本文講的是神秘全球殭屍網路劫持家用路由器提供ddos租用服務,乙個不為人知的由家用路由器組成的全球性殭屍網路被黑客組織利用,實施ddos和中間人攻擊。
披露此事的安全公司incapsula(最近被imperva收購),最初是在2023年12月發現自己的一些客戶被這個殭屍網路攻擊。攻擊網路大約涉及4萬多個ip,1600個運營商,至少60臺命令控**務器。
幾乎所有被控制的路由器似乎都為美國廠商ubiquiti生產的一種使用arm晶元的路由器,並在全世界銷售。incapsula檢測到來自109個國家的攻擊流量,尤其是泰國和路由器被入侵的重災區,巴西。
被入侵的路由器似乎一開始都與兩個漏洞有關。乙個是裝置的預設使用者名稱和密碼,另乙個是路由器允許通過預設埠遠端訪問http和ssh服務。一旦進入路由器,攻擊者便會安裝一些惡意軟體,如spike(也稱布萊克先生),用來配置發動ddos攻擊。在1.3萬個樣本中還發現了其他的ddos工具,如dorfloo和mayday。
這個路由器殭屍網路的命令控**務器(c2)也分布在不同的國家,73%的c2位於中國,21%位於美國,但控制操縱者居住在哪個國家還是未知。
該種型號的路由器生產商ubiquiti認為,問題出在網際網路服務運營商的身上,是他們不安全的分發了裝置(比如沒有強調在首次使用時需更改預設密碼),因為攻擊者並沒有利用路由器本身的漏洞。
更有趣的問題在於到底是誰在使用這個殭屍網路,incapsula認為,雖然攻擊手法與惡名昭著的黑客組織蜥蜴小隊提供的ddos出租服務蜥蜴壓迫者(lizard stresser)有著很大的相似之處,但並不是蜥蜴小隊。奇怪的是,殭屍網路的活動會在與蜥蜴小隊有關的事件中爆發。
近三年來,攻擊家用路由器的活動激增。惡意黑客可通過入侵家用路由器實現dns轉向、ddos攻擊和竊聽等目的。通常攻擊者會利用路由器韌體本身的漏洞,但使用預設口令顯然是最容易的入侵方法。
安恆杯 被劫持的神秘禮物
某天小明收到了一件很特別的禮物,有奇怪的字尾,奇怪的名字和格式。小明找到了知心姐姐度娘,度娘好像知道這是啥,但是度娘也不知道裡面是啥。你幫幫小明?找到帳號密碼,串在一起,用32位小寫md5雜湊一下得到的就是答案。解壓後用wireshark開啟檔案之後,搜素http資料報 發現post提交的資料,右鍵...
構建SSH殭屍網路
每個單獨的殭屍或client都能連線上某台肉雞 以下實現了三颱主機登入一台肉雞 這三颱主機分別例項化三個不同的client物件 並加到陣列中 然後通過函式botnetcommand讀取使用者輸入的命令 並通過陣列的client物件呼叫send command函式 三颱主機並且每一台主機傳送2條命令 ...
Wireshark 網路被劫持
開啟某個目標 時,有時候會載入出其他的 思路 1.通過抓包,發現有些包亂序了,為什麼會亂序呢?因為劫持的包搶先到達,導致亂序。2.被劫持的原理是 正常情況下,使用者發出的http請求,經過層層路由才能到達真實的web伺服器,然後真實的http響應又經過層層路由才能回到使用者端。如果是非正常情況,運營...