close
資訊保安

DDos 攻擊次數再度增加 PBot 惡意軟件捲土重來成主因

Akamai 最近發佈的報告顯示,DDoS 及網絡應用程式攻擊又再次增加,原因主要是因為 PBot DDoS 惡意軟件捲土重來,成為了 DDoS 攻擊的基礎,它同時也是 Akamai 於本季所見最強的攻擊。

 

Akamai《2017 年第二季互聯網現況-安全報告》透露,在使用 PBot 的案例中,惡意攻擊者利用有數十年歷史的 PHP 程式碼,產生 Akamai 在第二季所觀察到的最大型 DDoS 攻擊。攻擊者得以建立一個迷你 DDoS 殭屍網絡,藉此發起每秒 75 Gbps 的 DDoS 攻擊。值得注意的是,PBot 殭屍網絡是由相對少量的 400 個節點所構成,卻仍能創造驚人的攻擊流量。

Akamai 的企業威脅研究團隊 (Enterprise Threat Research Team) 在分析報告中亦討論到網域產生演算法 (DGA)在惡意軟件指揮與控制 (C2) 基礎架構中的使用情況,將其包括在「死灰復燃的攻擊」清單之中。 雖然 DGA 早在2008 年首次與 Conficker 蠕蟲一同出現,但時至今日,新式惡意軟件仍常將其用作通訊技術。 團隊發現,受感染網絡產生的 DNS 查閱率是正常網絡的 15 倍之多, 這可解釋為惡意軟件在受感染的網絡上存取隨機產生的網域所導致的 結果。由於產生的網域絕大多數都沒有註冊, 試圖全都存取就必然會產生許多雜訊。要辨識出惡意軟件活動, 其中一項重要的方式便是分析受感染的網絡與正常網絡間的行為特徵 差異。

去年九月發現 Mirai 殭屍網絡時,Akamai 是其首批目標之一,此後其平台不斷受到 Mirai 殭屍網絡的攻擊,但都持續成功抵禦。Akamai 研究指出,Mirai 極有可能像其他殭屍網絡一般,推動 DDoS 商品化。根據觀察,雖然該殭屍網絡有許多 C2 節點都對特定 IP 進行「針對性攻擊」,但有更多節點參與被視為「付費執行」 的攻擊。在這些狀況下觀察到的 Mirai C2 節點會對 IP 進行短暫的攻擊,隨後停止運作,接著重新出現攻擊其他目標。

報告中其他重要發現包括:

  • 在連續三季下滑後,DDoS 攻擊數量於第二季較上季增加 28%。
  • DDoS 攻擊者發動的攻勢比過去都還持久,一季以來平均攻擊同一目標 32 次。其中一間遊戲公司總共被攻擊了 558 次,平均每天約 6 次。
  • 全球經常性 DDoS 攻擊中所用到的獨特 IP 位址有 32% 來自於埃及,居各國首位;上一季的榜首是美國, 而當時埃及還在前五名之外。
  • 本季被用於發動 DDoS 攻擊的裝置有所減少。大規模 DDoS 攻擊中使用的 IP 位址減少了98%,數量從 595,000 下降到 11,000。
  • 網絡應用程式攻擊事件每季增加 5%,每年增加 28%。
  • 在本季的網絡應用程式攻擊中,有超過一半 (51%) 使用 SQLi 攻擊,超過上一季的 44%,單在第二季就引起 1.85 億次警報。
Tags : Akamai
Dennis Ma

The author Dennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。