Lizardstresser IoT Botnet推出400Gbps DDOS攻击

研究人员表示，刘座博特网络推出了对巴西的银行，电信和政府机构的攻击（DDOS）攻击，以及三家大型美国博彩公司。

通过使用默认密码定位物联网（物联网）设备（IOT）设备，僵尸网络已经足够大，以在没有任何形式的放大形式的情况下发射400千兆位（Gbps）攻击。

攻击者只使用了他们感染了LizardStresser恶意软件的物联网设备可用的累积带宽。

恶意软件是由Lizard Squad DDOS组创建的，该组在2015年初发布了源代码，使其他有抱负的DDOS攻击者能够建立自己的僵尸网络。

LizardStresser活动在2016年的过程中增加，IoT设备开始成为常客的目标。

Arbor Networks的研究人员认为Lizardstresser是针对IoT设备的四个主要原因。

首先，IOT设备通常运行Linux操作系统的嵌入式或剥离版本，这意味着对目标架构可以轻松编译恶意软件，主要是ARM / MIPS / X86。

其次，IoT设备可能具有对Internet的总访问，而没有任何带宽限制或过滤。

第三，大多数IOT设备中的剥离操作系统和处理能力较少的安全功能，包括审核，并且大多数妥协都被业主忽略了。

最后，为了节省工程时间，IoT设备的制造商有时重复使用不同类别的设备中的硬件和软件部分。由于该软件重用，用于管理设备最初的默认密码可以在不同的设备上共享。

LizardStresser是一个用C编程语言编写的DDOS僵尸网络，其客户端旨在在Created Linux设备上运行，该设备连接到硬编码命令和控制（C＆C）服务器。

根据Arbor的Matthew Bing，该协议基本上是互联网中继聊天（IRC）协议的轻量级版本。

感染的客户端将连接到服务器并接收命令以使用各种攻击方法启动DDOS攻击，他在博客文章中写道。

客户端可以运行可用于下载更新版本的LizardStresser或完全不同的恶意软件的任意shell命令。

客户端还可以连接到随机IP地址，并尝试通过Telnet使用硬编码用户名和密码列表作为传播方法登录。将成功的登录报告回C＆C服务器以供以后同化进入僵尸网络。

Arbor一直在跟踪两个Lizardstresser C＆C服务器，其研究人员认为由同一组威胁演员经营。

“虽然他们似乎在彼此之间说英语，但他们的主要目标在巴西的兴趣以及全球游戏网站上表现出兴趣，”Bing说。

一个攻击与超过1,000个源IP地址相关联，并在超过400Gbps达到峰值。

研究人员表示，攻击很有趣，因为攻击数据包似乎没有欺骗，这意味着流量来自数据包中的源地址，而不放大依赖于用户数据报协议（UDP），例如网络时间协议（NTP）或简单的网络管理协议（SNMP）。

威胁演员似乎通过分钟迅速改变他们的策略分钟，说Bing，在UDP洪水和TCP洪水之间切换了各种标志。

“这可能是威胁演员调整他们的攻击以获得最大的影响。基于UDP的攻击部分进一步表征为源自UDP高端口到目的地端口UDP / 443，其包大小为约1,400字节，“他写道。

研究人员追溯到越南的大部分攻击来源，其次是巴西，但也有其他来源散落在全球各地。

响应的近90％的主机具有“NetSurveillance Web”的HTML标题，表示Bing，它似乎是各种Internet可访问的网络摄像头使用的通用代码。

他说，root用户的默认密码可在线获得，并且默认情况下启用Telnet。“我们相信威胁演员定制了Lizardstresser Brute-Force代码，以根据NetSurveillance代码使用此已发布但未使用的IoT设备的默认密码。”

lezardstresser的公开版本会随机生成IP地址，但Bing表示，此攻击者可能修改代码以更喜欢某些地理位置。他说，另一种可能性是越南和巴西是运行NetSurveillance的IoT设备的主要用户。

研究人员表示，Lizardstresser正在成为IoT设备最受欢迎的僵尸网络，因为它使威胁演员可以轻松调整Telnet扫描。

对于IOT设备的默认密码，攻击者可以将独家受害者群体进入其僵尸网络。

DDOS攻击越来越受到攻击者的欢迎，平均-InthensityDoosattacks现在强大的Enuardo敲击了大多数企业离线。

但DDOS攻击也是网络罪犯展示其攻击能力的一种方式，主要是由于延迟目的。

其他网络犯罪集团出售DDOS工具，使业务组织能够致力于竞争对手的在线服务。

越来越多的企业也看到DDOS攻击被用作分散注意力或烟幕，以安装恶意软件和已能进行数据。

在一起，这些趋势意味着几乎没有组织从DDOS攻击中是安全的。DDOS使攻击更容易通过各种动机进行一系列演员进行。