【臺灣資安大會直擊】1.7Tb流量的DDoS攻擊來襲,IoT僵屍網路威脅不可輕忽
關於分散式阻斷服務(DDoS)攻擊,並非是新的網路攻擊手法,但隨著IoT殭屍大軍的出現,讓它更具威脅,每個人都可能是幫兇,也可能是受害者(圖片來源/iThome)。
最近,2018年3月初,GitHub遭遇1.35Tbps的DDoS攻擊,相隔幾天,一家美國服務供應商又遭到1.7 Tbps的DDoS攻擊,再次刷新紀錄。這波攻擊,都是濫用Memcached伺服器的漏洞,採用反射和放大流量的攻擊手法,顯然,DDoS攻擊規模不僅越來越大,而且TB級攻擊也越來越多見。
而在月中舉行的2018臺灣資安大會上,網路安全監控公司Arbor Networks亞太區技術總監張泰興,剛好也報告了最新IoT殭屍網路與DDoS攻擊的發展態勢,讓我們看到更多正在醞釀的威脅。
物聯網僵屍網路新用途,當成代理伺服器或用於挖礦
提到IoT殭屍網路,近年最早的大規模案例,就是2016年的Mirai殭屍網路。該惡意程式專門感染無線攝影機、路由器與監視器等非傳統運算裝置,利用已知或未公開的安全漏洞,入侵並控制這些裝置,操控了數十萬臺的IoT裝置,執行DDoS攻擊。其中一次攻擊最受關注,因為是鎖定DNS服務供應商Dyn,導致Twitter、Amazon等使用該公司服務的公司遭波及。
張泰興表示,雖然2017年大規模IoT Botnet攻擊較少,但他們已經觀察到不少值得注意的現象。
簡單來說,不僅是新型殭屍網路越來越多,感染裝置的數量、類型持續增加,而且挾持的裝置不僅用來DDoS攻擊,也能用於當作代理伺服器(Proxy Server),甚至是挖礦。
他舉例,2017年的Mirai變種Reaper殭屍網路,已感染100萬個物聯網裝置,綁架數量比Mirai更多,儘管到現在還沒有發動攻擊,但已經是個警訊;另一個WireX殭屍網路,則是藉由感染Android裝置以發動DDoS攻擊,儘管隨後Google也與網路業者聯手打擊防範,但這也突顯出殭屍網路入侵手機平臺,不能等閒視之。
到了2018年,出現了名為JenX的新型殭屍網路,同樣是感染物聯網設備,並以提供服務供駭客租用為主,聲稱可發動300Gbps的攻擊流量。另外,最新的例子還包括HNS(Hide 'n Seek),感染裝置數還不算多,目前只有3.3萬臺。
值得注意的是,駭客挾持這些IoT裝置,不只可以用來發動DDoS攻擊,現在IoT殭屍網路也出現新的使用方式。張泰興指出,例如新型Mirai變種OMG,能在感染物聯網與網路設備後,將裝置變成代理伺服器,以轉發惡意流量,同時也可將服務轉租給駭客,以便隱藏上網IP位址;而另一款惡意程式Satori殭屍網路,則是能被用於挖礦。
隨著IoT裝置的高速成長,張泰興認為,IoT殭屍網路將是駭客優先利用的攻擊平臺。像是根據市調機構IHS對於IoT裝置的預測,在2017年全球將有270億臺IoT裝置,而到2030年時,預估會有1,250億臺,若有一定比例被植入惡意程式而成為殭屍電腦,將嚴重造成威脅。因此,網站公司、企業必須要意識到,DDoS攻擊的規模只會越來越大。
DDoS攻擊手法複雜化,多型態混合讓企業更不易防禦
從DDoS攻擊的現況來看,張泰興提到,早期手法是攻擊網路協定的網路層(L3)、傳輸層(L4),近年更著重於攻擊應用層(L7),像是在他們的統計數據中,2017年的攻擊比例,比上一年度增加3成。
多型態的DDoS攻擊手法,也值得企業多加留意。像是他們發現的案例中,駭客第一段攻擊前10分鐘是用UDP協定發動洪水攻擊,接著是HTTP,然後又換成ICMP,從單一攻擊到混合攻擊,其實也意味著,攻擊手段變得更複雜,而不僅是攻擊流量規模變大。相對而言,企業防禦也就更不容易,因為要面對不同協議、不同資源的攻擊,來分析、反應與處理。
《原文請見iThome(https://www.ithome.com.tw/news/121885)》