趨勢科技物聯網僵屍網路攻擊報告

趨勢科技研究人員發現,一個物聯網僵屍網路 自 2024 年底以來在全球範圍內發起大規模 DDoS 攻擊 。 該僵屍網路使用源自 Mirai 和 Bashlite 的惡意軟體,利用路由器和 IP 攝影機等易受攻擊的設備。 攻擊主要針對北美和歐洲,日本和國際目標的攻擊方式有所不同。報告詳細介紹了殭屍網路的感染過程、 命令結構以及減輕這些攻擊的對策,強調了保護物聯網設備的重要性。

僵屍網路攻擊 | 應用程式安全測試 | AST | 資訊安全

感染過程

在消息來源中討論的殭屍網路由源自 Mirai 和 Bashlite 的惡意軟體組成,透過利用遠端程式碼執行 (RCE) 漏洞或強度不足的初始密碼(weak initial password)來感染物聯網設備。

感染過程包括以下階段:

  • 惡意軟體利用RCE漏洞或強度不足的初始密碼滲透設備,然後在受感染的主機上執行下載Script。 該Script從分發伺服器下載並執行稱為載入器的第二階段可執行檔。
  • 可執行檔透過HTTP從分發伺服器下載可執行Payload,也就是實際的惡意程式。 可執行Payload被寫入記憶體映像並執行,以便在受感染的主機上不會留下任何可執行檔。此外,在存取的 HTTP 請求中設定了 User-Agent 標頭,阻止透過正常的 Web 存取下載可執行Payload。
  • 然後,可執行Payload連接到 C&C 伺服器並等待 DDoS 攻擊和其他目的的命令。 當收到命令時,它會根據命令的內容執行相應的操作。

物聯網僵屍網路感染命令結構

命令訊息是以兩個位元組的訊息長度開頭的文字訊息。 該命令的結構如下:

<Message Length 2 bytes>.<Text Message>

指令的文字訊息部分是一個字串,表示由空格分隔的指令和參數。 例如指令「syn xxx.xxx.xxx.xxx 0 0 60 1」表示對xxx表示的攻擊目標IP位址的隨機Port(0表示隨機)進行持續60秒的SYN Flood攻擊。

<

參考資料