有了Momentum僵尸網(wǎng)絡(luò)，一鍵發(fā)動DoS攻擊不是夢

最近，網(wǎng)絡(luò)安全公司趨勢科技（Trend Micro）發(fā)現(xiàn)了一系列針對linux設(shè)備的惡意軟件活動，而這些活動最終都被證實與一個名為“Momentum”僵尸網(wǎng)絡(luò)存在關(guān)聯(lián)。

進一步的分析表明，Momentum的感染目標是各種CPU架構(gòu)（如ARM、MIPS、Intel、Motorola 68020等）的Linux設(shè)備，主要目的是在受感染設(shè)備上打開后門，進而接受命令以發(fā)起DoS攻擊。

據(jù)不完全統(tǒng)計，經(jīng)Momentum傳播的后門木馬至少包括Mirai、Kaiten和 Bashlite的變種，而傳播過程則涉及到利用各種路由器和Web服務(wù)的漏洞來下載和執(zhí)行shell腳本。

Momentum的工作原理

在成功感染設(shè)備后，Momentum首先會嘗試通過修改“rc”文件來實現(xiàn)長久駐留，然后建立受感染設(shè)備與命令和控制（C2）服務(wù)器的聯(lián)系——連接到名為“#HellRoom”的IRC信道來注冊自身并接受命令。

IRC協(xié)議是受感染設(shè)備與C2服務(wù)器通信的主要方法，它使得攻擊者能夠通過將消息發(fā)送到IRC信道來控制受感染的設(shè)備。

圖1.建立受感染設(shè)備與C2服務(wù)器的聯(lián)系

圖2.命令和控制通信路徑

根據(jù)趨勢科技研究人員的說法，Momentum允許攻擊者使用36種不同的方法來發(fā)起DoS攻擊：

圖3.Momentum所能使用的各種DOS攻擊方法

從上圖可以看出，Momentum使用了大量已知的反射和放大方法來發(fā)起DOS攻擊，這些方法所針對的目標包括MEMCACHE、LDAP、DNS和Valve Source Engine等。

除DoS攻擊外，趨勢科技的研究人員發(fā)現(xiàn)Momentum還能夠執(zhí)行其他操作：在指定IP的端口上打開代理、更改客戶端的名稱，以及禁用或啟用來自客戶端的數(shù)據(jù)包等。

Momentum DoS攻擊

LDAP DDoS反射

在LDAP DDoS反射中，Momentum會用偽造的源IP地址來欺騙目標系統(tǒng)的LDAP服務(wù)器，從而引發(fā)到目標的大量響應(yīng)消息。

MEMCACHE攻擊

在MEMCACHE攻擊中，遠程攻擊者可以使用偽造源IP的方式構(gòu)造和發(fā)送惡意UDP請求，這會導(dǎo)致MEMCACHE服務(wù)器向目標發(fā)送大量響應(yīng)。

來自Shodan的數(shù)據(jù)現(xiàn)實，有超過42000臺存在漏洞的MEMCACHE服務(wù)器可能會受到此類攻擊的影響。

UDP-BYPASS攻擊

在UDP-BYPASS攻擊中，Momentum會通過在特定端口構(gòu)造和上傳合法的UDP有效載荷來對目標主機發(fā)起洪泛攻擊，部分端口及有效載荷如下：

圖4.端口及有效載荷

Phatwonk攻擊

Phatwonk攻擊可以一次性執(zhí)行多種DoS方法，包括常見的丟棄異常的XMAS數(shù)據(jù)。

Fast flux

Momentum僵尸網(wǎng)絡(luò)能夠使用fast flux技術(shù)，以使其C2網(wǎng)絡(luò)更具彈性。Fast flux網(wǎng)絡(luò)意味著一個域名擁有多個相關(guān)IP地址，攻擊者可以通過快速更改IP地址來繞過安全人員的追蹤。

后門

攻擊者可以發(fā)送命令（BASH、SHD或SH命令）到IRC信道，以供在受感染設(shè)備上的Momentum客戶端接收和執(zhí)行。

自我復(fù)制和傳播

Momentum會嘗試利用多種設(shè)備的漏洞來進行自我復(fù)制和傳播，這其中包括來自多家廠商的CCTV-DVR、ZyXEL路由器、華為路由器和D-Link路由器等。

由于有限的安全設(shè)置和保護選項，一些智能設(shè)備或聯(lián)網(wǎng)設(shè)備（特別是路由器）在網(wǎng)絡(luò)攻擊面前顯得不堪一擊。因此，我們有必要采取一些主動措施來保護我們的設(shè)備，尤其是我們的企業(yè)。