标签: DDoS

电商雇“黑客” 袭击竞争对手网站

南通警方破获电商网站流量攻击系列案件,12人被采取刑事强制措施;QQ群“接单”还可学“黑客”技术 近日,江苏省南通市公安局在深入开展打击整治网络违法犯罪“净网2018”专项行动中,破获一起由公安部督办的电商网站流量攻击系列案件,控制李某等12名涉案犯罪嫌疑人,查扣电脑、手机等作案工具36部。 昨日,南通警方对外公布该案详情。新京报记者了解到,该犯罪团伙通过网络接单,发起攻击,导致电商网站及交易平台无法正常运行,并以此牟利。目前,涉案的12名犯罪嫌疑人均已被采取刑事强制措施,案件仍在进一步侦办中。 电商网站销售旺季频遭攻击 南通海门叠石桥国际家纺城,随着电子商务迅速发展,网上交易额逐年攀升。但在去年“双十二”期间,家纺城的电商网站出了问题。 “去年12月12日下午2点开始就打不开了,升级了防护效果也不大。”该家纺网技术人员周女士说,经过排查,很快发现公司租用的服务器遭受到“黑客”DDOS攻击,数十G的大量垃圾数据远超服务器负荷极限,尽管采取购买防护软件、分散服务器等紧急措施应对,但犯罪分子察觉后又通过CC攻击,不停访问挤占服务器资源,导致网站瘫痪。 “这种情况持续了将近两个礼拜,光升级防护就花费了十几万。”该家纺网负责人说,这对他们公司来讲无疑是一次巨大打击,除了直接损失,间接造成的信誉受损、商家和客户流失等损失更是难以估量。 新京报记者了解到,就在南通市公安局崇川分局展开调查时,南通另一家电商网站也遭到类似攻击,公司网站、手机APP等均无法打开,给该公司及线下合作的2000余家实体店造成300多万元的直接损失。 先后两家电商遭受“黑客”攻击,是否存在关联?经过对被害单位提供的相关情况,通过分析流量包攻击源的IP地址,民警发现有一些属于同一攻击源。南通随即成立专案组,将两起案件串并侦查,并被公安部列为挂牌督办案件。 QQ群“悬赏”招揽“黑客” 遭受到攻击的电商网站负责人回忆,事发前曾接到匿名电话、微信公众号留言,自称要攻击网站,或在网站遭受攻击的同时索要钱财。 “有人以‘悬赏’的方式雇用‘打手’作案。”办案民警李晨亮告诉记者,他们发现遭受攻击的网站曾在全国多个QQ群中出现,警方随后根据掌握的线索,控制了陈某、刘某及李某三名嫌疑人,其中李某归案时,正准备对目标网站实施攻击。 “别人联系到我,希望把网站打瘫痪,一般都是先把攻击网站的域名和攻击时间、要求和价格发到群里,问谁接。”今年17岁、就读于某职业学校计算机技术专业的嫌疑人刘某称,他和陈某等“黑客”是通过QQ群“接单”后,对家纺城网站进行了持续攻击。 “这样的QQ群有上百个,成员年龄普遍偏低。”南通市公安局网安支队支队长张建介绍,本案中90后犯罪嫌疑人占比超过60%,有的还是未成年人,彼此之间并不认识,通过社交工具联络,明码标价,临时“组队”,频频作案,攻击目标涉及多个行业。 此外,这些QQ群还免费提供各种作案所需的“黑客”软件及相关教程,以“收徒”为名传授作案方法,并以购买服务的方式作案,已经形成了一个完整的犯罪产业链条。 同行竞争、网络敲诈是动机 警方调查发现,雇用“黑客”攻击家纺网的幕后“黑手”系同为家纺电商的某科技有限公司。为扩大公司业务,该公司法人代表万某等3人经过预谋商议,为了让目标网站长时间处于“停摆”状态,先后共支付酬金1.8万元给刘某。“我还让他们攻击了另外两个网站。”据万某交代,为了不引起怀疑,他一开始甚至还将自己公司的网站提供给了“黑客”进行攻击。 南通市公安局网安支队支队长张建介绍,在此案中,犯罪嫌疑人作案的动机除了同行恶意竞争还有网络敲诈勒索。 据犯罪嫌疑人李某交代,他对电商平台实施流量攻击就是为了敲诈勒索钱财,在发现目标网站并没有“服软”而是提高了防护措施后,他又通过多个QQ群发布“悬赏”,以每小时20元钱的佣金,雇用多人一起攻击。 据《刑法》规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。   稿源:新京报,记者:王婧祎,通讯员:苏锦安,封面源自网络;

