免费DDoS攻击的新趋势:移动设备是新一代僵尸网络

  几个月前,Alibaba云安全团队观察了DDoS攻击的新趋势,使典型的日常移动应用程序成为DDoS攻击工具。据悉,现有的缓解战略对这些移动僵尸网络的攻击没有有效。
本文进一步分析了ariun防御DDoS服务智能保护引擎缓解DDoS攻击的特点。

跟踪分析表明,这种DDoS攻击是由于许多用户在手机上安装了假装为常规应用程序的恶意应用程序而引起的。这些恶意应用程序动态启动对目标站点的攻击在过去几个月中,通过使用这些DDoS攻击工具识别500,000多个移动设备,单次攻击的严重性与PC僵尸网络DDoS攻击相同。该模型表明黑客正在升级其技术,以在攻击过程中提供更高程度的损害。
这个移动僵尸网络DDoS攻击的特点是什么?
1.影响均匀分布的移动设备操作系统:大约40%的设备在IOS中运行,60%在Android中运行。
2.对多个移动设备的巨大攻击:在单个攻击中,每秒最大请求数(Qps)可达数百万,这是通过500,000多个移动设备启动的,并且很少对每个请求的每个源IP地址重复攻击实例。
3.地理上分散的攻击源IP地址:攻击源IP地址来自世界上160多个国家/地区的近40个不同的ISP。
DDoS攻击的新趋势:移动设备是下一代僵尸网络
部署攻击源IP地址

4.提供最大攻击源IP地址的蜂窝基站:攻击源IP地址的近一半来自大型蜂窝基站网关IP地址,这意味着同一个源IP地址同时携带攻击流量和大量最终用户流量。
5.不规则攻击调度
由于手机不断改变与网络的连接以及应用程序的启动和停止方式,我们观察到有很多攻击源IP地址。攻击源IP地址的一半以上未启动攻击。如果每个源IP地址的攻击持续时间不同,则单个攻击源IP地址的请求频率也不高。
DDoS攻击的新趋势:移动设备是下一代僵尸网络
攻击持续时间和IP地址及请求数
传统的减灾政策不再有效

在PC僵尸网络时代,速度限制和黑名单的结合是有效的缓解战略。但是,移动设备比PC更普遍,恶意应用程序伪装成普通应用程序,导致大量攻击。即使单个设备的请求频率较低,所有设备的聚合请求数也可能超过目标站点,从而使黑客能够轻松攻击目标站点,而不会触发速度限制策略。
大部分攻击源是大型蜂窝基站网关IP地址,并提出传统的防御策略,如黑名单无用的黑名单。因为如果将蜂窝基站列入黑名单,大多数普通用户将无法访问蜂窝服务。僵尸网络中的新移动设备在攻击过程中不断添加,因此黑名单机制可能不足以有效地阻止攻击。在新的攻击面前起作用的缓和政策现在无效。
黑客如何用恶意应用程序发起攻击
1.黑客将WebView嵌入到应用程序中,该应用程序在启动后请求集中控制链接。链接指向的页面包含并加载三个js文件,这些js文件在异步JAVAScript和XML(AJAX)模式下动态导入JSon指令。
2.不处理攻击时收到的JSON命令的内容如下:{“message”:“no data”,“code”:404 }。在这种情况下,JS文件在加载后进入连续循环,并定期重新读取JSON命令。
DDoS攻击的新趋势:移动设备是下一代僵尸网络
连续循环
3.黑客发出攻击类型JSON命令后,JS文件退出循环,解析JSON命令,然后将消息传递回WebView。JSON命令通过指定攻击所需的数据包内容(如目标URL)、请求方法和标头以及指定攻击频率、攻击开始条件和攻击结束时间等调度参数,使攻击更加复杂和灵活。
4.WebView通过UserAgent检索设备信息,以确定设备是使用iOS还是Android系统。对其他设备系统调用不同的函数,以便恶意应用程序触发Java代码加载,并允许设备按照JSON说明启动攻击。
DDoS攻击的新趋势:移动设备是下一代僵尸网络
通过上面使用的方法和技术,在黑市上安装这种欺诈应用程序的用户可以考虑作为傀儡,成功地向目标企业发起DDoS攻击。
这也显示了黑市产业。恶意应用程序的所有者通过多种渠道吸引用户安装和使用这些应用程序和欺诈性广告。所有者使用欺诈性应用程序获利,将受影响的用户设备用作僵尸网络,提供DDOS攻击服务,从而追求额外的收入。
黑客可以根据攻击流程图发出JSON指令,使移动设备能够以特定方式攻击特定目标,并将其用于任何特定目的。
除了恶意控制移动设备发起攻击外,欺诈性应用程序还可以移植恶意代码,个人发送收费短信,使用ISP的短信支付渠道窃取用户费用,以及访问用户地址簿、地理位置、身份证、银行帐户和其他重要信息。他们可能会因广告或电信欺诈而欺负用户,还会造成身份盗用等更大的损失。
用户如何应对这种DDoS攻击
在PC僵尸网络时代,企业反ddos战略相对没有效果

检测:请求频率
措施:速度限制和黑名单
防御逻辑:如果请求频率太高,则启动源速度限制或黑名单IP地址
如果缓解无效,则需要手动干预来捕获和分析数据包。然后根据特定攻击条件配置保护规则。但是,这种方法响应速度慢,对业务造成严重损害。
当大量移动设备成为新的攻击源时,攻击容易绕过先进的防御逻辑。企业不能再依赖速度限制和黑名单,必须采取更加智能的保护措施。
扩展攻击流量识别维,并通过多维检测实时分析每个请求。
将保护策略与多维标识相匹配,实现精细、灵活、丰富的访问控制单元,并有机地结合多个维度,以逐层过滤攻击流量。
用机器智能替换手动故障诊断,以加快响应速度并缩短业务中断时间。
黑客们只升级了他们的攻击来源,但企业担负着防御安全的负担,必须尽快竭尽全力。或者,企业可以购买ariyun安全防御DDoS产品,有效地防御容量DDoS攻击,应用DDoS攻击,实现专业智能的保护。
为了保护个人用户的设备安全性和数据隐私,alicloud security团队建议在授权通道上安装授权的应用程序,以避免使用户的手机成为DDoS攻击工具。安装应用程序时,请始终仔细查看您请求的权限。请小心,如果发现应用程序请求与其功能不匹配的高风险权限(如地址簿访问和短信发送),则可能会带来风险免费DDoS

相关推荐

发表评论

路人甲

网友评论(0)