Aqua Nautilus 研究人员发现了一个以 Matrix 为名的威胁行为者领导的大规模分布式拒绝服务 (DDoS) 活动。通过蜜罐活动发现的这一行动展示了 DDoS 僵尸网络策略令人担忧的演变,Matrix 利用可访问的工具和普遍存在的漏洞发动了大规模网络攻击。
Matrix 充分体现了即使只有极少技术专长的个人也能利用公开工具部署破坏性 DDoS 操作。正如 Aqua Nautilus 所强调的,“该活动展示了可获取的工具和基本技术知识如何使个人能够对众多漏洞实施广泛、多层面的攻击。”该活动主要针对物联网设备、路由器、电信设备和企业系统的漏洞,创建了一个能够对全球造成重大破坏的僵尸网络。
Matrix 采用了多种初始访问技术,包括:
- 路由器漏洞: 利用 CVE-2017-18368(命令注入)和 CVE-2021-20090 (Arcadyan 固件)等漏洞。
- 物联网和 DVR 漏洞利用: 利用 Hi3520 平台等设备的弱点。
- 企业目标: 利用 Apache Hadoop 的 YARN 和 HugeGraph 服务器中的漏洞渗透企业系统。
- 凭证滥用: 使用常见的默认凭据(如 admin:admin)进行暴力攻击。
然后将这些设备同化到僵尸网络中,显著扩大 DDoS 攻击的规模和威力。
Matrix 的运作得益于其复杂的工具库,尽管这些工具库被大量借用:
- Mirai 变种: 针对物联网设备实施大规模 DDoS 攻击。
- PyBot 和 DiscordGo: 基于 Python 的框架,用于僵尸网络管理和协调。
- 基于 Telegram 的销售: 一个名为 Kraken Autobuy 的 Telegram 僵尸程序促进自动 DDoS 服务销售,提供针对第 4 层(传输层)和第 7 层(应用层)的攻击计划。
Aqua Nautilus 的研究人员注意到,尽管活动范围很广,但所使用的工具基本上都是开源的。研究人员说:“真正的技能在于有效整合和操作这些工具的能力,”他们强调了脚本小子利用强大资源所造成的日益严重的威胁。
其中一种 DDoS 工具的 ASCI 图像 | 图片: Aqua Nautilus
该活动主要集中在中国和日本等物联网丰富的地区,尽管其影响遍及全球。有趣的是,尽管疑似来自俄罗斯,但该活动并不以俄罗斯或乌克兰资产为目标,这表明金融动机大于政治议程。僵尸网络的潜在范围惊人;一项分析显示,有近 3500 万台联网设备可能成为攻击目标,如果只有一小部分被利用,僵尸网络的规模估计可达 170 万台设备。
这些攻击的后果不仅仅是直接的 DDoS 受害者。Aqua Nautilus 指出:”如果受影响的服务器是云供应商基础设施的一部分,它们可能会被服务提供商停用,从而导致受害者的业务中断。
Matrix DDoS 活动代表了网络威胁领域令人担忧的变化。通过利用基本漏洞和公开工具,Matrix 展示了大规模网络攻击的可及性在不断提高。随着威胁行为者不断创新并扩大其影响范围,企业和个人必须保持警惕,采取积极措施保护自己的系统不受损害。