俄羅斯電信巨頭 Rostelecom 旗下網路安全部門 Rostelecom-Solar 週一表示,發現並利用惡意軟體建立者的一個紕漏,成功封鎖了 Meris DDoS 殭屍網路部分裝置。Meris 殭屍網路在今年早些時候首次被發現,是目前網際網路上最大的 DDoS 殭屍網路,其規模估計約為 25 萬個受感染的系統。
在過去幾個月裡,該殭屍網路被攻擊者濫用,對俄羅斯、英國、美國和紐西蘭等幾個國家的網際網路服務提供商和金融實體進行了 DDoS 勒索攻擊。由於這些勒索攻擊,很多公司因為殭屍網路的巨大威力而被迫下線。其中最兇猛的幾次攻擊,Meris 今年兩次打破了最大容量 DDoS 攻擊的記錄,一次是在 6 月,另一次是在 9 月。
Cloudflare 和 Qrator 實驗室等網際網路基礎設施公司在其客戶受到攻擊後對該殭屍網路進行了分析,發現絕大多數受感染的系統都是 MikroTik 網路裝置,如路由器、交換機和接入點。
在上週的一篇博文中,MikroTik表示,攻擊者濫用了其RouterOS中的一箇舊漏洞(CVE-2018-14847),利用業主尚未更新的裝置組裝了他們的殭屍網路。
但在週一發表的研究報告中,Rostelecom-Solar 表示,在對這種新的威脅(也一直在攻擊其一些客戶)進行例行分析時,其工程師發現,一些受感染的路由器正在向一個未註冊的域名 cosmosentry[.com] 伸出援手,要求提供新的指令。
Rostelecom-Solar的工程師說,他們抓住了運營商的錯誤,註冊了這個域名並將其轉化為一個“天坑”(sinkhole)。經過幾天的追蹤,研究人員說他們收到了來自約 45000 臺受感染的 MikroTik 裝置的 ping,這個數字估計約為殭屍網路整個規模的五分之一。
該公司本週說:“不幸的是,我們不能對我們控制下的裝置採取任何積極行動(我們沒有權力這樣做)。目前,大約 45,000 臺 MikroTik 裝置轉向我們的天坑域”。
為了防止MikroTik路由器所有者檢測到這些與cosmosentry[.]com的可疑連線,Rostelecom-Solar表示,他們已經設定了一個佔位符資訊,告知他們誰擁有這個域名以及為什麼他們的路由器會進行連線。
此外,研究人員表示,他們還在Meris惡意軟體的程式碼中發現了一些線索,這些線索也讓人瞭解到這個殭屍網路是如何被組裝起來的。根據 Rostelecom-Solar 團隊的說法,Meris殭屍網路似乎是透過Glupteba組裝的,這是一種針對Windows電腦的惡意軟體,通常被用作其他各種惡意軟體的載入器。
Meris程式碼的相似性以及許多使用內部IPping Rostelecom天坑的路由器證實了該公司的理論,即Meris是透過Glupteba惡意軟體完全或部分組裝的。然而,目前還不清楚是Glupteba團伙自己建立了Meris殭屍網路,還是另一個團伙租用了Glupteba感染的主機來部署MikroTik模組,最終產生 Meris。