Akamai 研究發現XOR DDoS 殭屍網路透過被入侵的 Linux 機器 每日發動 20 次攻擊

【2015年 10月5日,台北】內容遞送網路 (content delivery network;CDN) 服務的全球領導廠商Akamai Technologies, Inc. (NASDAQ 交易代號:AKAM) 發表該公司安全情報反應團隊 (Security Intelligence Response Team;SIRT) 製作的全新網路安全威脅建議書。XOR DDoS 是一種用來綁架 Linux 系統的木馬惡意程式;攻擊者所發展出的殭屍網路,已有能力使用 XOR DDoS 來發動超過 150 Gbps 的分散式阻斷服務 (Distributed Denial of Service;DDoS) 攻擊。建議書完整說明這項威脅的詳細資訊,包括緩解 DDoS 攻擊資料封包 (payload) 分析和移除惡意程式的資訊。該建議書可從http://www.stateoftheinternet.com/xorddos 下載。

何謂XOR DDoS?

XOR DDoS 是一種會感染 Linux 系統的木馬惡意程式,由攻擊者在遠端指示受感染的 Linux 系統發動 DDoS 攻擊。首先,攻擊者會以暴力攻擊法取得 Linux 機器上 Secure Shell 服務的密碼,進而取得存取權限。攻擊者一旦登入系統,就會使用 root 權限執行 Bash shell 指令碼,開始下載並執行惡意程式的二進位檔案。

Akamai 資訊安全事業單位資深副總裁兼總經理 Stuart Scholly 表示:「在過去一年中,XOR DDoS 殭屍網路持續壯大,目前已有能力發動大型 DDoS 攻擊。XOR DDoS 就是攻擊者轉移陣地的例子,他們利用被入侵的 Linux 系統建構殭屍網路,以便發動 DDoS 攻擊。這類攻擊方式發生的次數遠比過去頻繁,因為過去DDoS惡意程式主要以 Windows 機器為攻擊目標。」

XOR DDoS 阻斷服務攻擊

根據Akamai 安全情報反應團隊 (SIRT) 的研究結果顯示,由 XOR DDoS 殭屍網路發動的 DDoS 攻擊,其頻寬從極低的個位數 Gbps 到 150 Gbps 以上的超大規模攻擊皆有。最常見的攻擊目標是遊戲產業,接著是教育機構。殭屍網路每日攻擊的目標多達 20 個,其中 90% 位在亞洲。威脅建議書提及了 Akamai 曾經協助緩解由XOR DDoS 殭屍網路發動的 DDoS 攻擊,在 8 月 22 至 23 日所發生的攻擊中,有一次攻擊的流量將近 179 Gbps,另一次的流量則接近 109 Gbps。有兩種攻擊類型值得留意:SYN 和 DNS 洪水攻擊。

殭屍電腦的 IP 位址並不完全是假造的。觀察 Akamai 客戶所遭遇的 DDoS 攻擊後發現,其中混合了假造和非假造的攻擊流量。假造的 IP 位址之所以產生,是為了讓位址看起來與被感染的主機一樣,來自相同的 /24 或 /16 的位址空間。有一種IP假造技巧,只會更動 IP 位址的第三或第四個八位元組,以避免網際網路服務供應商 (Internet Service Provider;ISP) 在單播逆向路徑轉發 (Unicast Reverse Path Forwarding;uRPF) 保護網路上攔截假造流量。

針對XOR DDoS 攻擊的DDoS緩解

Akamai 亦發現可識別攻擊的靜態特徵,包括 TTL 初始值、TCP 視窗大小和 TCP 標頭選項,這類封包資料的特徵能幫助緩解 DDoS 攻擊,詳細說明亦涵蓋於威脅建議書。此外,建議書中也提供 tcpdump 過濾程式,可比對由這個殭屍網路產生的 SYN 洪水攻擊流量。

如何偵測和移除 XOR DDoS 惡意程式

有兩種方法可以偵測 XOR DDoS 的存在。要在網路中偵測這個殭屍網路,請利用建議書所提供的網路入侵檢測系統 (Snort) 規則,搜尋殭屍電腦及其 C2 之間的通訊。要偵測 Linux 主機是否被這惡意程式感染,可運用建議書的 YARA 規則,識別二進位檔中的相符字串。

XOR DDoS是很頑強的木馬惡意程式,它所執行的程序會重新安裝那些被刪除的惡意檔案,因此建議書也提供移除 XOR DDoS所需的4 個步驟,更詳細內容請見建議書:

  1. 在兩個目錄中找出惡意檔案。
  2. 找出讓主程序得以持續執行的程序。
  3. 終止該惡意程序。
  4. 刪除惡意檔案。

Akamai 會繼續監視使用 XOR DDoS 發動 DDoS 攻擊的活動。要瞭解有關威脅、移除惡意程式和 DDoS 緩解技巧的資訊,請至 www.stateoftheinternet.com/xorddos免費下載威脅建議書。

關於 Akamai 安全情報反應團隊 (SIRT)

Akamai 安全情報反應團隊 (SIRT) 致力於緩解全球網路惡意威脅和漏洞,執行數位鑑識和事件後分析並將相關資訊與安全社群分享,以主動防禦威脅和攻擊。Akamai SIRT 執行任務時,會與全球的相關組織保持密切聯繫,並訓練 Akamai 專業服務與客戶服務團隊,讓其能夠辨識並因應眾多敵手的攻擊。Akamai SIRT 所進行的研究調查,讓 Akamai 的雲端安全產品成為同類產品中的佼佼者,可以防禦任何會影響產業應用層的最新威脅。

關於Akamai

Akamai®為內容遞送網路 (CDN) 服務的全球領導廠商,致力為客戶提供快速、可靠與安全的網際網路。Akamai提供先進的網路效能、行動效能、雲端安全以及媒體遞送解決方案,徹底改變企業於任何地點任何裝置上最佳化客戶、企業以及娛樂體驗的方式。想瞭解Akamai的解決方案以及其網際網路專家協助企業加速邁進的方法,歡迎瀏覽:www.akamai.comblogs.akamai.com,並在Twitter上追蹤 @Akamai。