,000 個潛在 Joomla 反射器。雖然許多伺服器看似已經過修補、重新配置、鎖定或解除外掛程式安裝,其他伺服器依然容易淪為此種 DDoS 攻擊的工具。

緩解 DDoS 攻擊的詳細資訊

PLXsert 於 11 月為 Akamai 一家客戶緩解此類型的 DDoS 攻擊。當時發動攻擊的主要 IP 位址大多來自德國。參與該次攻擊的 IP 位址,同樣參與了針對其他 Akamai 客戶的攻擊行為,客戶所屬產業遍及託管服務、娛樂和消費品產業。

透過多層型 DDoS 緩解措施防禦反射式 DDoS 攻擊

目前許多以反射為基礎的 DDoS 攻擊類型相當流行。在 2014 年第四季,Akamai 旗下的 PLXsert 觀察到,所有 DDoS 攻擊流量中有39% 使用反射技術。反射式 DDoS 攻擊利用網際網路協定或應用程式漏洞,讓 DDoS 攻擊者從第三方伺服器或裝置反射惡意流量,同時隱藏身份,在過程中進一步放大攻擊流量。

基於雲端的 DDoS 攻擊緩解措施能夠因應此一問題,保護機構免於惡意流量攻擊。以邊緣為基礎的網路安全機制 (edge-based security) 與淨化中心 (scrubbing center) 可以遠在 DDoS 攻擊流量對客戶網站或資料中心造成影響前即加以遏止。

更多詳情請參閱 Joomla 反射式受雇型 DDoS 攻擊威脅建議書

在建議書中,PLXsert提供的分析和詳細資料包括:

  • Joomla 反射之 GET 洪泛攻擊的使用情形
  • 要尋找的是:三個有效負載 (payload) 樣本
  • 來自 DAVOSET DDoS 工具的攻擊
  • 來自 UFONet DDoS 工具的攻擊
  • 攻擊期間所觀察到的 GET 洪泛要求
  • 來源流量的地理分佈
  • 阻止此類型 DDoS 攻擊的三大緩解程序

如欲下載威脅建議書,請至:www.stateoftheinternet.com/joomla-reflection

關於PhishLabs

PhishLabs為提供網路犯罪防護服務與情報服務的全球領先供應商,致力於打擊網路威脅,並減少網路釣魚、惡意軟體、分散式阻斷服務(Distributed Denial of Service;DDoS)攻擊與其他網路攻擊所帶來的風險。PhishLabs藉由偵測、分析、以及主動拆卸網路罪犯用於攻擊企業與其客戶的系統與非法服務,來打擊網路犯罪。透過確保與客戶目標相符的固定價格服務模式,PhishLabs與企業合作來遏止帳戶接管攻擊,降低網路詐騙並預防流失客戶信賴。如欲瞭解有關PhishLabs的更多資訊,敬請訪問http://www.phishlabs.com或寄送電子郵件至info@phishlabs.com

關於Akamai 

Akamai®為全球領先的雲端服務供應商,協助傳送、最佳化及保護網上內容和業務應用。Akamai Intelligent Platform™是公司各種方案的核心,該平台覆蓋範圍廣泛,並具有可靠性、安全性、可見性與專業性。Akamai的方案能夠緊密連接行動世界,全天候隨時支援客戶的需求,並且讓企業能夠安全地運用雲端方案。想瞭解Akamai如何加速在這超高速連結世界的創新步伐,歡迎瀏覽:www.akamai.com或blogs.akamai.com,並在Twitter上追蹤 @Akamai。