資安業者發現大量SOHO路由器變殭屍,淪為DDoS攻擊大軍

資安業者發現大量SOHO路由器變殭屍,淪為DDoS攻擊大軍

資安業者Incapsula指出,可能有數十萬甚至上百萬台的SOHO族專用路由器已成為殭屍路由器,被駭客用來執行大規模的DDoS攻擊。在為期111天的調查中,Incapsula就找到超過4萬個不重覆攻擊IP

資安業者Incapsula指出,可能有數十萬甚至上百萬台的SOHO(Small Office / Home Office)族專用路由器已成為殭屍路由器,被駭客用來執行大規模的分散式阻斷服務(DDoS)攻擊,而且操控這些殭屍路由器的駭客集團還不只一家。

Incapsula自去年12月開始協助客戶處理各種DDoS攻擊事件,並維護旗下60個網域的安全。不料駭客的攻擊規模在最近一個月大幅擴增,用來攻擊的IP數量增加了一倍,這事引發了Incapsula的好奇,展開進一步調查之後才發現這波攻擊行動鎖定了數百個網域,Incapsula只是其中一個受害者,而且攻擊目標從應用層升級到網路層。

此外,此一遭受駭客操縱、用來發動DDoS攻擊的殭屍網路是由大量的SOHO路由器所組成,特別是基於ARM架構的Ubiquiti裝置。

Incapsula原本以為是Ubiquiti裝置上的韌體漏洞所造成,之後則發現Ubiquiti裝置允許任何遠端使用者藉由HTTP與SSH存取,而且絕大多數都採用預設的帳號與密碼。在門戶大開的情況下,所有被駭的路由器都被植入了MrBlack惡意程式的各式變種,每台路由器平均含有4個MrBlack變種,以及其他的惡意程式檔案。這些惡意程式主要為DDoS工具,也有少數是屬後門程式。

在為期111天的調查中,Incapsula找到超過4萬個不重覆攻擊IP,其中有64%位於泰國,21%位於巴西,並牽涉到全球109個國家與1600家的ISP業者,而且這些攻擊IP連結了60個命令與控制(C&C)系統。

《詳細內文請見iThome電腦報(www.ithome.com.tw)》