超百万的web camera 和 DVR 设备感染了Lizkebab, BASHLITE, Torlus, Gafgyt等恶意代码,并形成了web botnets。
Level 3 Communications 的首席安全官Dale Drew称:现状使其震惊,他们在针对知名的botnets进行研究时,试图发现更多的事实。当关注到恶意代码BASHLITE时,BASHLITE 与C&C服务器以及周边大小不同的僵尸网络密切相关,其绑定的组织,远远超出他们想象。
今年7月,BASHLITE 被发现与74个bot相连,接下来,他们发现了120,000 bot与之相连。
接下来的研究,发现大的僵尸网络与近 100 台C&C服务器相连,一些 C2s一天执行超过 100 次 DDoS 攻击,其中75%的攻击持久五分钟或更少。
攻击者获取设备控制权后,他们立即执行 ‘busybox wget’ 和 ‘wget’ 命令来下载 DDoS bot 有效载荷。接着为不同的体系结构编译多个版本,直到其中一个能够执行。
100 万的受感染的端点设备中,96%(其中 95%是camera 和 DVR )是物联网设备,剩余的大约 4%是家用路由器以及小于 1%的 Linux 服务器。
攻击中使用的bot,大多数位于台湾、 巴西和哥伦比亚。
camera 和 DVR是首要目标,大多数运行嵌入式Linux,配置启用了 telnet 和 web 接口,并使用默认认证方式。而攻击流量则很容易隐藏在这些设备的视频流中。
Pr0.s大华科技的设备是这次发现的被感染恶意代码的三家厂商之一,请注意(⊙o⊙)哦。