本文來自微信公眾號“嘶吼專業(yè)版”,【作者】胡金魚。
互聯(lián)網(wǎng)情報(bào)公司GreyNoise報(bào)告稱,自2020年1月以來,它一直在追蹤包含偽造互聯(lián)網(wǎng)流量的大量“噪音風(fēng)暴”。
然而,盡管進(jìn)行了廣泛的分析,仍未得出其來源和目的的結(jié)論。這些噪音風(fēng)暴被懷疑是秘密通信、DDoS攻擊協(xié)調(diào)信號、惡意軟件操作的秘密指揮和控制(C2)通道,或配置錯(cuò)誤的結(jié)果。
一個(gè)奇怪的方面是生成的ICMP數(shù)據(jù)包中存在“LOVE”ASCII字符串,這進(jìn)一步增加了對其目的的猜測,并使案件更加有趣。
GreyNoise發(fā)布此信息,希望網(wǎng)絡(luò)安全研究人員社區(qū)能夠幫助解開這個(gè)謎團(tuán),并揭示出造成這些奇怪噪音風(fēng)暴的原因。
噪音風(fēng)暴的特征
GreyNoise觀察到大量偽造的互聯(lián)網(wǎng)流量,這些流量來自QQ、微信和WePay等各種來源的數(shù)百萬個(gè)偽造IP地址。
這些“風(fēng)暴”會(huì)向Cogent、Lumen和Hurricane Electric等特定互聯(lián)網(wǎng)服務(wù)提供商發(fā)起大量流量,但會(huì)避開其他服務(wù)提供商,尤其是亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)。
流量主要集中于TCP連接,特別是針對端口443,但也有大量ICMP數(shù)據(jù)包,最近其中包括嵌入的ASCII字符串“LOVE”,如下所示。
包含“Love”字符串的ICMP數(shù)據(jù)包
TCP流量還會(huì)調(diào)整窗口大小等參數(shù)來模擬不同的操作系統(tǒng),使活動(dòng)保持隱秘,難以被精確定位。生存時(shí)間(TTL)值決定了數(shù)據(jù)包在被丟棄之前在網(wǎng)絡(luò)上停留的時(shí)間,該值設(shè)置在120到200之間,以模擬真實(shí)的網(wǎng)絡(luò)跳數(shù)。
總而言之,這些“噪音風(fēng)暴”的形式和特征表明,是參與者的蓄意所為,而不是錯(cuò)誤配置的大規(guī)模產(chǎn)物。
GreyNoise呼吁共同解決
這種奇怪的流量模仿合法的數(shù)據(jù)流,雖然尚不清楚它是否是惡意的,但其真正目的仍然是個(gè)謎。GreyNoise在GitHub上發(fā)布了最近兩次噪音風(fēng)暴事件的數(shù)據(jù)包捕獲(PCAP),邀請網(wǎng)絡(luò)安全研究人員加入調(diào)查,集思廣益建言獻(xiàn)策,以幫助解開這個(gè)謎團(tuán)。
GreyNoise強(qiáng)調(diào):“噪聲風(fēng)暴提醒我們,威脅可能以不同尋常和怪異的方式出現(xiàn),這恰恰凸顯了超越傳統(tǒng)安全措施的適應(yīng)性策略和工具的必要性。”
參考及來源:https://www.bleepingcomputer.com/news/security/unexplained-noise-storms-flood-the-internet-puzzle-experts/