云端 DDoS 的世界杯黑产:瘫痪竞争对手的赌球网站

雷锋网报道,今年世界杯期间,黑客“烈剑”的 DDoS攻击业务接单简直接到手软,而且“金主爸爸”们出手都很阔绰,这应该是他从事“中介服务”的四年中,生意最好的时候。 不差钱的金主爸爸来自几家不同的博彩网站,他们找到“烈剑”的目的很简单:用最快、最狠的DDoS攻击搞垮竞争对手的网站,把用户吸引到自己的平台上来。 云端 DDoS 黑产链 在圈内,这类金主爸爸被称为“发单人”,他们有些来自赌博、彩票和游戏私服等网站,用黑客技术手段对同行的服务器进行攻击致使其宕掉,在圈内早已是惯用伎俩。 而烈剑在圈内更像是一个中介,由于懂技术,接到金主的单后,烈剑会迅速找到技术不错的“攻击手”,这些人可以用手头现有的软件和工具来操纵肉鸡,让它们对目标网站进行模拟访问,占据其服务器的 CPU 资源,以此来把正常用户抵挡在门外。或者,直接发送大量流量攻击目标服务器,导致服务器无法访问网络。 在这个黑产链条中,“肉鸡商”和“出量人”也是攻击武器的重要提供者,他们手中掌握着已经搭建好的“肉鸡集群”和“流量平台网页端的服务”,在实施攻击前,这些“肉鸡商”已经利用后门程序和漏洞,获得电脑和服务器的控制权限,并植入木马,使得这些计算机变成能实施 DDoS 攻击的“肉鸡”。 而“出量人”作为拥有服务器控制权限和网络流量的人,能够租用专属服务器并自行配置攻击软件从而获取流量。 在利益面前,各路黑产配合默契,攻击“武器”这两年越来越先进,这也让烈剑的生意越做越大。 其实,除了处于灰色地带的一些比较边缘的网站,一些跟国计民生相关的关键基础设施也会遭到 DDoS 攻击,目前,互联网、金融、能源制造、政府机构等多个行业中,都面临着相似的风险。 上云后的超级DDos攻击 要说近几年越来越猖獗的 DDos 攻击,其实还要拜“上云”所赐。 正如一枚硬币的两面,网络带宽增加后,更高速、更广泛的网络连接让我们的生活更加的便利,但这也为DDoS 攻击创造了极为有利的条件,以前黑客获取一个IP 后,可能对应的只是一个普通的用户,但现在获取了一个IP,他可以在拿到后门后去查属于哪个服务商,是不是整片云是不是有同样的问题。 中国电信网络安全产品运营中心的高级产品经理张晓华,就带来了近几年电信网内的攻击趋势图↓↓↓ 张晓华回忆,在2013年的时候,大部分客户的主机还是在自己的机房里面,最多也就是在 IDC 机房,然后扯上一根 2M 的线,直接接到服务器上面,所以那时虽然也有 DDos ,但攻击量并不大。 随着近几年客户逐渐上云,接入带宽变大,配备的都是上百G的云资源池,这就出现了两点变化,一是一旦成为肉鸡,能够往外攻击的流量也会变大;二是随着能够涌入的流量增多,需要投资和配备的防护设备也需要相应升级。 这就如同你们家原来的门只是一个小门,一次最多只能同时进来两个人,要挡住坏人,简单的小防盗门就可以,由于人数少,哪些进来的是好人,哪些是坏人,也好分辨。但现在你们家的的门变成了一扇巨大的门,可以同时拥进上百个人,这时原有的防盗门就会不堪一击。 