Akamai 警告小心 Linux 平台上 IptabLes、IptabLex 感染及 DDoS 攻擊

作者 | 發布日期 2014 年 09 月 05 日 17:33 | 分類 市場動態 line share follow us in feedly line share
Akamai 警告小心 Linux 平台上 IptabLes、IptabLex 感染及 DDoS 攻擊


協助傳送、最佳化及保護網上內容和業務應用的全球領先雲端服務供應商 Akamai Technologies, Inc.  今日宣布透過旗下 Prolexic 的安全工程及反應團隊(Prolexic Security Engineering & Response Team, PLXsert)發表全新網路安全威脅建議書。該建議書警告企業有關 Linux 系統感染 IptabLes 及 IptabLex 的高風險威脅。惡意攻擊者可以透過受感染的 Linux 系統,對娛樂產業及其他特定產業發動分散式阻斷服務(DDoS)攻擊。

Akamai Technologies 安全部門資深副總裁兼總經理 Stuart Scholly 表示:「在 Linux 系統內受 IptabLes 及 IptabLex 感染的惡意軟體中,我們追查到 2014 年最大型 DDoS 攻擊行動的其中一個。這可說是網路安全發展的重大變化,因為以往 Linux 系統通常不會用於 DDoS 殭屍網路中。惡意攻擊者可從沒有修補的 Linux 軟體中的已知漏洞發動 DDoS 攻擊。Linux 管理員需要瞭解這些威脅,並作出應對措施,才能保護其伺服器。」

DDoS 殭屍網路對 Linux 系統造成的威脅

透過 Apache Struts、Tomcat 及 Elasticsearch 的漏洞,IptabLes 及 IptabLex 得以大規模地在 Linux 伺服器廣泛散播。攻擊者利用 Linux 未被修復的伺服器漏洞取得存取、升級權限,並遠端操控機器,再在系統中加入並執行惡意編碼,最終讓系統能夠被遠端遙控,成為 DDoS 殭屍網路的一部份。

其中一個確認感染的指標是 /boot 目錄內名為 .IptabLes 或 .IptabLex 的有效負載(payload),這些程式在重新啟動時會執行二元檔案 .IptabLes。該惡意軟體還包含自我更新功能,受感染的系統會聯繫遠端主機下載檔案。在實驗中,受感染的系統曾嘗試聯繫兩個位於亞洲的 IP 位址。

亞洲顯然是 DDoS 攻擊主要來源之一

目前,IptabLes 及 IptabLex 的指令及控制中心位於亞洲。受感染的系統最初是由亞洲開始,但愈來愈多近期的感染是來自美國及其他地區的伺服器。在過去大部分 DDoS 殭屍病毒感染都源自俄羅斯,可是現時亞洲成為 DDoS 發展的重要源頭。

預防、偵測和 DDoS 緩解

在 Linux 系統上偵測和預防 IptabLes 或 IptabLex 感染,包含修補和強化 Linux 伺服器和防毒偵測。在威脅建議書中,PLXsert 提供 bash 指令來清除受感染的系統。

DDoS 限速緩解技術能夠針對控制發動殭屍病毒的 DDoS 攻擊者。此外,PLXsert 在威脅建議書中亦分享 YARA 規則,幫助分辨其所觀察的攻擊行動中所使用超低頻(ELF)IptabLes 的有效負載。

IptabLes 和 IptabLex 殭屍網路能對某些已請求 DDoS 專家保護的目標公司發動顯著的 DDoS 攻擊行動。Akamai 提供 DDoS 緩解方案,阻止從 IptabLes 和 IptabLex 殭屍病毒發動的 DDoS 攻擊。

PLXsert 預期 DDoS 殭屍網路將會進一步受感染和擴張。

在威脅建議書中,PLXsert 分享有關 IptabLes 和 IptabLex 感染的分析和詳細資料,包括:

  • 感染指標
  • 與 IptabLes 和 IptabLex 感染有關的二元(超低頻, ELF)分析
  • 有效負載的初始化、鞏固和持久
  • 網路代碼分析
  • DDoS 攻擊行動的個案研究
  • 如何強化 Linux 伺服器抵禦此威脅
  • 防毒偵測速率
  • Bash 指令以清除受感染的系統
  • YARA 規則以分辨超低頻(ELF)IptabLes 的有效負載
  • DDoS 緩解技術

建議書可從Prolexic(現為 Akamai 旗下公司之一)免費下載