攻击源“几乎完全由 Mikrotik 设备组成”

一种新的僵尸网络恶意软件正在互联网上传播——根据新的研究,它可能已经感染了 200,000 台设备。

DDoS 缓解公司 Qrator Labs 的研究显示,这个名为 Meris 的僵尸网络让人想起 2016 年造成严重破坏的物联网僵尸网络 Mirai,尽管它也具有独特的特征。

最近几天,Meris用俄罗斯科技巨头描述的历史上最大的分布式拒绝服务 (DDoS) 攻击攻击了安全出版物KrebsOnSecurity和Yandex。

Mikro 靶向

Meris 目前的目标是由拉脱维亚网络路由器制造商 MikroTik 制造的设备。

Qrator Labs 在一篇详细介绍僵尸网络的博客文章中写道:“我们并不确切知道是什么特定漏洞导致了 MikroTik 设备受到如此大规模入侵的情况。”

尽管研究人员表示,这可能是由于“在大规模活动开始之前被保密或在黑市上出售的一些漏洞”。

Qrator Labs 的首席执行官 Alexander Lyamin 告诉The Daily Swig:“我们在这里看到了一个非常强大的攻击力量——成千上万的主机设备——正在增长。


“另外,Qrator Labs通过多次攻击看到了实际数量的30,000台主机设备,Yandex收集了大约56,000台攻击主机的数据。”

“但是,我们认为这个数字会更高——可能超过 200,000 台设备,因为轮换和缺乏立即显示'全力'攻击的意愿,”Lyamin 补充道。

MikroTik 在周五发布的一份声明中表示,这些设备很可能因 2018 年修补的漏洞而受到损害。

“不幸的是,关闭漏洞并不能立即保护这些路由器,”MikroTik 说。“如果有人在 2018 年拿到了你的密码,那么升级也无济于事。您还必须更改密码,如果防火墙不允许远程访问未知方,请重新检查防火墙,并查找不是您创建的脚本。”

压倒性的容量

据 Qrator Labs 称,Meris 对新西兰、美国和俄罗斯的目标进行了毁灭性攻击。研究人员警告说,由于其每秒处理非常大的请求 (RPS) 的能力,Meris 几乎可以压倒任何基础设施,包括高度稳健的网络。

Qrator Labs 表示,针对 Yandex 的 Meri 攻击达到了 2180 万 RPS 的峰值。

Cloudflare 最近报告了另一起大规模 DDoS 攻击,证实了 Qrator 的发现。

Cloudflare 产品总监 Patrick Donahue 告诉The Daily Swig:“我们可以确认,我们之前看到的 17.2M RPS 攻击的来源几乎完全由运行开放 SOCKS 代理的 MikroTik 设备组成,并利用了 HTTP 管道。”

Donahue 表示,与 Mirai 僵尸网络不同,新的僵尸网络由数量较少的受感染、高资源网络基础设施设备组成,用于代理源自云 VPS 实例的攻击流量。

“我们继续看到来自这个僵尸网络的日常攻击,”他说。

Donahue 警告说,代理攻击流量使攻击者更容易使用强大的云服务器生成大量 L7(应用层)攻击流量,并使找出攻击流量的来源变得更加困难。

HTTP 流水线

根据 Qrator 的说法,僵尸网络正在利用“HTTP 流水线”功能,该功能允许客户端将请求批量发送到 Web 服务器,而无需等待个人响应。

“HTTP 管道使这个僵尸网络能够在 RPS 中实现如此惊人的高数字,同时它使检测和缓解攻击变得更加容易,因为我们只知道一个 Web 浏览器使用此功能,”Lyamin 说。

但是,即使检测到并阻止了管道攻击,一整批 HTTP 请求仍将保留在目标服务器的管道中。Meris 的兴起提醒人们 DDoS 攻击的复杂性和不断演变。

“对于任何互联网业务来说,DDoS 都是一个真实的、实际的、不断变化的风险,”Lyamin 说。

“制定缓解计划。经常更新。如果您已经为上一代基于带宽的攻击做好了准备,这并不意味着您已经为应用层做好了准备,Meris 的所有受害者都证明了这一点。”