近日，BitSight 的 Anubis 实验室发现，Necurs 僵尸网络有了新的发展——增加了一个可实现 DDoS 攻击的模块。Necurs 僵尸网络是世界上最大的恶意网络之一，主要用于发送垃圾邮件活动，而 Necurs 则是一种恶意软件，用于传播各种致命威胁如勒索软件“ Locky ”。 大约六个月前，Pereira 和他的团队发现，除了通常用于通信的 80 端口之外，恶意软件 Necurs 还使用不同的协议通过不同的端口与一组特定 IP 进行通信。经过逆向分析，研究员发现了一个简单的 SOCKS / HTTP 代理模块可用于肉鸡与 C&C 服务器通信，其中一个命令将导致机器人开始无限循环地向任意目标发出 HTTP 或 UDP 请求。 C&C 发送给肉鸡的三种命令类型，按头部中 msgtype 字节来区分： ○ 启动 Proxybackconnect（ msgtype 1）; ○ 睡眠（ msgtype 2）; ○ 启动 DDOS（ msgtype 5），包括 HTTPFlood 和 UDPFlood 模式。 HTTP 攻击的工作原理是启动 16 个线程执行无限循环的 HTTP 请求。UDP Flood 攻击通过重复发送大小在 128 到 1024 字节之间的随机有效负载来实现。 目前，研究人员还未发现 Necurs 被用于 DDOS 攻击，只是注意到恶意软件加载了有 DDoS 攻击能力的模块。不过，基于 Necurs 僵尸网络现有的规模，产生的 DDoS 攻击流量将会相当大。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，香港证券监管机构近日表示，特区的证券经纪人备受网络攻击困扰，未来各种针对证券业的网络攻击可能会愈演愈烈。过去的一年中，香港证券监管机构一直在努力抗击各种针对证券公司的网络攻击。去年 11 月的一项调查显示，2014-2016 年间，中国大陆和香港公司发现的此类网络攻击平均数量增速惊人高达 969%。 上周四，香港证券及期货事务监察委员会（ SFC ）表示，它们接到香港警察通知，称证券公司的网站经常遭受 DDoS 攻击（即分布式拒绝服务，借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动 DDoS 攻击，从而成倍地提高拒绝服务攻击的威力），有时证券经纪人还会遭到罪犯的勒索。 SFC 在报告中指出：“ DDoS 攻击会造成股票服务的短暂中端，这样类似的网络攻击已经蔓延到了整个证券行业”。因此，SFC 敦促金融中心的公司增强自身的防御级别，包括重新检查自己的 IT 系统，并推动 DDoS 攻击防护方案的实施。 稿源：腾讯科技，有删改，封面来源：百度搜索

据 Imperva Incapsula 公司公布的 2015 年 Bot Traffic Report（ bot 流量报告），人类五年来首次线上流量超过机器人，占全部线上流量的 51.5%，而在 2013 年的时候仅仅为 38.5%。人类流量占多的情况比较短暂，在最新公布的 2016 年 bot 流量报告中显示，人类在线流量降到了 48.2%，bot 流量达到了 51.8%。 在 bot 流量中，存在好坏之分。好的 bot 网络是指能够增进 web 创新和成长的 bot，通常这些 bot 具有者是合法企业，他们用 bot 来完成一些大数据的任务，比如进行数据搜集或网站扫描等。而坏的 bot 流量，最具代表性的就是僵尸网络。在恶意着手里 bot 网络常常用于发起 DDoS 攻击或执行漏洞扫描等。 在 2016 年 bot 流量报告中，好的 bot 流量从去年的 19.5% 上涨到 22.9%。Feed 提取是该分类中最为活跃的，在所有流量中的占比达到了 12.2%。这主要归功于移动应用的广泛使用，反应人类正迁移到移动设备上。而坏的 bot 流量从去年的 28.9% 下降了 0.1%。其中最为活跃的是 Impersonator bots，已经连续五年蝉联这一位置，在所有 Imperva 网络中的占比达到了 24.3%。Impersonator bots 通常用于发起 DDoS 网络攻击，现在最知名的是 Mirai、Nitol 和 Cyclone 等等。 稿源：cnBeta，有删改；封面：百度搜索

