45期報告匯總
安天發(fā)布《ELF格式惡意代碼偽裝GET請求發(fā)動CC攻擊》分析報告
近日,安天追影小組在持續(xù)追蹤網(wǎng)絡(luò)犯罪的過程中,發(fā)現(xiàn)了一款將CC攻擊數(shù)據(jù)包中的User-Agent偽裝成Windows系統(tǒng)的ELF格式惡意代碼的樣本。
ELF格式是Linux下的可執(zhí)行文件格式,User-Agent則是HTTP協(xié)議的一部分,包括瀏覽器類型、操作系統(tǒng)及版本等信息,Web服務(wù)器可以通過該字段獲取客戶端的信息。
CC攻擊是DDoS攻擊的一種,基于HTTP層面,主要用來攻擊頁面。在CC攻擊中,攻擊者通常會模擬具有大量用戶訪問目標的Web服務(wù)器的某個頁面,消耗大量的服務(wù)器資源,使得服務(wù)器沒有辦法響應(yīng)正常用戶的訪問。CC攻擊分為兩類,代理CC攻擊與肉雞CC攻擊。代理CC攻擊是指黑客借助代理服務(wù)器生成指向目標服務(wù)器的合法網(wǎng)頁請求,而肉雞CC攻擊是指黑客控制大量肉雞發(fā)起大量對目標服務(wù)器的合法網(wǎng)頁請求。相比之下,肉雞CC攻擊更難防御,因為肉雞可以模擬成正常用戶訪問網(wǎng)站的請求。
追影小組所捕獲的樣本就選則了肉雞CC攻擊,研究人員通過分析發(fā)現(xiàn),該樣本發(fā)動CC攻擊時,會將其攻擊數(shù)據(jù)包中的User-Agent偽造成來自Windows系統(tǒng)的IE瀏覽器,假裝成正常的請求,使得CC攻擊數(shù)據(jù)包難以被檢測,同時,這樣還會影響一些安全設(shè)備對肉雞操作系統(tǒng)的誤判,使得基于UA規(guī)則的特征查殺失效,達到隱藏發(fā)動攻擊的肉雞系統(tǒng)信息的效果。
近年來,DDoS攻擊的平臺逐漸由Windows轉(zhuǎn)向Linux。這是因為網(wǎng)絡(luò)上的Linux服務(wù)器性能比家用電腦更優(yōu),安全關(guān)注程度又較低,比較容易入侵,攻擊者更樂于將其作為發(fā)動DDoS攻擊的肉雞。安天追影小組提醒廣大Linux服務(wù)器管理員要時刻關(guān)注服務(wù)器的安全防護,及時修復漏洞,定期檢測是否存在異常的網(wǎng)絡(luò)數(shù)據(jù)。