Akamai報告分析 PBOT惡意軟體捲土重來

Akamai Technologies, Inc發布「2017 年第2季網際網路現狀–安全報告」最新資料顯示，捲土重來的PBOT DDoS惡意軟體成為DDoS的攻擊基礎，分散式阻斷服務(DDoS)與網路應用程式攻擊數量又再次增長，而這波攻擊亦是Akamai本季所見最強。

在使用PBOT的案例中，惡意攻擊者運用有數十年歷史的PHP程式碼，發動Akamai在第2季觀察到的最大型DDoS攻擊。攻擊者得以建立1個迷你DDoS殭屍網路，藉此發動每秒75 Gbps的DDoS攻擊。耐人尋味的是，PBOT殭屍網路僅由小量的400個節點構成，卻仍能產生驚人的攻擊流量。

在「死灰復燃的攻擊」清單中，其中一項是Akamai企業威脅研究團隊(Akamai Enterprise Threat Research Team)所做的分析報告，討論網域生成演算法(Domain Generation Algorithms；DGA) 在惡意軟體指揮與控制(Command and Control；C2)基礎架構中的應用。雖然DGA與Conficker蠕蟲在2008年共同出現，但時至今日，新式惡意軟體仍常將DGA用於通訊技術。團隊發現，受感染的網路產生的DNS查詢率是正常網路的15倍之多，這種結果可以解釋成惡意軟體在受影響的網路上存取隨機產生的網域所導致，由於產生的網域多數未註冊，全都存取勢必會產生許多雜訊干擾，因此分析受感染的網路與正常網路間的運作差異，就是辨識惡意軟體攻擊的重要方式。

2016年9月發現Mirai殭屍網路時，Akamai是首批被攻擊的對象之一，公司平台持續受到攻擊，但都被成功擋下。Akamai研究人員運用公司獨特的洞察力研究Mirai殭屍網路的各個面向，特別在第2季針對其C2基礎架構進行研究。Akamai研究人員指出，Mirai極有可能如同其他殭屍網路般，推動DDoS商品化。根據觀察，雖然該殭屍網路有許多C2節點都對特定IP進行「針對性攻擊」，但有更多節點參與所謂「付費執行(pay-for-play)」攻擊。這些狀況下觀察到的Mirai C2節點會對IP進行短暫攻擊，隨後停止運作，接著繼續攻擊其他目標。

Akamai資深安全顧問Martin McKeay表示，攻擊者永遠都在試探企業安全防禦的弱點，弱點越普遍，攻擊就越有效，駭客也會投入更多精力和資源進行攻擊。像WannaCry和Petya攻擊中所使用的Mirai殭屍網路事件，SQLi攻擊量持續攀升與PBOT東山再起，都顯示攻擊者除了使用新工具，也會續用過去證明有效的舊工具。