抗议者拟将在唐纳德·特朗普就职之日，向白宫网站发起传统的“ DDoS ”攻击，不断刷新网页致使网站流量过载。 一名反对特朗普的软件工程师 Juan Soberanis 发起了一项活动，号召因各种原因不能上街游行的群众，在周五（ 1 月 20 日）唐纳德·特朗普就职美国总统时，不断手动刷新或者设置自动刷新白宫网站（ whitehouse.gov ）使网站流量过载宕机。他特意将声明放在 protester.io 网站上，不过目前该网页已经无法访问。 Soberanis 强调这不是 DDoS 攻击并不违反法律，用户只是刷新网站并没有干其他的事情。对此，特朗普团队还没有做出回应。不过，即使网站宕机，当选总统也不太可能受到影响，白宫网站更多的是一种形式，并不存储任何重要数据。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

美国联邦贸易委员会（ FTC ）近日发起了一场比赛，寻找那些能提出创新方法来充分确保物联网设备安全的安全研究人员，获奖者将能得到高达 25000 美元的奖金。 去年 10 月底，美国遭遇了史上最严重的 DDoS 攻击，美国最主要的 DNS 服务商 Dyn 遭遇大规模 DDoS 攻击，导致 Twitter、Spotify、Netflix、AirBnb及华尔街日报等数百家网站无法访问。Dyn 最后透露，攻击来源主要是一个被 Mirai 僵尸网络感染的物联网设备。 FTC 要求安全研究人员能提出一些方法，来识别出那些仍在使用默认密码或运行过时软件的设备中的潜在风险。安全研究人员需要在 2017 年 3 月 1 日- 5 月 22 日期间提交解决方案，FTC 将在 7 月 27 日公布获奖者名单。 稿源：cnbeta，有删改，封面来源：百度搜索

MalwareHunterTeam 的安全研究人员发现，勒索软件变种 FireCrypt 自带了某些新功能，允许攻击者发动小规模的 DDoS 攻击。 勒索功能 一旦，恶意 EXE 文件被触发，FireCrypt 将杀死计算机的任务管理器（ taskmgr.exe ）并使用 AES-256 加密算法加密 20 种文件类型。所有加密文件都会添加“ .firecrypt ”的扩展名。加密完成后会索要 500 美元赎金。FireCrypt 和勒索软件 Deadly 源代码很相似，都使用源代码的电子邮件和比特币地址，很有可能是 Deadly 的升级版。 DDoS 功能 FireCrypt 源码中含一个硬编码的 URL 地址，勒索软件会不断地连接该 URL 下载相应内容并存储在 %Temp% 磁盘文件名下，同时命名为 [random_chars]-[connect_number].html 。 该 URL 为巴基斯坦电信管理局的官网地址，勒索软件作者称该功能为“ DDoSer ”并希望借此发动 DDoS 攻击，不过感染设备至少要达到上万台才能达到攻击效果。 目前，还没有安全公司发布解密工具。如果受害者不希望支付 500 美元赎金迅速解密文件，则需耐心等待解密工具公布并保留好被加密文件的副本。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，21 日数据安全公司 Imperva 遭到大规模 DDoS 攻击，最大峰值达 650Gbps 。 12 月 21 日上午 11 点左右，僵尸网络 Leet 针对 Imperva Incapsula 网络中的多个 IP 地址发动攻击。这次攻击没有针对特定用户，很可能是 Incapsula 的代理服务器对用户 IP 进行了隐藏处理，致使攻击者无法解析受害者的 IP 地址。第一波攻击持续了将近 20 分钟，流量峰值在 400Gbps 左右，但被 Imperva 防御住了。第二波攻击持续了约 17 分钟，流量峰值在 650Gbps 左右，每秒的攻击数据包数量达到了 1.5 亿个。 经过分析，攻击流量来自于僵尸网络 Leet （堪比 僵尸网络 Mirai ），此次攻击中的恶意流量由两种不同的 SYN payload 组成。常规 SYN 数据包，44 字节到 60 字节不等。异常 SYN 数据包，799 字节到 936 字节不等。恶意软件可以访问受感染设备的本地文件并利用数据内容生成大量载荷。这些随机载荷可以绕过基于签名的安全防护继续发送。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

