本週雲端服務供應商OVHcloud公布他們觀察DDoS攻擊威脅態勢一年半的分析,並提及駭客偏好濫用大型網路設備來產生流量,其中疑似特別針對MikroTik雲端核心路由器(CCR)部分型號而來
巧合的是,美國與新加坡、泰國、德國聯手,5月底宣布拆毀大型殭屍網路911 S5,也與該公司看到5月下旬DDoS攻擊大幅下降的現象大致符合,但他們無法確認兩者是否有直接關聯。
在透露最大規模的攻擊流量之餘,該公司也指出駭客使用大流速封包越來越普遍的現象。他們在這一年半的時間裡面,發現超過100 Mbps的DDoS攻擊出現越來越頻繁的現象,原本每週僅需處理數次攻擊,如今變本加厲,每週需緩解的攻擊高達數百起。
該公司也提及一起發生在今年4月的攻擊事故為例,99%是TCP ACK流量,由5千個IP位址發出,但特別的是約有三分之二的封包來自4個美國的網路服務提供點(Point of Presence,PoP),其中3個位於西岸,這代表駭客僅利用少數來源發送大量封包。
針對這樣的假設,他們手動分析近百組100至500 Mbps的攻擊,結果發現在許多事故當中,攻擊來源並不多,但發送的流量卻占據總量相當高的比例。
該公司針對資料流量最高的前70個IP位址進行調查,結果發現約四分之的來自亞洲的自治系統(AS),他們進一步透過資安防禦搜尋引擎Onyphe進行分析,發現使用這些IP位址的多半是MikroTik路由器,而且大部分都未修補資安漏洞。
根據他們的調查,有半數執行早於2023年5月23日推出的舊版RouterOS作業系統,而可能有已知漏洞遭到駭客利用。此外,他們也看到部分搭配新版韌體RouterOS 6.49.14的設備被用來發動DDoS攻擊的現象,研判這些設備遭到入侵之後,對方還幫它們升級韌體。
究竟攻擊者如何濫用這些設備產生DDoS攻擊流量,OVHcloud推測,很有可能利用RouterOS內建的頻寬壓力測試功能來達到目的。
值得留意的是,這些MikroTik設備並非小型企業或家用的機種,而是雲端核心路由器(Cloud Core Router,CCR),換言之,這些用於發動DDoS攻擊的路由器,多為大型網路環境設備,該公司總共看到99,382臺,當中又以CCR1036-8G-2S+最多,有30,976臺,涵括近三分之一的臺數。
OVHcloud表示,究竟對方利用那些漏洞入侵受害路由器,目前仍不得而知,無法判斷其他CCR設備是否也遭到攻擊,但他們也提及,IT人員將這些網路設備的管理主控臺曝露於網際網路,仍然造成很大的風險。
究竟這些設備能讓攻擊者產生多少流量?該公司根據他們發現遭綁架的大量MikroTik設備進行保守估算,若以1%流量從事DDoS攻擊,這個殭屍網路每秒就能產生22.8億個封包。
