随着攻击速度逐渐放缓,俄罗斯互联网巨头Yandex遭受分布式拒绝服务(DDoS)攻击的技术细节浮出水面。据信,一个名为Meris的大型僵尸网络负责在大约同一时间向Yandex发出数百万个HTTP网页请求。这种DDoS技术称为HTTP管道连接,即浏览器请求连接服务器后,不等待服务器响应,再次发送多次请求。据介绍,这些请求主要来自MikroTik的网络设备。研究人员表示,攻击者主要利用超过56,000台MikroTik主机中未修补的漏洞发起DDoS攻击。据统计,Meris僵尸网络对Yandex发起了自研究人员发现以来最大的攻击流量,峰值达到每秒2180万个请求(RPS)。相比之下,据统计,有史以来最大的DDoS攻击发生在8月19日,达到1720万RPS。最近的Meris攻击的研究人员将Meris与之前发生在8月19日的DDoS攻击进行了比较。对Yandex的攻击发生在8月29日至9月5日之间,当时有2180万个RPS被攻击。两者都被认为是Meris僵尸网络背后的威胁行为者发动大规模攻击的先兆,而且他们还没有释放出所有的火力。Yandex的安全团队成员也分析了僵尸网络的攻击方式。根据我们对僵尸网络内部结构的分析,发现其主要手段是利用L2TP[Layer2TunnelingProtocol]隧道在网络通信中进行攻击。现在受感染的设备数量为250,000。L2TP是一种用于管理虚拟专用网络和提供Internet服务的协议。隧道促进了两个专用网络之间通过公共Internet的数据传输。Yandex和Qrato对这次攻击展开了调查,并一致认为Meris非常复杂。此外,所有这些[被攻击的MikroTik主机]都是网络密集型设备,而不是您日常使用的Wi-Fi路由器。我们这里说的是僵尸网络,主要由通过以太网连接的物理网络设备组成。技术方面的早期警告被忽略,包括被攻击者利用的2018年漏洞,追踪为CVE-2018-14847。在他们的披露中,研究人员警告说,我们需要非常认真地对待这个漏洞,因为一种新发现的黑客技术允许在MikroTik边缘和消费者路由器上远程执行代码。据研究人员称,我们现在已经发现攻击者如何使用它在系统上获得rootshell。它首先使用CVE-2018-14847管理证书,然后通过认证代码路径安装后门。虽然MikroTik当年修补了CVE-2018-14847漏洞,但只有约30%的包含该漏洞的调制解调器被修补,该漏洞导致约20万台路由器易受攻击。MikroTik的RouterOS主要为其商用级RouterBOARD品牌和供应商的ISP/运营商级设备提供技术支持。Qrato最近对DDoS攻击的分析表明,被攻击主机打开了端口2000(带宽测试服务器)和端口5678(Mikrotik邻居发现协议)。研究人员报告说,互联网上有328,723台活动主机响应了端口5678上的TCP探测。减轻攻击的影响虽然修补MikroTik设备是减轻未来Meris攻击的理想选择,但研究人员还建议将它们列入黑名单。由于那些Meris攻击没有使用欺骗攻击技术,每个攻击受害者都可以追踪攻击的来源。我们可以在不干扰其最终用户使用的情况下对其进行防御。目前尚不清楚Meris僵尸网络背后的攻击者未来将如何运作。他们可能会从受感染的设备上获取100%的网络处理能力,包括带宽和处理器。在这种情况下,除了在第一个请求之后阻止每个后续请求之外别无他法,以防止它回答请求设备。本文翻译自:https://threatpost.com/yandex-meris-botnet/169368/如有转载请注明出处。
