摘要
自2024年底以来,我们持续监测到一个IoT僵尸网络通过Mirai和Bashlite变种恶意软件感染设备,针对日本及其他国家企业发起大规模分布式拒绝服务(DDoS)攻击。该僵尸网络利用漏洞和弱凭证入侵设备,通过多阶段感染流程连接C&C服务器获取攻击指令,攻击目标主要分布在北美和欧洲,涉及金融、交通等多个行业。
技术分析
初始感染
- 入侵方式:通过远程代码执行(RCE)漏洞或弱密码入侵IoT设备,下载并执行恶意加载器。
- 载荷传递:加载器通过HTTP下载恶意载荷至内存执行,避免本地留存文件,请求中设置特定User-Agent头以规避检测。
- C&C通信:恶意载荷连接C&C服务器,接收DDoS攻击等指令。
攻击指令
指令采用"<2字节消息长度>.<文本命令>“格式,支持多种攻击方式:
- 网络层攻击:SYN Flood、UDP Flood、GRE协议攻击等。
- 资源耗尽攻击:通过
socket、handshake等指令建立大量TCP连接。 - 代理功能:通过
socks命令将受控设备转为Socks代理节点。 - 自我更新:
update指令可更新恶意代码。
技术对抗手段
- 禁用看门狗定时器:防止设备因高负载重启。
- 滥用iptables:
- 阻断WAN侧TCP连接请求以排斥其他僵尸网络。
- 允许LAN侧管理访问以隐藏异常。
- 动态设置规则配合
udpfwd等指令实施攻击。
攻击目标分析
- 地理分布:美国(17%)、巴林(10%)、波兰(9%)为主要目标。
- 行业差异:日本以交通、金融业为主;国际目标中信息通信业占比34%。
- 攻击组合:常混合使用多种指令(如同时发起网络层和资源耗尽攻击)。
僵尸网络构成
- 设备类型:无线路由器(80%)、IP摄像头(15%)。
- 厂商分布:TP-Link(52%)、Zyxel(20%)路由器,海康威视(12%)摄像头。
- 地理位置:印度(57%)、南非(17%)设备占比最高。
防御建议
设备防护
- 立即修改默认凭证,定期更新固件。
- 禁用非必要远程访问功能,划分IoT专用网络。
- 检查路由器设置,关闭闲置端口。
DDoS缓解措施
- UDP Flood:协同ISP进行流量清洗,强化路由器处理能力。
- TCP类攻击:采用CDN分流,限制单IP请求速率,增强服务器资源。
趋势科技解决方案
Trend Vision One平台提供相关威胁情报(IOC扫描、狩猎查询等),支持客户检测环境中的Mirai变种活动。
结论
此类跨境僵尸网络攻击凸显IoT设备安全的重要性。通过基础防护措施可有效降低成为攻击跳板的风险。