全球DNS流量异常,家用智能设备肉鸡群攻击

前日起(12月10日)全球互联网范围DNS流量异常。云堤团队(DamDDoS)迅速参与分析处置。本次事件攻击自12月10日凌晨起至今仍在持续,为近年来持续时间最长的DNS DDoS攻击,目前已监测到的攻击最大流量近1亿Qps,(约合76.38Gbps)

经过攻击溯源的精细分析,云堤团队(DamDDoS)发现:本次攻击方式较为传统,是典型的DNS递归攻击,使用随机域名Flood对某游戏服务提供商的权威域名服务器进行攻击,疑似与minecraft有关,同时连带众多DNS递归服务器流量异常(包括Google、114及运营商的DNS)。但特别的是:攻击流量随时段波动很大,持续时间极长;发起源头十分特殊,不是普通的PC机和服务器,而是使用嵌入系统的小型智能设备,如家庭网关、摄像头等。

云堤团队(DamDDoS)经过昼夜奋战,于12月12日率先捕获了本次攻击的恶意样本并进行了分析。受控设备会建立起与黑客主控端61100端口(IP地址为:23.227.*.*)的连接并听任其调配:

设备感染后会在/var目录下生成随机文件名的恶意代码,并在运行后自删除,在内存中恢复该恶意代码执行文件,可获得可恶意代码样本:

云堤团队建议:家庭网关、路由器、智能摄像头等设备因普遍存在默认口令(例如admin/admin;support/support;root/root;root/12345等),很容易被恶意攻击者安装木马程序变成肉鸡。且这些设备通常购买配置后就较少变动,导致木马会长期存在,建议用户对自家设备做好安全加固,避免不必要的损失。