DDoS 黑客「Matrix」:从开源工具到全球性僵尸网络的崛起
背景概述
一位代号为「Matrix」的俄罗斯黑客通过利用公开的恶意工具和漏洞脚本,成功建立了一个规模巨大的分布式拒绝服务(DDoS)僵尸网络。与传统攻击者不同,Matrix 的目标不仅局限于物联网(IoT)设备,还包括企业开发和生产服务器,大幅提升了其破坏力和覆盖范围。
攻击手段与工具
Matrix 于 2023 年 11 月在 GitHub 创建账号,用于存储公开恶意工具,并对其进行本地修改。其主要工具集包括:
Mirai:知名 IoT 僵尸网络工具
DDoS Agent 和 Pybot:高效扫描与攻击脚本
Pynet 和 SSH Scan Hacktool:远程连接攻击工具
Discord Go:通信与控制辅助工具
Matrix 的定制化能力体现在,通过下载并本地修改这些工具,而非直接复制现有代码,提升了工具适配性和攻击效率。
针对漏洞的攻击目标
Matrix 的攻击脚本针对了一系列从 2014 年到 2024 年间披露的漏洞,以下为完整列表:
CVE-2014-8361:Realtek 软件开发工具包中的远程代码执行漏洞
CVE-2017 系列漏洞:
CVE-2017-17215:华为设备的远程代码执行漏洞
CVE-2017-18368:认证绕过漏洞
CVE-2017-17106:命令注入漏洞
CVE-2018 系列漏洞:
CVE-2018-10561 和 CVE-2018-10562:身份验证与命令注入漏洞
CVE-2018-9995:数字视频记录仪 (DVR) 的认证绕过漏洞
CVE-2024-27348:Apache HugeGraph 服务器的远程代码执行漏洞
值得注意的是,Matrix 还特别针对 AWS、Azure 和 Google Cloud 环境的企业服务器,扫描 Telnet、SSH 和 Hadoop YARN 等服务的漏洞与配置错误。
商业化攻击服务
Matrix 在 Telegram 上建立了「DDoS 攻击服务商店」,提供不同级别的攻击计划:
基础版:短时小规模攻击
企业版:长时间大规模的网络层和应用层攻击
这种「攻击即服务」的商业化趋势,进一步降低了网络攻击的门槛,扩大了潜在威胁。
攻击模式与规模
Matrix 通过暴力破解攻击,利用 167 组默认和弱密码,成功获取了许多设备的 root 或管理员权限。这些密码中,134 组可以直接访问核心管理功能。
同时,Matrix 的扫描工具覆盖全球约 3500 万台设备软件,其中至少 1% 存在漏洞,可能形成一个约 35 万台设备组成的僵尸网络,具备大规模攻击能力。
与典型的 DDoS 活动不同,威胁行为者正在扫描多家云服务提供商的 IP 范围,以查找 telnet、SSH、Hadoop YARN 和其他企业服务器中的漏洞和错误配置。Matrix 针对的漏洞之一是 CVE-2024-27348,这是 Apache HugeGraph 服务器中的一个严重 RCE 漏洞。观察到的扫描活动中有近一半 (48%) 针对 AWS 环境中的服务器,34% 位于 Microsoft Azure 中,16% 位于 Google 的云平台上。至少目前,Matrix 的主要关注点似乎是中国和日本,这可能是由于这些国家的物联网设备密度很高。
安全启示
Matrix 的活动凸显了网络安全的基础性缺陷。以下防护措施至关重要:
及时更换默认密码并启用强密码策略
限制管理协议(如 Telnet、SSH)的访问范围
定期更新固件与安装安全补丁
总结
Matrix 的僵尸网络扩展迅速,其活动范围不仅涵盖 IoT 设备,还深入到云服务与企业服务器的漏洞利用。在蜜罐实验中,Matrix 的攻击成功率高达 95%,表明其定制化工具与策略的高效性。
全球网络安全面临更严峻的挑战,企业和设备制造商需要从基础实践入手,主动应对漏洞威胁,才能有效遏制类似攻击的蔓延。
信息來源:https://www.darkreading.com/cyberattacks-data-breaches/russian-script-kiddie-assembles-massive-ddos-botnet
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局