2025 年 3 月初,安全团队首次观察到前所未有的 L7 DDoS 僵尸网络,该僵尸网络针对多个行业的 Web 应用程序。
该僵尸网络从最初的 133 万台受感染设备迅速扩张,利用 HTTP GET 洪水攻击耗尽服务器资源并规避传统的速率限制。
到 5 月中旬,随着僵尸网络节点数量增长到 460 万个,威胁进一步升级,利用受感染的物联网设备和安全性较差的端点来扩大其攻击面。
截至 9 月份,这个庞大的网络已调动了 576 万个 IP 地址对政府组织进行协同攻击,每秒产生数千万个请求。
Qrator Labs 分析师注意到地理分布发生了显著变化,巴西、越南和美国成为恶意流量的主要来源。
攻击分两波展开:第一波攻击涉及约 280 万台设备,一小时后又涉及另外 300 万个节点。
第二波攻击中的 HTTP 标头揭示了随机的用户代理字符串,旨在逃避简单的流量过滤。
Qrator Labs 的研究人员发现了僵尸网络控制机制中促进其快速扩展的关键调整。
该恶意软件通过加密通道与分散的命令和控制 (C2) 基础设施进行通信,攻击者经常轮换该基础设施以避免被列入黑名单。
基于签名的缓解措施难以跟上步伐,因为每个 C2 端点在轮换之前仅活跃了几个小时。
感染机制和持久性
核心感染媒介依赖于对常见物联网固件中默认凭证和未修补漏洞的暴力破解。
一旦进入设备,恶意软件就会部署一个轻量级的 rootkit,该 rootkit 会挂接到网络接口并拦截固件更新例程。
Qrator Labs 提取的代码片段说明了持久性策略:
// Intercept firmware update calls
int hook_update(char *path) {
if (!strcmp(path, "/usr/bin/fw_update")) {
launch_payload();
return 0;
}
return orig_update(path);
}这种方法可确保恶意模块在每次系统重启后重新加载,从而使简单的基于重启的补救措施无效。
隐秘的rootkit还会抑制可疑进程列表,进一步增加检测和删除的复杂性。
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
