駭客綁架大量連網設備,通常用來發動DDoS攻擊,現在駭客從多個國家發動駭入這些設備的攻擊,引起資安業者的注意。
資安業者GreyNoise揭露從10月8日出現的殭屍網路攻擊行動,駭客的目標是位於美國的遠端桌面連線(RDP)服務,他們利用超過10萬個IP位址發動攻擊,這些來源網址來自巴西、阿根廷、伊朗、中國、墨西哥等超過100個國家及地區。攻擊型態主要有兩種,一種是透過遠端桌面的網頁存取服務當中,存在匿名身分驗證計時的弱點來進行;另一種為RDP網頁用戶端的登入列舉攻擊手法。
之所以發現這波攻擊行動,GreyNoise表示是因為他們偵測到巴西出現不尋常的流量爆增現象,從而觀察到殭屍網路的攻擊活動並著手調查。結果發現,所有攻擊流量雖然來自不同國家,卻共用相似的用戶端指紋,因此GreyNoise認為,這是有人集中控制並進行協調的攻擊活動。
值得留意的是,14日GreyNoise更新文章內容指出,此殭屍網路在不到一個星期的時間,成長至有近30萬個來源IP位址的規模,他們強調攻擊者迅速加入新的殭屍網路節點從事攻擊,光是透過靜態防禦措施無法因應這類威脅。
資料來源:iThome