一种名为Spike的新型恶意软件工具包不仅可以感染传统的台式机,还可以感染路由器、智能恒温器、智能烘干机和许多其他物联网设备,将它们推入大规模僵尸网络。
据Akamai的Prolexic安全工程与响应团队(PLXsert)称,Spike僵尸网络已经实施了多种形式的DDoS攻击,包括SYN、UDP、DNS查询和GET flood攻击。
+关于网络世界:有个足球雷竞技app网络犯罪投诉中心警告说,骗局利用IC3电子邮件欺骗受害者|克利夫兰印第安人在恶意软件和僵尸网络战|中求助于SIEM大多数网站都是“一天奇迹”——这是令人担忧的+
Akamai团队已经在亚洲和美国看到了Spike DDoS攻击报告一次此类攻击的峰值达到每秒215Gbps和每秒1.5亿个数据包。Akamai的PLXsert团队的负责人David Fernandez说,Akamai已经验证了由该套件创建的一个僵尸网络组成的1.2万到1.5万台设备。
Akamai说,企业安全专家需要加固他们可能没有想到会有风险的设备,同时也需要采用传统的DDoS保护。
PLXsert和俄罗斯反病毒公司Dr. Web说,他们已经看到恶意的Spike有效载荷被移植到Linux、Windows桌面和服务器,以及基于arm的Linux设备,特别是由isp安装的客户路由器。但是ARM恶意软件可以被用来感染其他设备,比如智能设备,费尔南德斯说。
Spike DDoS工具包的命令和控制界面截图。
该公司表示,这些设备上的Telltale二进制代码是它们被感染的迹象。Spike代码由一个二进制代码组成,而Web博士发现的感染则包括几个二进制代码和脚本。套件接口是用普通话编写的。费尔南德斯说,到目前为止,它还没有出现在地下市场。
二进制文件上的时间戳表明它们大约是六个月前写的。该工具包的名字来自代码中的单词“spike”,他说。
费尔南德斯表示,他的团队正在研究一种感染物联网设备的概念攻击证明,但尚未成功。Akamai的顾问说:“Spike工具包生成基于arm的有效载荷的能力表明,这些工具的作者正在瞄准路由器和物联网设备等设备,以扩展他们的僵尸网络,以适应僵尸网络传播的后pc时代。”
Akamai说DDoS攻击可以通过访问控制列表来减轻。它编写了一个SNORT签名,可以减轻通过工具包生成的应用层GET flood攻击。Akamai的建议列出了一些站点,用户可以在这些站点上找到加固各种操作系统Spike攻击的方法。