Akamai︰PBot 惡意軟件捲土重來

2017-08-29 Chris

Akamai發佈的《2017 年第二季互聯網現況－安全報告》中的新資料顯示，分散式阻斷服務 (DDoS) 及網絡應用程式攻擊又再次增加，原因主要是因為PBot DDoS 惡意軟件捲土重來，成為了 DDoS 攻擊的基礎，它同時也是 Akamai 於本季所見最強的攻擊。

在使用 PBot 的案例中，惡意攻擊者利用有數十年歷史的 PHP 程式碼，產生 Akamai 在第二季所觀察到的最大型DDoS 攻擊。攻擊者得以建立一個迷你 DDoS 殭屍網絡，藉此發起每秒 75 Gbps 的 DDoS 攻擊。值得注意的是，PBot 殭屍網絡是由相對少量的 400 個節點所構成，卻仍能創造驚人的攻擊流量。

Akamai 的企業威脅研究團隊 (Enterprise Threat Research Team) 在分析報告中亦討論到網域產生演算法 (DGA) 在惡意軟件指揮與控制 (C2) 基礎架構中的使用情況，將其包括在「死灰復燃的攻擊」清單之中。雖然 DGA 早在2008 年首次與 Conficker 蠕蟲一同出現，但時至今日，新式惡意軟件仍常將其用作通訊技術。團隊發現，受感染網絡產生的 DNS 查閱率是正常網絡的 15 倍之多，這可解釋為惡意軟件在受感染的網絡上存取隨機產生的網域所導致的結果。由於產生的網域絕大多數都沒有註冊，試圖全都存取就必然會產生許多雜訊。要辨識出惡意軟件活動，其中一項重要的方式便是分析受感染的網絡與正常網絡間的行為特徵差異。

去年九月發現 Mirai 殭屍網絡時，Akamai 是其首批目標之一，此後其平台不斷受到 Mirai 殭屍網絡的攻擊，但都持續成功抵禦。Akamai 研究人員運用獨到的洞悉能力研究 Mirai 殭屍網絡的不同面向，特別是在第二季針對其 C2 基礎架構進行研究。Akamai 研究指出，Mirai 極有可能像其他殭屍網絡一般，推動 DDoS 商品化。根據觀察，雖然該殭屍網絡有許多 C2 節點都對特定 IP 進行「針對性攻擊」，但有更多節點參與被視為「付費執行」的攻擊。在這些狀況下觀察到的 Mirai C2 節點會對 IP 進行短暫的攻擊，隨後停止運作，接著重新出現攻擊其他目標。

Akamai 高級安全顧問 Martin McKeay 表示：「攻擊者不斷針對企業安全防禦中的弱點，弱點越常見，攻擊就越有效，黑客也會投入更多精力和資源進行攻擊。在 WannaCry 和 Petya 攻擊所使用的 Mirai 殭屍網路事件中，SQLi 攻擊量不斷升高而 PBot亦重新出現，這充分顯示攻擊者不但會轉用新工具，也會重新利用經過去實例證明有效的舊工具。」