俄羅斯電信巨頭 Rostelecom 旗下網絡安全部門 Rostelecom-Solar 周一表示,發現並利用惡意軟件創建者的一個紕漏,成功封鎖了 Meris DDoS 殭屍網絡部分設備。Meris 殭屍網絡在今年早些時候首次被發現,是目前互聯網上最大的 DDoS 殭屍網絡,其規模估計約為 25 萬個受感染的系統。
在過去幾個月里,該殭屍網絡被攻擊者濫用,對俄羅斯、英國、美國和新西蘭等幾個國家的互聯網服務提供商和金融實體進行了 DDoS 勒索攻擊。由於這些勒索攻擊,很多公司因為殭屍網絡的巨大威力而被迫下線。其中最兇猛的幾次攻擊,Meris 今年兩次打破了最大容量 DDoS 攻擊的記錄,一次是在 6 月,另一次是在 9 月。
Cloudflare 和 Qrator 實驗室等互聯網基礎設施公司在其客戶受到攻擊后對該殭屍網絡進行了分析,發現絕大多數受感染的系統都是 MikroTik 網絡設備,如路由器、交換機和接入點。
在上周的一篇博文中,MikroTik表示,攻擊者濫用了其RouterOS中的一個舊漏洞(CVE-2018-14847),利用業主尚未更新的設備組裝了他們的殭屍網絡。
但在周一發表的研究報告中,Rostelecom-Solar 表示,在對這種新的威脅(也一直在攻擊其一些客戶)進行例行分析時,其工程師發現,一些受感染的路由器正在向一個未註冊的域名 cosmosentry[.com] 伸出援手,要求提供新的指令。
Rostelecom-Solar的工程師說,他們抓住了運營商的錯誤,註冊了這個域名並將其轉化為一個“天坑”(sinkhole)。經過幾天的追蹤,研究人員說他們收到了來自約 45000 台受感染的 MikroTik 設備的 ping,這個數字估計約為殭屍網絡整個規模的五分之一。
該公司本周說:“不幸的是,我們不能對我們控制下的設備採取任何積極行動(我們沒有權力這樣做)。目前,大約 45,000 台 MikroTik 設備轉向我們的天坑域”。
為了防止MikroTik路由器所有者檢測到這些與cosmosentry[.]com的可疑連接,Rostelecom-Solar表示,他們已經設置了一個佔位符信息,告知他們誰擁有這個域名以及為什麼他們的路由器會進行連接。
此外,研究人員表示,他們還在Meris惡意軟件的代碼中發現了一些線索,這些線索也讓人了解到這個殭屍網絡是如何被組裝起來的。根據 Rostelecom-Solar 團隊的說法,Meris殭屍網絡似乎是通過Glupteba組裝的,這是一種針對Windows電腦的惡意軟件,通常被用作其他各種惡意軟件的加載器。
Meris代碼的相似性以及許多使用內部IPping Rostelecom天坑的路由器證實了該公司的理論,即Meris是通過Glupteba惡意軟件完全或部分組裝的。然而,目前還不清楚是Glupteba團伙自己建立了Meris殭屍網絡,還是另一個團伙租用了Glupteba感染的主機來部署MikroTik模塊,最終產生 Meris。