更加糟糕的情况是,随着黑产使用的各类攻击“武器”在不断升级,针对 DDos攻击的防护成本远远大于攻击成本,而且由于肉鸡的数量众多,对于攻击源的追查难度很大。 目前,出于商业竞争、打击报复和网络敲诈等多种因素,很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直成为DDoS攻击的目标,而随之而来出现的同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题。 要想解决上百个人堵在门口,而正常用户却被挡在门外这个问题,有一个办法就是从攻击源头就开始治理,这就如同你要阻止100个人从全国各地来到你这里闹事,最好的办法不是在等他们集结好之后,在闹事地点等他们,而是在他们出发的时候,就能够识别出他们,在源头进行治理,张晓华把这称为—近源清洗,而这个平台,被称为“云堤”。 换句话说,清洗就是把正常的用户放进来,把肉鸡挡在门外,让业务可以正常进行。 于用户而言,他们可以对攻击流量无感知;于运营商而言,可以通过在攻击流量发起侧网络内处置掉攻击流量,提高运营商网络的资源利用。 为什么要搞近源清洗 抗击DDoS的方式有很多,为什么电信要选择云上做近源清理这种方式? 这还得从电信作为一家运营商所拥有的监测系统讲起。 与其他安全厂商不同,作为一家运营商,其本身就有DPI(基于应用层的流量检测和控制技术)、Netflow 监测系统、Botnet 监测系统、僵木蠕监测系统以及DNS等提供的实时信息来进行监测。 黑客无论是要干什么事情,最终还是得用运营商的网络的,而如果凭借早就在网络中布下的各类监测设备,就可以为最终的“抓捕”提供线索。 凭借电信自身的能力就可以达到监测的目的?你们不买外部的威胁情报吗? 对于雷锋网的这个问题,张晓华透露,威胁情报在整个处理过程中,其实更多的是处于一个补充的作用。 除了有识别能力,还得有处理能力,你能看出哪个是坏人,还要有把坏人撂倒的本事,重要的是还不能伤及无辜。 张晓华透露,运营商所具有的网络部署与路由调度能力也是他们的杀手锏之一,通过调度能力,就可以直接实现超大规模的网络层/应用层攻击防护,通过云化分布式清洗中心可同时协同处置区域攻击流量,这时单节点处理能力就能得到协同节点的有效补充。 据雷锋网了解,目前这个清洗中心在国内有26个,未来会逐渐云话,张坦言,虽然网撒的很大,但在应用层的防护方面,未来依然需要加强对防护策略的制定,希望最终能做到客户完全不需要自己的处理的程度。 雷锋网还注意到,即将公布的《网络安全等级保护条例》中,对于云上的安全也提出了更高的要求,以防DDos为例,现在的标准会要求“肉鸡”也要承担主体责任。 简单来说,你不仅要时刻注意自己有没有被 DDos攻击,还要确保自己不成为肉鸡,去攻击别人。 这些肉鸡某种程度上,如同电影《釜山行》中的丧尸,虽然你很无辜,你被别人咬了,但被咬的后果就是你马上也会成为一个攻击者,去伤害更多无辜的人。   稿源:雷锋网,作者:郭佳,封面源自网络;

