信息安全公司 Verisign 于近期发布 2017 年第一季度分布式拒绝攻击（ DDoS ）趋势报告。该报告介绍了该公司在今年头几个月内观察到的 DDoS 攻击频率、大小和类型的变化。统计数据显示，今年第一季度，DDoS 攻击次数比上个季度下降了 23%。然而，平均攻击峰值提升近 26%，使得它们在占用网站和关键的在线基础设施方面更有效率。 该报告还指出，攻击本质上是复杂的，并使用几种不同的攻击类型来占用网站资源。其中，43% 的攻击者只使用一个攻击载体、25% 的攻击者使用两个、 6% 的攻击者使用五个。Verisign 的报告还谈到公司在第一季度发现的最大规模 DDoS 攻击：峰值高达 120 Gbps 的多向量攻击、吞吐量为 90 Mpps，其目标受到 60 Gbps 攻击的时间超过 15 个小时。 攻击者极其坚持企图通过每天发送攻击流量超过两个星期来破坏受害者的网络。其攻击主要由 TCP SYN 和不同数据包大小的 TCP RST 组成，并采用与 Mirai 僵尸网络相关的攻击。该次攻击还包括 UDP 洪水和 IP 片段，增加了攻击的数量。 简而言之，攻击者使用了几种不同的攻击类型，他们能够长时间维持攻击。这表明攻击者有资源创建或租用这种大小的僵尸网络，并在两周内维持攻击。DDoS 攻击效能提高的事实并不奇怪，因为攻击者可以很容易地将不安全的物联网设备劫持到到他们的僵尸网络中。 稿源：cnBeta；封面源自网络

据外媒 6 日报道，研究人员发现新 Bondnet 僵尸网络 “ Bond007.01 ” 目前已感染全球约 15,000 台 Windows 服务器，受感染设备被用于开采各种加密货币（例如：ZCash、RieConin 以及 Monero ）。 研究人员在 2016 年 12 月首次发现了僵尸网络 Bondnet ，据称其恶意软件开发人员可追溯至中国。僵尸网络 Bondnet 主要攻击配置 MySQL 的 Windows 2008 服务器，利用多种目标设备与漏洞感染受害系统。此外，攻击者还对其他 Web 服务器软件（包括 JBoss、Oracle Web 应用程序、MSSQL 与 Apache Tomcat ）开展大规模攻击。 研究显示，一旦 Bondnet 入侵 Windows 系统，它将安装一系列 Visual Basic 程序、DLL 与 Windows 管理程序，以充当远程访问木马（RAT）与加密货币挖掘系统。RAT 可为 Bondnet 控制器提供后门访问，同时利用采矿系统报告结果即可从受害服务器中获取利益。这些由未知用户远程控制的服务器极易被利用来进行 DDoS 网络攻击、传播勒索软件或用于简单的被动监控。 目前，Guardicore 研究人员并未发现 Bondnet 攻击者访问受感染系统中存储的数据信息。相反，他们正集中力度窃取计算机资源进行加密货币采矿操作。研究人员猜测由 Bondnet 加密采矿技术所赚取的金额远超过通过赎金或 DDoS 攻击勒索可获取的金额。 原作者： Charles R. Smith， 译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

本月初，俄罗斯黑客 Peter Levashov 于西班牙被捕，因涉嫌串谋诈骗、盗窃身份被指控八项罪名。此外，Levashov 还被认为代号为“ Severa”的黑客、操纵 Kelihos 僵尸网络（全球规模最大的垃圾邮件网络）的幕后黑手。 康涅狄格州联邦陪审团提交起诉书并于本周五列出美国法庭对 Levashov 提出的所有指控罪名，其中包括从事威胁损坏受保护计算机的阴谋活动以及对受保护计算机造成蓄意破坏、访问受保护计算机以促进诈骗与电信诈骗的身份窃取恶性行为。 36 岁的 Levashov 于 4 月 7 日在西班牙被捕，消息传出数小时后，Levashov 被证实与 2016 年美国大选期间民主党电子邮件泄漏事件有关。在接下来的数小时内，Levashov 操纵僵尸网络 Kelihos 的事实也得到确认。