互联网上硕果仅存的两大 BT 网站 ——海盗湾和 ExtraTorrent 近日也遭遇神秘的网络攻击，导致网站被迫下线、用户已经无法访问。 根据 TorrentFreak 报道，大规模 DDoS 攻击导致了ExtraTorrent 无法访问，而海盗湾网站无法访问原因还属未知。报告显示，ExtraTorrent 几天前收到了一封威胁电子邮件，要求网站经营者在 24 小时内删除加密功能等，否则威胁要让 ExtraTorrent 宕机几个小时乃至几天时间。 在收到这份威胁邮件之后，ExtraTorrent 确实遭受了数天 DDoS 攻击，甚至突破了 CDN 服务提供商 CloudFlare 的保护。海盗湾网站目前也是离线状态，但问题的原因未知。该网站告诉 TorrentFreak，它意识到这些问题，并表示，他们的技术人员会着手解决问题。 稿源：cnbeta 有删改，封面来源：百度搜索

据外媒报道，泰国当局逮捕了九名涉嫌 DDoS 攻击政府网站的黑客。一名青少年黑客已被起诉，另外八人仍被警方拘留。这些黑客发动一系列 DDoS 攻击旨在表达对泰国国会近日所通过的《计算机犯罪法》（修订案）的不满，黑客认为法规限制了互联网的言论自由。 泰国国会在 12 月 16 日通过了《计算机犯罪法》（修订案 ），其中规定任何在网上发布影响国家安全、社会秩序、经济稳定的言论将面对长达 5 年的监禁。其中遭争议的一项补充条款为泰国政府将成立由 5 个成员组成的委员会，该委员会可建议法院撤下在网上被认为违规的内容。 警方表示，该团伙受匿名者黑客“ OpSingleGateway ”运动影响，决定采取行动抗议该国的新网络法。黑客自 12 月 17 日以来一直很活跃，在被捕几天前，黑客还 DDoS 攻击了泰国皇家警察办公室网站，致使网站离线。一名 19 岁的黑客 Natdanai Khongdee 已经被泰国警方起诉，警方还在其住所发现了大量枪支弹药以及大麻。 当局表示，电子交易发展署（ ETDA ）的专家将加强商务部网站的安全性应对未来可能的攻击。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，本周国外轻博客社交网站 Tumblr 遭黑客组织 “R.I.U. Star Patrol” DDoS 攻击导致网站离线 2 小时。Tumblr 迅速修复了问题，并对用户表达歉意。黑客组织也发文称对此起攻击负责。 此前，黑客组织还在 YouTube 上发表视频宣称，计划在圣诞节针对索尼的 PSN 和微软的 Xbox Live 游戏服务，发动一起类似于攻击 Tumblr 的 DDoS 攻击行动。黑客表示攻击目的非常“单纯”：“这样做很好玩，而且现在有能力可以办到”。每年都有针对 PSN 和 Xbox 的攻击，索尼和微软已表示会竭力提高系统安全等级、防御此类攻击。圣诞节是国外游戏网络最忙碌的时候，PSN 和 Xbox 游戏机是全世界最流行的礼物之一，玩家们会在圣诞节激活游戏机并下载游戏，在这段时间网络出现问题，会对众多玩家产生影响。 稿源：本站翻译整理，封面来源：百度搜索