上百万台光纤路由器爆认证旁路漏洞,可被远程访问攻击

外媒近日消息,安全研究人员发现通过一个认证旁路漏洞能够远程访问超过一百万台光纤路由器。研究表明,该漏洞很容易通过修改浏览器地址栏中的 URL 来利用,可让任何人绕过路由器的登录页面和访问页面,只需在路由器的任何配置页面上的网址末尾添加 “?images /”,就能够完全访问路由器。由于设备诊断页面上的 ping 和 traceroute 命令以 “ root ” 级别运行,因此其他命令也可以在设备上远程运行。 这些路由器是将高速光纤互联网带入人们家庭的核心。根据周一发布的调查结果表明,该漏洞在用于光纤连接的路由器中发现。目前 Shodan 上列出了约 106 万个标记的路由器 ,其中一半易受攻击的路由器位于墨西哥的 Telmex 网络上,其余的则在哈萨克斯坦和越南被发现。 研究人员表示已经联系了建立路由器的韩国技术公司 Dasan Networks,但并没有立即收到回复。此外,他还联系了易受攻击设备数量最多的互联网提供商 Telmex,也没有任何回音。 发现该错误的匿名安全研究人员认为漏洞带来的损害远远大于受影响的路由器。因为由于该设备是一个路由器,这意味着它能控制着自己的网络,并且能够将整个网络(不仅仅是这个设备)作为僵尸网络。他补充道,路由器可能很容易被篡改,修改其 DNS 设置,以重定向用户访问恶意版本的网站,从而窃取用户的凭证。 最近的研究表明,路由器是黑客滥用的主要目标,因为它们是大多数网络的中心点。当受到攻击时,攻击者可以进一步立足于网络。路由器也是一个很容易利用的目标,它们可以轻易地被黑客攻击,被僵尸网络劫持,并且通过互联网流量入侵目标,将它们置于离线状态。这些分布式拒绝服务(DDoS)攻击可以在精确瞄准时摧毁大量网络。 例如本月早些时候,英国和美国当局都警告说,俄罗斯黑客正在使用受损的路由器为未来的攻击奠定基础。 研究人员表示,随着路由器安全性变得越来越好, DDoS 攻击只会越来越强大。 消息来源:ZDNet,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Verizon 发布《 2018 年数据泄露调查报告》:勒索软件已成为最流行的恶意软件

据外媒报道,美国电信巨头 Verizon 于本周二在其 2018 年数据泄露调查报告 (DBIR)中称,勒索软件攻击事件数量在过去一年中翻了一倍,成为最流行的恶意软件,这是因为黑客组织想通过锁定关键的业务系统来要求支付赎金,从而获取巨大的利益。 Verizon 执行董事安全专业服务部门的 Bryan Sartin 在一份声明中表示:“勒索软件是目前最流行的恶意软件攻击形式。近年来它的使用量大幅增加,因为现在企业仍然没有投资合适的安全策略来打击勒索软件,这意味着他们在面对勒索攻击时别无选择,只能向网络犯罪分子支付赎金”。 Verizon 在分析了 53,000 多起安全事件(其中包括 2,215 起违规事件)后表示,勒索软件攻击占特定恶意软件事件的 39%。 推动勒索软件攻击的一个趋势是针对关键业务系统(非台式机)的能力,这些系统可能对公司造成更多损害,并且很可能黑客组织试图将其作为勒索目标从中获取更多的利益。目前随着时间的推移,勒索软件事件中的资产类别已经从用户设备走向服务器,Verizon 说这是因为黑客意识到加密文件服务器或数据库比单个用户的设备更具破坏性。 Verizon 表示,横向移动和其他威胁活动经常会卷入其他可用于感染和遮挡的系统中。这些勒索软件攻击对黑客组织来说很有吸引力,因为黑客本身几乎不需要承担任何风险或成本,并且也不需要违反保密条款来实现其目标。 Verizon 在其报告中称,目前许多黑客已将钱财视为其首要任务,根据调查,有 76% 的违规行为都是出于财务动机。 例如 2017 年勒索软件最突出的例子 —  5 月份的 WannaCry 和 NotPetya 攻击。WannaCry 勒索软件通过感染 150 个国家 30 多万个系统,要求支付 300 美元的赎金才能解密密钥。与此同时,NotPetya 加密了主引导记录,并要求以比特币作为赎金支付的主要形式。 10 月份,另一宗勒索软件活动 BadRabbit 震动了安全行业 ,这项与俄罗斯 Telebots 有关的活动是在俄罗斯、乌克兰和东欧的网站上使用恶意软件发起的。在该事件中,攻击者瞄准基础设施(不仅仅只是桌面系统)并造成了巨大损害,其中乌克兰遭受了关键网络资产和基础设施的最大破坏。 最近,在 2018 年 3 月,亚特兰大市成为勒索软件攻击的目标。该起事件影响了几个部门,并瘫痪了处理付款和传递法院信息的政府网站。随后,亚特兰大市被要求支付 51,000 美元以换取密钥来解密系统。 为减轻勒索软件攻击的可能性,Verizon 在其报告中建议用户应确保有常规备份,并且隔离那些很重要的资产,以及将其放在业务连续性的优先级上。 Verizon 发现,总体而言,黑客、恶意软件和社交攻击(如网络钓鱼)等是过去一年中最多的安全违规事件。 除此之外,分布式拒绝服务(DDoS)攻击是 Verizon 2018 年报告强调的另一个重大威胁。Verizon 表示:“ DDoS 攻击可能会对任何人造成影响,因为它经常会被用作伪装启动或者停止后重新启动,以隐藏正在进行的其他违规行为。 目前来说,大多数网络犯罪分子具有经济动机,因此,他们针对金融、保险和零售行业发起的攻击不足为奇。Corero Network Security 的产品管理总监 Sean Newman 认为对于能够希望实现 100% 正常运行的在线公司而言,实时检测并自动减轻攻击的 DDoS 技术应该是必备的要求。 消息来源:threatpost,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Memcached DDoS 反射攻击创下 1.7Tbps 流量峰值纪录