公诉人认为该僵尸网络用于向数百万用户传播垃圾邮件与恶意软件。司法部表示，Levashov 被捕后当即展开了对该僵尸网络的拆除工作。 原作者：Gabriela Vatu，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒近日报道，安全专家监测到一种针对 WordPress 安装程序的新型威胁：攻击者可通过僵尸网络 Sathurbot 爆破 WordPress 帐户并利用被入侵网站进行恶意软件传播。 Sathurbot 采取种子传播机制。被入侵网站将被用于托管伪造的电影与软件种子。调查表明，Sathurbot 可自行更新并下载启动其他可执行文件。受害者在搜索电影或下载软件时会收到含有可执行文件的恶意链接，点击该链接可令系统当即加载 Sathurbot DLL，致使受害者机器完全受外界控制。此外，Sathurbot 还执行黑帽 SEO 技术，主要通过搜索引擎提供恶意链接。 据悉，每当成功感染目标网站，恶意软件就会将结果报告至 C＆C 服务器并连接监听端口进行通信。Sathurbot 在等待其他指令的同时定期与 C＆C 服务器取得联系。机器人将收集到的域名发送至 C＆C 服务器，攻击者使用不同机器人尝试对同一网站的不同登录凭据展开分布式 WordPress 密码攻击。由于每个机器人在对每个网站进行一次登陆尝试后即转移至下一个域名，可以有效避免遭受拦截。安全专家表示，攻击者还倾向将目标锁定在运行 CMS 的其他网站，如 Drupal、Joomla、PHP-NUKE、phpFox 与 DEdeCMS 框架网站等。 机器人通过集成 libtorrent 库实现恶意软件传播，但并非所有机器人都执行此功能，其中一些仅作为Web爬虫或用于网站爆破。近期，安全专家在对日志与系统文件进行检查后推测，Sathurbot 至少从 2016 年 6 月起就一直处于活跃状态，迄今已感染逾 20,000 台计算机。 原作者：Pierluigi Paganini ， 译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

俄罗斯籍黑客 彼得·列瓦绍夫 上周末在西班牙巴塞罗那市被捕。“今日俄罗斯”电视台报道，列瓦绍夫 牵涉美国所谓俄罗斯对美国总统选举进行干涉的黑客攻击。俄罗斯驻西班牙大使馆发言人 9 日证实，列瓦绍夫已被警方转移至马德里，使馆方面没有透露列瓦绍夫被捕原因。 据悉，美国司法部刑事局发言人彼得·卡尔称，美国大选受干涉的案件“ 仍处于保密状态 ”，目前无法提供相关信息。路透社援引一名司法部官员的话报道，这是一起刑事案件，同国家安全没有明显联系。 计算机安全和网络犯罪网站 KrebsOnSecurity 表示，列瓦绍夫是一家垃圾邮件僵尸网站的“ 幕后黑手 ”。这家网站自 2010 年利用僵尸网络 Kelihos 发送垃圾邮件，数年内感染 7 万至 9 万台电脑，每天可发送大约 15 亿封垃圾邮件。目前这一僵尸网络活动已被停止，美国政府声称，一旦用户系统遭受感染，列瓦绍夫将通过电脑入侵受害者邮件服务器。此外，在针对列瓦绍夫的案件中，联邦调查局注意到，其中一个僵尸网络服务器不断登录至 mail.ru 电子邮件账户。根据法庭文件显示，该帐户已注册“ Pete Levashov ”，并还以类似名称与 Apple iCloud 帐户保持联系。 为阻止僵尸网络 Kelihos 再次发布攻击，安全专家切断列瓦绍夫与电脑的所有联系，并通过法庭命令将受感染机器的互联网流量重新定向至调查员控制的虚拟服务器内。联邦调查局推测，僵尸网络 Kelihos 目前已感染 25,000 至 100,000 台计算机，约 5％ 至 10％ 分布于美国。 本文据 HackerNews、cnBeta 报道翻译、整理，封面来源于网络。

