E安全6月28日讯 超过25,000个僵尸程序(bot程序)的僵尸网络是近期DDoS攻击的核心。近期大量第7层DDoS攻击肆无忌惮攻击全球业务,淹没网络服务器,占用资源并最终使网站陷入瘫痪。
美国安全供应商Sucuri发现了这个过去数周极度活跃的僵尸网络。他们表示,主要由全球被劫持的闭路电视(CCTV)系统组成。
一家珠宝店遭受持续DDoS攻击决定将网站移到Sucuri主要产品—WAF下(网络应用防火墙)时,Sucuri发现了这个僵尸网络。
僵尸网络每秒可以生成5万次HTTP请求发动攻击
Sucuri认为他们已经阻止了攻击,就像公司将网站移至WAF阻止攻击的其他案例一样,最终攻击者转移至其它目标。
但事情却并非如此,最初的攻击是通过每秒3.5万次HTTP请求发动第7层DDoS攻击,攻击服务器并通过垃圾流量占用内存,当攻击者发现该珠宝店公司升级网站时,便迅速将攻击升级至5万次请求。
对于第7层攻击而言,这是一个超级庞大的数字,足以让任何服务器瘫痪不起。但这并不是是它。攻击者持续高水平实施攻击数日。
僵尸网络的性质允许攻击者实施大量攻击
通常,当僵尸程序在线或离线时,DDoS攻击会受扰。攻击者维持这种高水平攻击的事实表明他们的僵尸程序总活跃在线。
Sucuri经过调查发现攻击来自超过25,513个唯一IP地址,一些为IPv6地址。这些IP地址遍及全球并且不是来自受恶意软件感染的PC设备,而是来自闭路电视系统。
台湾占了所有IP的约四分之一,其次是美国、印度尼西亚、墨西哥和马来西亚。被劫持的闭路电视系统分布在105个国家。
未打补丁的TVT固件作祟
这些IP地址中,其中46%属于在模糊和通用H.264 DVR运行的闭路电视系统。其它被劫持的系统为ProvisionISR、Qsee、 QuesTek、TechnoMate、 LCT CCTV、 Capture CCTV、 Elvox、 Novus、或or MagTec CCTV。
Sucuri表示,所有这些设备可能与安全研究员Rotem Kerner的研究有关联。Rotem Kerner曾发现70个不同CCTV DVR供应商的“后门”。
这些公司从中国公司TVT购买了杂牌DVR。当获知固件存在问题时,TVT不予理睬Rotem Kerner,问题也未修复,导致攻击者肆意制造更大的僵尸网络。
这不是第一起DDoS攻击使用的CCTV僵尸网络。安全公司Incapsula去年10月也曾发现类似的僵尸网络,但他们发现的僵尸网络仅由900个僵尸程序构成。
E安全/文 转载请注明E安全
E安全——全球网络安全新传媒
E安全微信公众号: EAQapp
E安全新浪微博:weibo.com/EAQapp
E安全PC站点:www.easyaq.com
E安全客服&投稿邮箱:eapp@easyaq.com
更多全球网络安全最新资讯,欢迎使用E安全APP客户端。
点击下方”阅读原文“即可下载安装E安全app