[[176294]]

近日非洲國家利比里亞遭受僵尸網(wǎng)絡攻擊，網(wǎng)絡全面癱瘓，這個攻擊背后的僵尸網(wǎng)絡似乎與上個月Dyn DNS服務遭受的物聯(lián)網(wǎng)僵尸網(wǎng)絡攻擊相同。

本周，利比里亞的互聯(lián)網(wǎng)遭受了嚴重的破壞，強大的分布式拒絕服務(DDoS)攻擊破壞了該國服務提供商的系統(tǒng)，而這些服務提供商使用同一根互聯(lián)網(wǎng)電纜為全國提供網(wǎng)絡服務，導致全國網(wǎng)絡癱瘓。安全專家將這次攻擊指向Mirai僵尸網(wǎng)絡;根據(jù)安全架構(gòu)師Kevin Beaumont表示，這個#14 Mirai僵尸網(wǎng)絡可能是由上個月Dyn域名系統(tǒng)(DNS)DDoS攻擊背后的威脅行為者控制

。 “在過去一年，我們看到對利比里亞基礎設施的持續(xù)短期攻擊，”Beaumont稱，“在攻擊過程中，傳輸提供商證實輸出流量超過500 Gbps，攻擊持續(xù)時間很短，這是最大的Mirai僵尸網(wǎng)絡，控制它的域名早于Dyn的攻擊。這種容量使其成為有史以來最大的DDoS僵尸網(wǎng)絡。鑒于這種容量，可能是攻擊Dyn相同的攻擊者所操作。”

Beaumont補充說，對利比里亞的攻擊似乎只是一個測試，這種攻擊非常令人擔憂，因為這意味著Mirai操作者已經(jīng)有足夠的能力可嚴重破壞一個國家的系統(tǒng)。

Linux/IRCTelenet：新IoT僵尸網(wǎng)絡出現(xiàn)

同時，新興物聯(lián)網(wǎng)(IoT)僵尸網(wǎng)絡悄然出現(xiàn)，它可能比Mirai更令人擔憂。這個僵尸網(wǎng)絡被稱為Linux/IRCTelnet，根據(jù)名為Unixfreaxjp安全研究人員表示，這種最新的威脅可利用IRC執(zhí)行DDoS攻擊，它可對遠程登錄協(xié)議使用暴力攻擊來控制基于Linux的IoT設備，這很像Mirai的做法

。 根據(jù)Unixfreaxjp表示，新惡意軟件的組成部分很有趣，因為它結(jié)合了其他僵尸惡意軟件的組件和技術(shù)。例如，Unixfreaxjp發(fā)現(xiàn)了Trunami/Kaiten中使用的技術(shù)，以及被稱為GayFgt、Torlus、Lizkebab、Bashdoor或Bashlite的惡意軟件系列，同時還使用IoT證書列表硬編碼到Mirai僵尸網(wǎng)絡代碼。

Unixfreaxjp稱：“這個僵尸網(wǎng)絡的DoS攻擊機制很像UDP洪水、TCP洪水以及其他系列攻擊方法，在IPv4和IPv6協(xié)議中，還在IPv4或IPv6額外的IP欺詐選項中。”

LDAP放大攻擊可能會推動DNS DDoS攻擊

而根據(jù)Corero網(wǎng)絡安全公司表示，Dyn DNS遭受的DDoS攻擊被觀察有高達1.2 Tbps流量，而新型輕量級目錄訪問協(xié)議(LDAP)放大攻擊向量可將DNS DDoS攻擊擴展到每秒幾十萬億比特。DDoS防御公司Marlborough報告了一個新的重大零日DDoS攻擊向量，它可將DDoS攻擊量擴大至攻擊者最初生成原始量的55倍多。

Corero在10月下旬第一次觀察到使用該技術(shù)針對其客戶。這種放大攻擊取決于LDAP，這是用于處理用戶身份驗證數(shù)據(jù)的廣泛使用的協(xié)議，特別是作為微軟Active Directory的一部分。

Corero公司首席技術(shù)官兼首席運營官Dave Larson推測，如果這種技術(shù)結(jié)合其他DDoS做法(例如最近Mirai IoT僵尸網(wǎng)絡攻擊中采用的方法)，我們很快就會看到無法想象的供給規(guī)模，這可能帶來深遠的影響。千兆級攻擊很快會成為現(xiàn)實，并可能嚴重影響互聯(lián)網(wǎng)的可用性--至少在某些地區(qū)。