据外媒 7 日报道，Palo Alto Networks 的安全专家 Rotem Kerner 近期透露，一种新型僵尸网络 Amnesia 允许攻击者利用未修补的远程代码执行漏洞攻击其硬盘录像机( DVR )设备。 消息显示僵尸网络 Amnesia 主要瞄准零售商系统硬盘录像机进行两项操作： 1、验证主机是否属于目标零售商 2、立足于本地网络，入侵 POS 机系统 安全专家 Kerner 曾在去年 3 月上报此漏洞但并未得到供应商答复，一年后，他选择公开披露漏洞具体信息。Amnesia 是僵尸网络 Tsunami 的新变种，主要针对嵌入式系统设备发起 DDoS 攻击，尤其是中国制造的 DVR 设备。 调查表明这一安全漏洞至今仍未得到修复。目前，全球约有 227,000 个 DVR 设备存在安全隐患，主要分布于台湾、美国、以色列、土耳其与印度等地区/国家。 安全专家表示，僵尸网络 Amnesia 可通过虚拟机逃逸技术躲避沙箱，以便对其目标设备展开网络攻击。 虚拟机逃逸技术通常与 Windows 或安卓恶意软件相关联。如果僵尸网络 Amnesia 运行于 VirtualBox、VMware 或 QEMU 虚拟机中，它将通过删除文件系统中的所有文件去除虚拟化 Linux 系统。据悉，这不仅影响 Linux 恶意软件分析沙箱的正常运行，还会导致 Linux 服务器出现异常。 PaloAlto 专家认为，Amnesia 会逐渐成为威胁网络安全的主要僵尸网络之一，被利用于进行大规模网络攻击， 原作者：Pierluigi Paganini ， 译者：青楚 ，审核：狐狸酱 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

 Imperva 的安全专家称，Mirai 僵尸网络新变种瞄准该公司某美国大学用户发起为时 54 小时的分布式拒绝服务（ DDoS ）攻击，峰值高达 37,000 RPS。专家强调，此次攻击事件打破了 Mirai 僵尸网络有史以来最高记录。 恶意软件 Mirai 最初由研究员 MalwareMustDie 于 2016 年 8 月发现，专门针对物联网设备，曾感染成千上万的路由器与物联网（ IoT ）设备，主要包括硬盘刻录机（ DVR ）和闭路电视（ CCTV ）系统。当 Mirai 僵尸网络感染设备时，会随机选择 IP 并尝试使用管理员凭据通过 Telnet 和 SSH 端口进行登录。 2016 年，Mirai 僵尸网络攻击了两大知名网站 Brian Krebs 与 the Dyn DNS service 。同年10月，Mirai 僵尸网络的源代码在线泄露，各类新变种滋生。Brian Krebs 专家称，代号为“ Anna- senpai ”的用户在知名黑客论坛 Hackforum 共享了恶意软件 Mirai 源代码链接。2017 年 1 月，专家发现一个据称是 Windows 版本的 Mirai 新变种出现，允许 Linux 木马传播至更多 IoT 设备。 经推测，Mirai 新变种由源代码泄露导致。Mirai 僵尸网络之前通过网络层展开 DDoS 攻击，而新变种则利用应用层进行攻击。 专家表示，发起攻击的僵尸网络主要由闭路电视摄像机头、DVR 和路由器组成。攻击者可能利用已知 IoT 设备漏洞打开 Telnet（ 23 ）端口和 TR-069（ 7547 ）端口。 据悉，此次攻击中使用的 DDoS 僵尸采用不同的用户代理，而非曾在默认 Mirai 版本中出现的五个硬编码样例。技术细节表明，Mirai 僵尸网络新变种已被改进并用于提供更复杂的应用层攻击。 分析显示，攻击流量来自全球 9,793 个 IP，超过 70％ 的设备位于以下国家及地区：美国（18.4％）、以色列（11.3％）、台湾（10.8％）、印度（8.7％ ）、土耳其（6％）、俄罗斯（3.8％）、意大利（3.2％）、墨西哥（3.2％）、哥伦比亚（3.0％）和保加利亚（2.2％）。 原作者：Pierluigi Paganini， 译者：青楚     校对：Liuf 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Distil Networks 安全专家称，网络犯罪分子正利用僵尸网络 GiftGhostBot 窃取全球主要零售商提供的礼品卡余额。 