資安公司Imperva兩名資安研究人員Avishay Zawoznik和Dima Bekerman在12月26日在官方部落格揭露,一組殭屍網路對Incapsula用戶,發動兩次大規模DDoS攻擊,最大攻擊強度為650 Gbps。但他們觀察到,攻擊來源並非是今年常見的殭屍網路Mirai,而是一個新出現的殭屍網路Leet(資安人員從攻擊封包看到1337數字特徵,在駭客術語上相當於Leet之意,故命名之)。目前,Leet殭屍網路偽造了IP(spoofed IPs),所以還無法得知發動攻擊的國家和發動攻擊的裝置類型。
資安研究員在12月21日早上10時55分發現,部分Incapsula用戶突然遭受DDoS攻擊,攻擊流量暴增到400Gbps,攻擊時間長達20分鐘。直到11點15分,駭客才停止第一波的攻擊。之後,駭客又在11點21分發動第二波DDoS攻擊,這次攻擊強度更高,偵測到的最高攻擊流量為650 Gbps,攻擊時間持續了17分鐘。
這次發動攻擊的殭屍網路Leet,最高攻擊量高達650 Gbps。圖片來源:Imperva
這篇分析認為,這次DDoS攻擊模式與先前殭屍網路Mirai攻擊模式有很大差異。首先,此次攻擊無法辨識出攻擊裝置特徵和攻擊來源。過去,殭屍網路Mirai可以追蹤到攻擊裝置與來源,但是這次追蹤攻擊來源的IP位址,發現都是偽造IP(spoofed IPs),無法瞭解任何攻擊來源的資訊。
第二,攻擊者在正常SYN封包上面有留下leet或是elite的「簽名」。這次DDoS攻擊的攻擊流量包含兩種SYN封包負載(payload),一個是正常的SYN封包,每一個封包大小約在44bytes到60bytes不等。另一個異常的SYN封包大小,每一個約在799bytes到936bytes之間,可利用來擴大攻擊容量到650 Gbps。特別的是,正常SYN封包的TCP封包紀錄上面出現「1337」的數值,如果從歐美地區的駭客術語(leetspeak)來解讀,顯示的是leet或elite這兩個詞彙。所以,從TCP封包紀錄的「簽名」來看,leet或elite發動這次DDoS攻擊殭屍網路的名字,而不是Mirai。
正常SYN封包的TCP封包紀錄上面出現「1337」的數值,歐美地區駭客語常用這數字表示leet或elite的字詞。圖片來源:Imperva
最後,這次嵌入在發動攻擊的SYN封包負載字串顯示出,這些封包來自於實際的系統文件,而不是像Mirai殭屍網路是以亂數的字串呈現。所以,兩名資安研究人員判斷,從以上這些資料看來,發動這次攻擊並不是Mirai變種,而是新出現的殭屍網路。
這次殭屍網路Leet發動攻擊的強度高達650Gbps,幾乎跟殭屍網路Mirai在今年6月攻擊資安網站Krebs On Security的620 Gbps強度一樣。Imperva判斷,殭屍網路Leet在未來可能會成為殭屍網路Mirai的對手。而且,更危險的是,之後會有更多類似殭屍網路Leet、殭屍網路Mirai等這樣新的殭屍網路出現。