2017 年 6 月 13 日,美国计算机安全应急响应团队( US-CERT )发布一份名为 “ Hidden Cobra ( 隐身眼镜蛇 )” 的联合技术预警(TA17-164A),旨在声明朝鲜黑客组织 Lazarus 针对全球基础设施开展 DDoS 僵尸网络攻击活动。
该报告结合了美国国土安全部( DHS )与联邦调查局( FBI )联合调查的结果,其中还包括一份与恶意软件 DeltaCharlie 感染系统相关的 IP 地址列表。DeltaCharlie 最初被 Novetta 联盟发现并宣称是黑客组织 Lazarus 武器库的 DDoS 工具。此外,该报告还称 Lazarus 为 Hidden Cobra,并将该组织活动与朝鲜政府关联。
目前,尚不清楚该报告列出的 IP 地址到底是命令与控制基础设施的一部分,还是 DeltaCharlie 反射器/放大器设备,亦或二者兼有。为了解所列 IP 地址是否与 DDoS 攻击存有直接关系,研究人员将其与 Arbor ATLAS 基础设施所观察到的攻击信息相互关联。Arbor ATLAS 收集来自近 400 家全球分布式服务提供商的匿名 DDoS 攻击数据,旨在执行 Arbor 智能 DDoS 解决方案( IDMS )。以下数据来自 Arbor ATLAS 基础设施 01MAR17 与 13JUN17 之间监控的 DDoS 攻击数据:
值得注意的是,ATLAS 检测数据包括约 1/3 互联网流量,因此某些攻击活动可能无法在数据记录中体现。此外,与 ATLAS 共享的多数攻击数据采用匿名形式,以便隐藏信息源或目标 IP 地址。所以,使用 TA17-164A 提供 IP 地址主机实际占比可能高于 ATLAS 观察到的 3.8%。
众所周知,僵尸网络 DeltaCharlie 支持的 DDoS 攻击方法主要有 DNS 反射/放大、ntp 反射/放大攻击与 chargen 反射/放大攻击,即可以使用 Arbor TMS 与 Arbor APS 等智能 DDoS 缓解系统(IDMS)。此外,考虑到 DeltaCharlie 不支持 LDAP 反射/放大攻击,即不可使用 Arbor TMS 或 Arbor APS 等 IDMS 缓解操作。
令人困惑的是,如果该报告中的 IP 地址包括启动反射/放大攻击的机器设备,那么受害者将永远不会看到那些 IP 地址,其只会观察到被机器设备滥用的开放式反射器产生的攻击流量。这就增加了一种可能性,即 TA17-164A 仅列出了那些被 DeltaCharlie 滥用的 “ 无辜 ” 受害者,因为 DeltaCharlie 并不支持 LDAP 反射/放大。
TA17-164A 报告显示了近期受攻击活动影响的 24 个 IP 地址。虽然这些 IP 地址主要集中在俄罗斯伏尔加格勒,但 ATLAS 观察到其中被用来发动 DDoS 攻击的 IP 地址最大集中于沙特阿拉伯,其次是阿联酋。此外,美国、英国、澳大利亚、法国、新加坡等国也纷纷受到影响。下图描述了 DDoS 每日攻击数量,即 TA17-164A 警报中至少有一个 IP 地址被视为参与攻击的源地址:
鉴于 DDoS 攻击活动常与地缘政治活动有关,研究人员注意到 4 月 5 日攻击活动就发生在朝鲜向日本海发射导弹的第二天。但二者之间是否存在关联也仅限于猜测。目前,由于研究人员尚未确定 IP 地址来源,因此他们难以采取行动。倘若盲目对其安全系统进行操作,可能引发更多危害。
原作者:Kirk Soluk,译者:青楚 ,译审:游弋
from hackernews.cc.thanks for it.