GiftGhostBot 是一种专门用于礼品卡诈骗的新型僵尸网络，攻击目标为面向消费者提供礼品卡消费途径的所有网站，如奢侈品零售商、超级市场、咖啡店网站等。 据悉，诈骗分子不仅利用该僵尸网络对全球范围内近 1000 个网站发起攻击，还公然窃取合法消费者礼品卡余额。他们通过暴力攻击每小时测试多达 170 万张礼品卡帐号并查询账号余额。一旦礼品卡帐号与余额匹配正确，诈骗分子无需任何身份验证即可自动登录受害者账号。由于诈骗分子成功获取余额后即迅速潜入黑市转售帐号或直接消费，追踪此类犯罪行为具有较大难度。 Distil Networks 首席执行官 Rami Essaid 称，像其他复杂网络攻击一样，为了逃避检测，GiftGhostBots 僵尸网络正通过全球托管服务提供商、互联网服务提供商和数据中心执行 JavaScript ，模拟常规浏览器。因此，任何提供礼品卡的零售商都可能受到攻击。为防止资源流失，个人和企业必须共同努力将危害范围控制到最小程度。 原作者：Wang Wei， 译者：青楚，校对：Liuf 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

研究人员 Pierre Kim 透露全球有超过 185000 个连接 Wi-Fi 的摄像机暴露在互联网上易受到黑客攻击。 设备主要受到以下漏洞影响： 后门账户 RSA 密钥和认证 GoAhead http 服务器导致的预授权信息泄漏（凭证） 认证 RCE 远程代码执行漏洞 预授权 RCE 远程代码执行漏洞 研究员进行全网扫描发现存在 199956 个结果，这意味黑客可利用这些漏洞接管这些设备组建庞大的僵尸网络。 这些摄像机设备用于配置 FTP 的 CGI 脚本受到 2015 年发现的一个远程代码执行漏洞影响，允许攻击者以 root 身份运行命令或启动无密码的 Telnet 服务器。此外由于设备固件默认启用云能力并预先进行配置与 AWS 、阿里巴巴和百度进行连接，即使攻击者不知道凭证也可以通过 UDP 通道建立连接绕过防火墙。 研究员已经将分析报告发布到 GitHub 上，包括概念验证代码。 原作者： Pierluigi Paganini，译者：M帅帅 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近日，BitSight 的 Anubis 实验室发现，Necurs 僵尸网络有了新的发展——增加了一个可实现 DDoS 攻击的模块。Necurs 僵尸网络是世界上最大的恶意网络之一，主要用于发送垃圾邮件活动，而 Necurs 则是一种恶意软件，用于传播各种致命威胁如勒索软件“ Locky ”。 大约六个月前，Pereira 和他的团队发现，除了通常用于通信的 80 端口之外，恶意软件 Necurs 还使用不同的协议通过不同的端口与一组特定 IP 进行通信。经过逆向分析，研究员发现了一个简单的 SOCKS / HTTP 代理模块可用于肉鸡与 C&C 服务器通信，其中一个命令将导致机器人开始无限循环地向任意目标发出 HTTP 或 UDP 请求。 C&C 发送给肉鸡的三种命令类型，按头部中 msgtype 字节来区分： ○ 启动 Proxybackconnect（ msgtype 1）; ○ 睡眠（ msgtype 2）; ○ 启动 DDOS（ msgtype 5），包括 HTTPFlood 和 UDPFlood 模式。 HTTP 攻击的工作原理是启动 16 个线程执行无限循环的 HTTP 请求。UDP Flood 攻击通过重复发送大小在 128 到 1024 字节之间的随机有效负载来实现。 目前，研究人员还未发现 Necurs 被用于 DDOS 攻击，只是注意到恶意软件加载了有 DDoS 攻击能力的模块。不过，基于 Necurs 僵尸网络现有的规模，产生的 DDoS 攻击流量将会相当大。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。