老王ddos网页端有了Momentum僵尸网络,一键发动DoS攻击不是梦

  最近,网络安全公司趋势技术发现了一系列与名为“Momentum”的僵尸网络相关联的Linux设备的恶意软件活动。
进一步分析表明,Momentum的感染对象是各种CPU体系结构(如ARM、MIps、Intel、Motorola 68020等)中的Linux设备,其主要目的是在受感染的设备上打开后门并接收启动DoS攻击的命令。

通过Momentum传递的后门特洛伊木马至少包含Mirai、Kaiten和Bashlite的变体,传播过程涉及利用各种路由器和web服务的漏洞下载和执行shell脚本。
Momentum的工作原理
成功感染设备后,Momentum首先尝试修改“RC”文件使其持续很久,然后将感染的设备和命令以及控制(C2)服务器的连接——连接到名为“#HellRoom”的IRC通道,以注册自己并接收命令。
IRC协议是受感染的设备与C2服务器通信的主要方法,允许攻击者向IRC通道发送消息,以控制受感染的设备。

Momentum僵尸网络启动一键DoS攻击不是梦想
图1。设置受C2服务器感染的设备连接
Momentum僵尸网络启动一键DoS攻击不是梦想
图2。指挥和控制通信路径
据Trend technology research称,在Momentum中,攻击者可以使用36种不同的方法发起DoS攻击。
Momentum僵尸网络启动一键DoS攻击不是梦想
图3。Momentum提供的多种DOS攻击方法

如上图所示,Momentum使用许多已知目标(如MEMCACHE、LDAP、DNS和Valve Source Engine)的反射和放大方法来发起DOS攻击。
除了DoS攻击外,trend technology的研究人员还发现,Momentum可以在指定的IP端口上打开代理、重命名客户端以及在客户端上禁用或启用数据包等其他操作。
Momentum DoS攻击
LDAP DDoS反射
在LDAP DDoS反射中,Momentum使用伪造的源IP地址欺骗目标系统上的LDAP服务器,并导致对目标发出批量响应消息。
MEMCACHE攻击
在MEMCACHE攻击中,远程攻击者可以伪造源IP来配置和发送恶意UDP请求,从而导致MEMCACHE服务器向目标发送大量响应。
Shodan的数据现实,有漏洞的42000多台MEMCACHE服务器可能会受到这些攻击的影响。
UDP-BYPASS攻击
在UDP-BYPASS攻击中,Momentum通过在特定端口上配置和上载有效的UDP有效负载来启动对目标主机的洪水攻击,如下所示:
Momentum僵尸网络启动一键DoS攻击不是梦想

图4。端口和有效负载
Phatwonk攻击
Phatwonk攻击可以同时运行多种DoS方法,包括常见销毁异常的XMAS数据。
Momentum的其他功能
Fast flux
Momentum僵尸网络使用fast flux技术使C2网络更加灵活。Fast flux网络意味着域名有多个相关的IP地址,攻击者可以快速更改IP地址,从而绕过安全人员的跟踪。
后门

攻击者可以向IRC通道发送命令(BASH、SHD或SH命令),以便在受感染的设备上接收和执行Momentum客户端。
自我复制和传播
Momentum尝试利用多供应商CCTV-DVR、ZyXEL路由器、Huawei路由器和D-Link路由器等多种设备的漏洞进行自我复制和传播。
结论
有限的安全设置和保护选项使某些智能设备或网络设备(尤其是路由器)在网络攻击面前显得脆弱。因此,需要采取一些预防措施来保护设备,尤其是我们的企业老王ddos网页端

相关推荐

发表评论

路人甲

网友评论(0)