內容遞送網路(CDN)服務廠商Akamai發表該公司安全情報反應團隊製作的全新網路安全威脅建議書,指出XOR DDoS是一種用來綁架Linux系統的木馬惡意程式;攻擊者所發展出的殭屍網路,已有能力使用XOR DDoS來發動超過150 Gbps的分散式阻斷服務(DDoS)攻擊。
XOR DDoS是一種會感染Linux系統的木馬惡意程式,由攻擊者在遠端指示受感染的Linux系統發動DDoS攻擊。首先,攻擊者會以暴力攻擊法取得Linux機器上Secure Shell服務的密碼,進而取得存取權限。攻擊者一旦登入系統,就會使用root權限執行Bash shell指令碼,開始下載並執行惡意程式的二進位檔案。
Akamai資訊安全事業單位資深副總裁兼總經理Stuart Scholly表示:「在過去一年中,XOR DDoS殭屍網路持續壯大,目前已有能力發動大型DDoS攻擊。XOR DDoS就是攻擊者轉移陣地的例子,他們利用被入侵的Linux系統建構殭屍網路,以便發動DDoS攻擊。這類攻擊方式發生的次數遠比過去頻繁,因為過去DDoS惡意程式主要以Windows機器為攻擊目標。」
根據Akamai安全情報反應團隊(Security Intelligence Response Team;SIRT)的研究結果顯示,由XOR DDoS殭屍網路發動的DDoS(Distributed Denial of Service;分散式阻斷服務)攻擊,其頻寬從極低的個位數Gbps到150 Gbps以上的超大規模攻擊皆有。最常見的攻擊目標是遊戲產業,接著是教育機構。殭屍網路每日攻擊的目標多達20個,其中90%位在亞洲。威脅建議書提及了Akamai曾經協助緩解由XOR DDoS殭屍網路發動的DDoS攻擊,在8月22至23日所發生的攻擊中,有一次攻擊的流量將近179 Gbps,另一次的流量則接近109 Gbps。有兩種攻擊類型值得留意:SYN和DNS洪水攻擊。建議書完整說明這項威脅的詳細資訊,包括緩解DDoS攻擊資料封包(payload)分析和移除惡意程式的資訊,該建議書可從http://www.stateoftheinternet.com/xorddos下載。
殭屍電腦的IP位址並不完全是假造的。觀察Akamai客戶所遭遇的DDoS攻擊後發現,其中混合了假造和非假造的攻擊流量。假造的IP位址之所以產生,是為了讓位址看起來與被感染的主機一樣,來自相同的/24或/16的位址空間。有一種IP假造技巧,只會更動IP位址的第三或第四個八位元組,以避免網際網路服務供應商(Internet Service Provider;ISP)在單播逆向路徑轉發(Unicast Reverse Path Forwarding;uRPF)保護網路上攔截假造流量。
針對XOR DDoS攻擊的DDoS緩解,Akamai亦發現可識別攻擊的靜態特徵,包括TTL初始值、TCP視窗大小和TCP標頭選項,這類封包資料的特徵能幫助緩解DDoS攻擊,詳細說明亦涵蓋於威脅建議書。此外,建議書中也提供tcpdump過濾程式,可比對由這個殭屍網路產生的SYN洪水攻擊流量。
至於如何偵測和移除XOR DDoS惡意程式,目前有兩種方法可以偵測XOR DDoS的存在。要在網路中偵測這個殭屍網路,請利用建議書所提供的網路入侵檢測系統(Snort)規則,搜尋殭屍電腦及其C2之間的通訊。要偵測Linux主機是否被這惡意程式感染,可運用建議書的YARA規則,識別二進位檔中的相符字串。
XOR DDoS是很頑強的木馬惡意程式,它所執行的程序會重新安裝那些被刪除的惡意檔案,因此建議書也提供移除XOR DDoS所需的4個步驟,更詳細內容請見建議書:
1. 在兩個目錄中找出惡意檔案。
2. 找出讓主程序得以持續執行的程序。
3. 終止該惡意程序。
4. 刪除惡意檔案。
Akamai會繼續監視使用XOR DDoS發動DDoS攻擊的活動。要瞭解有關威脅、移除惡意程式和DDoS緩解技巧的資訊,請至www.stateoftheinternet.com/xorddos免費下載威脅建議書。