美国 cert 发布预警:朝鲜黑客组织 lazarus 开展 ddos 僵尸网络攻击活动
2017-06-20 13:59:39
2017 年 6 月 13 日,美国计算机安全应急响应团队( us-cert )发布一份名为 “ ( 隐身眼镜蛇 )” 的联合技术预警(ta17-164a),旨在声明朝鲜黑客组织 lazarus 针对全球基础设施开展 ddos 僵尸网络攻击活动。
该报告结合了美国国土安全部( dhs )与联邦调查局( fbi )联合调查的结果,其中还包括一份与恶意软件 deltacharlie 感染系统相关的 ip 地址列表。deltacharlie 最初被 novetta 联盟发现并宣称是黑客组织 lazarus 武器库的 ddos 工具。此外,该报告还称 lazarus 为 hidden cobra,并将该组织活动与朝鲜政府关联。
目前,尚不清楚该报告列出的 ip 地址到底是命令与控制基础设施的一部分,还是 deltacharlie 反射器/放大器设备,亦或二者兼有。为了解所列 ip 地址是否与 ddos 攻击存有直接关系,研究人员将其与 arbor atlas 基础设施所观察到的攻击信息相互关联。arbor atlas 收集来自近 400 家全球分布式服务提供商的匿名 ddos 攻击数据,旨在执行 arbor 智能 ddos 凯发娱乐的解决方案( idms )。以下数据来自 arbor atlas 基础设施 01mar17 与 13jun17 之间监控的 ddos 攻击数据:
值得注意的是,atlas 检测数据包括约 1/3 互联网流量,因此某些攻击活动可能无法在数据记录中体现。此外,与 atlas 共享的多数攻击数据采用匿名形式,以便隐藏信息源或目标 ip 地址。所以,使用 ta17-164a 提供 ip 地址主机实际占比可能高于 atlas 观察到的 3.8%。
众所周知,僵尸网络 deltacharlie 支持的 ddos 攻击方法主要有 dns 反射/放大、ntp 反射/放大攻击与 chargen 反射/放大攻击,即可以使用 arbor tms 与 arbor aps 等智能 ddos 缓解系统(idms)。此外,考虑到 deltacharlie 不支持 ldap 反射/放大攻击,即不可使用 arbor tms 或 arbor aps 等 idms 缓解操作。
令人困惑的是,如果该报告中的 ip 地址包括启动反射/放大攻击的机器设备,那么受害者将永远不会看到那些 ip 地址,其只会观察到被机器设备滥用的开放式反射器产生的攻击流量。这就增加了一种可能性,即 ta17-164a 仅列出了那些被 deltacharlie 滥用的 “ 无辜 ” 受害者,因为 deltacharlie 并不支持 ldap 反射/放大。
ta17-164a 报告显示了近期受攻击活动影响的 24 个 ip 地址。虽然这些 ip 地址主要集中在俄罗斯伏尔加格勒,但 atlas 观察到其中被用来发动 ddos 攻击的 ip 地址最大集中于沙特阿拉伯,其次是阿联酋。此外,美国、英国、澳大利亚、法国、新加坡等国也纷纷受到影响。下图描述了 ddos 每日攻击数量,即 ta17-164a 警报中至少有一个 ip 地址被视为参与攻击的源地址:
鉴于 ddos 攻击活动常与地缘政治活动有关,研究人员注意到 4 月 5 日攻击活动就发生在朝鲜向日本海发射导弹的第二天。但二者之间是否存在关联也仅限于猜测。目前,由于研究人员尚未确定 ip 地址来源,因此他们难以采取行动。倘若盲目对其安全系统进行操作,可能引发更多危害。
官方微信