Akamai 發表 Prolexic 2014 年第二季全球 DDoS 攻擊報告,發現惡意攻擊的黑客正在改變建立、部署和隱藏強大殭屍網絡的技術,潛藏伺服器端的殭屍網絡正在興起,甚至縱使已把威脅剷除,但事實上殭屍網絡卻在伺服器端秘密保存。
影響超過 15% 基礎架構
Akamai 發表 Prolexic 2014 年第二季全球 DDoS 攻擊報告,結果發現與 2013 年第二季相比,平均高峰頻寬上升 241%,平均攻擊頻寬亦上升 72%。DDoS 攻擊總數上升 22%,其中針對基礎架構攻擊(第三及第四層)亦上升 46%,成為黑客攻擊的主要對象。
與2013年同期相比,報告顯示第二季反射及放大攻擊變得更為普及化,影響超過 15% 基礎架構。這些攻擊普遍針對互聯網協定功能和伺服器配置錯誤的漏洞。社會清理工作使 2014 年第二季度的 NTP 反射攻擊顯著下降,但 SNMP 反射攻擊卻與此同時激增,填補了反射攻擊的下降。
Akamai安全部高級副總裁兼總經理Stuart Scholly表示:「DDoS攻擊總數、平均及高峰頻寬仍持續高企。惡意攻擊者可通過鋪天蓋地的網絡頻寬,除去整個數據中心。強大攻擊背後反映攻擊者建立、部署的隱藏殭屍網絡技術不斷變化。伺服器端的殭屍網絡往往利用網站的弱點,再加上反射和放大技術,令網絡攻擊事半功倍。」
潛藏伺服器殭屍網絡難發現
攻擊者建立伺服器端殭屍網絡時,通常著手於平台即服務(PaaS)和軟件即服務(SaaS)供應商所用的伺服器運行軟件的弱點,例如 Linux、Apache、MySQL、PHP(LAMP) stack 和 Microsoft Windows 伺服器作業系統等。此外他們亦會攻擊較為脆弱的常見內容管理系統(CMS),如 WordPress、Joomla 或他們的外掛程式。
伺服器端殭屍網絡正在興起的同時,itsoknoproblembro(Brobot)殭屍網絡、一種依靠伺服器感染的病毒,仍然是個威脅。Brobot 殭屍網絡在 2011-2013 年,阿巴比爾攻擊金融機構行動時已開始使用。2014 第二季的攻擊報告顯示,Brobot 的威脅仍然存在。縱使已經把威脅剷除,但事實上殭屍網絡卻在伺服器端秘密保存。
涉及伺服器端的殭屍網絡攻擊,Akamai 只能在最複雜和精心打造的 DDoS 活動中才能觀察得到。這些殭屍網絡的高流量基礎架構攻擊似乎經過特別製造,能避過 DDoS 緩和技術的檢測。因為這些攻擊的有效性,加上脆弱的雲端計算軟件廣泛普及,殭屍網絡的攻擊很可能會持續,並可能在 DDoS 地下市場貨幣化。他們對企業、政府和其他組織構成了重大的潛伏危險。