45期报告汇总
安天发布《ELF格式恶意代码伪装GET请求发动CC攻击》分析报告
近日,安天追影小组在持续追踪网络犯罪的过程中,发现了一款将CC攻击数据包中的User-Agent伪装成Windows系统的ELF格式恶意代码的样本。
ELF格式是Linux下的可执行文件格式,User-Agent则是HTTP协议的一部分,包括浏览器类型、操作系统及版本等信息,Web服务器可以通过该字段获取客户端的信息。
CC攻击是DDoS攻击的一种,基于HTTP层面,主要用来攻击页面。在CC攻击中,攻击者通常会模拟具有大量用户访问目标的Web服务器的某个页面,消耗大量的服务器资源,使得服务器没有办法响应正常用户的访问。CC攻击分为两类,代理CC攻击与肉鸡CC攻击。代理CC攻击是指黑客借助代理服务器生成指向目标服务器的合法网页请求,而肉鸡CC攻击是指黑客控制大量肉鸡发起大量对目标服务器的合法网页请求。相比之下,肉鸡CC攻击更难防御,因为肉鸡可以模拟成正常用户访问网站的请求。
追影小组所捕获的样本就选则了肉鸡CC攻击,研究人员通过分析发现,该样本发动CC攻击时,会将其攻击数据包中的User-Agent伪造成来自Windows系统的IE浏览器,假装成正常的请求,使得CC攻击数据包难以被检测,同时,这样还会影响一些安全设备对肉鸡操作系统的误判,使得基于UA规则的特征查杀失效,达到隐藏发动攻击的肉鸡系统信息的效果。
近年来,DDoS攻击的平台逐渐由Windows转向Linux。这是因为网络上的Linux服务器性能比家用电脑更优,安全关注程度又较低,比较容易入侵,攻击者更乐于将其作为发动DDoS攻击的肉鸡。安天追影小组提醒广大Linux服务器管理员要时刻关注服务器的安全防护,及时修复漏洞,定期检测是否存在异常的网络数据。