SSL信息
上周五针对DNS服务提供商Dyn的DDoS(分布式拒绝服务)攻击是由恶意软件Mirai连接起来的一连串僵尸网络发起的。这次DDos攻击波及了美国东海岸的互联网服务,使Dyn及其著名用户的网站在当天的不同时段持续断线。
Level 3 Communications是一家位于科罗拉多州的大型网络服务提供商,该公司称其监视到了这一波攻击,并确信有10%的网络摄像头、数字视频录像机、家用网络设备和其他被连接起来的设备受到Mirai控制,参与了周五的攻击。
Mirai的目的是连续扫描IoT设备的公共网络,并试图通过已知的默认证书或安全性较弱的证书对这些设备进行访问和控制,然后将其加入僵尸网络用于DDoS攻击。有黑客宣称对Krebs on Security网站和法国主机托管服务商OVH遭受的速度达到620 Gbps的DDoS攻击负责,该黑客还公布了Mirai的源代码,增大了Mirai造成的威胁。
Level 3和安全公司Flashpoint在周五证实当天的攻击背后隐藏的是Mirai,直到周六晚,这一波攻击仍在继续。Flashpoint称其正在采取法律措施并动用其他资源来跟踪这次攻击的来源。
Dyn是一家位于新罕布什尔州的DNS服务提供商,该公司声称这次攻击开始于美国东部时间上午7点多钟,第一波攻击在9:36结束,针对其managed DNS平台的第二波攻击在11:52又开始了。
“这波攻击的分布颇为全球化,”Dyn在其周五下午发布的一条状态中说。
纽约时报称,周五联邦调查局和国土安全部调查了这次攻击,并不排除犯罪行为和某些国家政府层面的参与。
Level 3 Communications公司的首席信息安全官Dale Drew在Periscope上说,Mirai僵尸网络大约有55万个节点,其中约10%参与了这次对Dyn的攻击。上周早些时候,Level 3确定了很多曾与僵尸网络通信的命令与控制基础设施,并称自从源代码发布后,僵尸网络控制的设备数量翻了一番还多。
“我们还会看到其他设备卷入进来,”Drew说。“Mirai是一个DDoS出租环境。这次的攻击同样可以发生在其他地方。他们还攻击了大量其他DNS站点。”Drew并未指明是哪些站点。
DNS服务提供商是用来将域名转换为IP地址的。在上周五的攻击中,有人使用被控制的设备对Dyn和其他提供商执行了极大量的查询,以致这些提供商无法正常工作和执行那些合法查询。
“当目录服务不可用时,DNS就不能提供IP地址,这样你就不能连接到主机,”Drew说。“这看起来好像是主机断线了,但实际上是目录服务断线了。”
本周早些时候,Level 3公司称大批攻击者利用被公开的Mirai源代码侵入IoT设备,并称Mirai控制的僵尸网络中24%的设备与今年夏天被发现的另一僵尸网络Bashlite有重叠。
对Krebs和OVH的攻击的主要来源是中国雄迈信息技术有限公司生产的数字视频录像机(小编按:made in china又被狠狠黑了一把)。这些被用于发起攻击的数字视频录像机有着相同的用户名和密码:root和xc3511,这使得攻击者极易通过telnet远程登录这些设备,并将这些设备劫持到僵尸网络中,Flashpoint说。
“IoT设备不像你的个人电脑和电话,它们没有内存和处理器需要保护,因而很容易被劫持,且很难侦测到这是什么时候发生的,”Core Security公司的Chris Sullivan说。“也因此,这场DDoS攻击让我们猝不及防。超大规模的僵尸IoT被命令向目标执行如此多的请求,以致那些正常的请求无法处理。这次攻击没有造成实际损失,但对合法用户造成了拒绝服务。”
相关阅读:十五万IoT设备被黑 发动史上最大1TbpsDDoS攻击
稿源:threatpost