外媒 3 月 6 日消息,继 Github 在上周遭受了流量速度为 1.3Tbps 的分布式拒绝服务(DDoS)攻击后,网络安全监控公司 Arbor Networks 证实美国一家服务提供商也面临着流量峰值高达 1.7Tbps 的反射/放大攻击。 虽然此次 1.7Tbps 事件与上周 GitHub 发生的 DDoS 攻击类似,但其带宽因使用了英特网上数千台暴露以及错误配置的 Memcached 服务器而被放大了 51,000 多倍。 据悉,在 GitHub 事件发生之后,其客户收到了敲诈邮件,威胁他们购买 50 枚价值超过 15,000 美元的 XMR( Monero )。目前 thehackernews 的文章中并未写明此次事件是否会有勒索赎金的情况出现。 Arbor Networks 表示,虽然反射/放大攻击并不新鲜,然而,最新的攻击媒介已经演变成了数千个错误配置的 Memcached 服务器,其中许多服务器目前仍然暴露在互联网上,可能会被利用来针对其他目标发起大规模的攻击。 Arbor Networks 预计未来几天会出现更多此类攻击事件。因此,为了防止 Memcached 服务器被滥用为反射器,Arbor Networks 敦促用户安装防火墙,并限制只能从本地网络访问 memcached 服务器。此外,管理员还应该考虑避免外部流量通过 memcached 使用的端口(例如默认使用的 11211 端口), 并及时阻止或限制 UDP ,如果非必要的话,最好能够完全禁用 UDP 支持。 消息来源:thehackernews,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

开源分布式内存缓存系统 Memcrashed 被利用发起 DDoS 放大攻击,峰值竟达 500 Gbps

外媒 2 月 27 消息,Cloudflare 和 Arbor Networks 公司于周二警告称,恶意攻击者正在滥用 memcached 协议发起分布式拒绝服务(DDoS)放大攻击,全球范围内许多服务器(包括 Arbor Networks 公司)受到影响。 memcached 是一个高性能的分布式内存对象缓存系统,用于动态 Web 应用以减轻数据库负载。它通过在内存中缓存数据和对象来减少读取数据库的次数,从而提高动态、数据库驱动网站的速度。此外,客户端可以通过端口 11211 上的 TCP 或 UDP 与 memcached 服务器进行通信。 在此次(DDoS)放大行动中,攻击者使用与受害者 IP 相匹配的假冒 IP 地址,将请求发送到端口 11211 上的目标服务器。虽然攻击者发送到服务器的请求仅仅只有几个字节,但其响应却比正常的要高出数万倍,这种情况可能会带来严重的攻击行动。 Cloudflare 认为攻击者显然是在滥用已启用 UDP 的无保护的 memcached 服务器。这些服务器来自世界各地,但主要是在北美和欧洲范围内,目前大部分服务器由由 OVH,DigitalOcean 和 Sakura 托管。 目前 Cloudflare 观察到的最大的 memcached DDoS 攻击峰值为 260 Gbps,但 Arbor Networks 称其发现的攻击峰值已达到 500 Gbps,甚至可能还会更高。Arbor Networks 指出,这些攻击中使用的查询类型也可以针对 TCP 端口 11211,但由于 TCP 查询不能真实被欺骗,因此该协议被滥用的可能性并不高。 根据 CDN (内容交付网络)监控的攻击数据来看,目前大约有 5700个与 memcached 服务器相关的 IP 地址,但专家预计未来会发现更大的攻击,因为 Shodan 显示了将近 88,000 个开放式服务器。目前大部分暴露的系统是在美国,其次是中国和法国。 Cloudflare 建议在非必要的情况下禁用 UDP 支持,并提醒系统管理员确保他们的服务器不能从 Web 访问。另外,互联网服务提供商(ISP)也可以通过修复易受攻击的协议和 防止 IP 欺骗来帮助减少这种或者其他类型的放大攻击。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

乌克兰警方成功逮捕 Avalanche (“ 仙女座 ”)僵尸网络组织者

外媒 2 月 26 日报道,乌克兰警方于周一表示,大规模僵尸网络 Avalanche (仙女座)的组织者之一被成功逮捕。 Andromeda (仙女座)是市场上最大的僵尸网络之一,自 2011 年以来一直存在。它为世界各地的恶意软件和 DDoS(分布式拒绝服务)垃圾邮件攻击提供基础架构。乌克兰网络警察在一份声明中说, 国际犯罪平台 Avalanche 的组织者在全球范围内每天感染的设备数量约达 50 万台。 其实早在 2016 年 11 月,来自欧洲刑警组织以及其他地区的检察官和调查人员进行了一场国际执法合作,成功摧毁了国际犯罪基础设施平台 Avalanche ,并逮捕了其高层老板。欧洲刑警组织表示,在当时的行动中,数百台服务器被关闭或扣留,80 万个互联网域名被封锁,成为迄今为止最大的拆除行动之一。 在这次行动中,一位网络警察发言人向法新社证实,被捕的男子是一名乌克兰公民 Gennadiy Kapkanov。警察搜查了该名男子的公寓,并对一台笔记本电脑和存储设备进行了取证。在调查过程中,警方发现,为了隐藏犯罪行为,该名男子使用了不同身份的护照。 不过乌克兰媒体称,Gennadiy Kapkanov 似乎是失踪了。因为虽然 Gennadiy Kapkanov 被拘留在他位于乌克兰中部城市波尔塔瓦的家中,但由于当地法院并没有实行正式逮捕。 于是周一晚些时候,法院将不得不再次决定是否要正式逮捕 Gennadiy Kapkanov 。 消息来源:SecurityWeek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

安全专家发现最新僵尸网络的控制主机也提供游戏私服

近日安全研究公司 Radware 发现了一个新的僵尸网络 “ JenX ”,其设计用途为在全球范围内劫持安全薄弱的物联网设备作为肉鸡,有趣的是安全公司发现 JenX 程序背后指向一支名为 San Calvicie 的黑客团队,而黑客团队用于分布式拒绝攻击 DDoS 的服务器控制主机位于东非的塞舌尔群岛。他们的控制主机除了执行 DDoS 攻击之外,还被用于作为R星经典游戏《侠盗猎车手:圣安地列斯》的私服主机。 僵尸网络主机可追溯到 San Calvicie 组织的官网,研究团队发现这些主机正在为 R 星游戏《侠盗猎车手:圣安地列斯》提供私服主机服务,玩家们可以在中创建 Mod,并要求其他玩家加入私服游戏。同时这些主机还提供防御 DDoS 攻击的服务,售价为每月 16 美元。 而与此同时,这些黑客也提供按需提供分布式拒绝攻击 DDoS 的服务,每次 20 美元。网站上如此宣传这项服务“神怒会砸向你要求攻击的 IP ”。这些组织最早提供 100Gbps 的 DDoS 的攻击服务,而在他们建立好 JenX 僵尸网络后,攻击流量直接升级至 300Gbps 。专家并不确定被劫持的物联网设备数量。 稿源:cnBeta,封面源自网络;

僵尸网络 Smominru 利用 NSA 泄露漏洞感染 52.6 万多设备挖掘门罗币

据媒体 1 月 31 日报道,“ 僵尸网络 ” 恶意软件 Smominru 已经通过泄露的 NSA 漏洞感染了 52.6 万多台电脑。 网络安全公司的软件安全研究人员已经发现了一个名为 Smominru 的新的全球僵尸网络,它也被称为 Ismo ,它使用了国家安全局( NSA )漏洞永恒之蓝来传播门罗币挖矿的恶意软件。 媒体称,这款 “ 永恒之蓝 ” 的漏洞被所谓的 “ 影子经纪人 ” (Shadow Brokers)黑客泄露,据报道,这些黑客还在幕后操纵着 2017 年的 “ WannaCry  蠕虫病毒勒索软件。 据证实,Smominru 僵尸网络自 2017 年 5 月起就开始感染电脑,每天大约会挖掘 24 个门罗币。到目前为止,据报道,“ 僵尸网络 ” 在新闻发布时已经成功挖掘了 8900 个门罗币,约合 210 万美元。研究人员说,在俄罗斯、印度和台湾发现了数量最多的 smominru 感染电脑。 根据证据,网络犯罪分子瞄准的是易受攻击的 Windows 系统,也使用了一种被泄露的 NSA 协议,叫做 EsteemAudit 。 根据 thehackernews.com 网站,专家们还通知 DDoS 保护服务 SharkTech, Smominru 的指挥和控制基础设施已经被检测到,但是他们没有得到回应。 正如 Cointelegraph 在 1 月 28 日报道的那样,通过在线广告进行大规模的门罗币挖掘恶意软件攻击,主要是由于有争议的加密货币挖掘和广告平台 cove,影响了全球范围内的大量用户和在线业务,包括 Youtube。 稿源:九个亿财经,封面源自网络;

新型僵尸网络 HNS 不断增长,已感染逾 2 万物联网设备

外媒 1 月 25 日消息,一个名为 Hide’N Seek( HNS )的新僵尸网络正在世界各地不断增长,对物联网设备造成重大影响(截至目前为止,受感染的物联网设备数量已达 2 万)。据研究人员介绍,HNS 僵尸网络使用定制的点对点通信来诱捕新的物联网设备并构建其基础设施,目前 HNS 主要是针对不安全的物联网设备,尤其是 IP 摄像机。 Bitdefender 的安全研究人员发现 HNS 僵尸网络于 2018 年 1 月 10 日首次出现,和其他与 Mirai 有关的物联网(IoT)僵尸网络并不相同。因为 HNS 有着不同的起源,且不共享其源代码。事实上,Bitdefender 高级电子威胁分析师 Bogdan Botezatu 认为 HNS 与 Hajime 僵尸网络更为相似。 Bitdefender 的研究人员在 1 月 24 日发表的博客文章中写道: “ HNS 僵尸网络以复杂并且分散的方式进行通信,使用多种防篡改技术来防止第三方劫持。” 其僵尸程序可以通过与 Reaper 相同的漏洞( CVE-2016-10401 和其他针对网络设备的漏洞),对一系列设备进行 Web 开发。 除此之外,HNS 还可以执行多个命令,包括数据泄露、代码执行和对设备操作的干扰。其僵尸程序具有类似蠕虫的特性,可以随机生成一个 IP 地址列表来获得潜在的目标,随后向列出的每个目标设备发起一个原始的套接字 SYN 连接。 一旦连接成功,僵尸程序将查找设备提供的 “ buildroot login ” 横幅,并尝试使用一组预定义凭据进行登录。如果失败,它会试图通过使用硬编码列表的字典攻击来破解设备的密码。 其次,若用户设备与僵尸程序具有相同的局域网,那么僵尸程序将会设置 TFTP 服务器,以便受害者能够下载样本。但如果是位于互联网上,僵尸程序将尝试一种特定的远程有效载荷传递方法,让用户设备下载并运行恶意软件样本。 一旦设备被感染,僵尸网络背后的黑客就可以使用命令来控制它。目前僵尸网络已经从最初的 12 个受损设备增加到 2 万多个。 但幸运的是,像大多数物联网僵尸网络一样,HNS 僵尸网络不能在受感染的设备上建立持久性。只要通过简单的设备重新启动, 受感染的设备中就可以自动删除恶意软件。 目前 Bitdefender 的研究人员尚未发现 HNS 僵尸网络具有 DDoS 功能,这意味着 HNS 将被部署为一个代理网络。另外,研究人员透露 HNS 僵尸网络仍然不断变化中,可能会被应用于多种攻击场景。 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。