北京健康宝遭网络攻击细节披露:向受害者服务器发送海量网络流量

通联网络是国内著名的虚拟主机和域名注册提供商。独创的第6代虚拟主机管理系统,拥有在线数据恢复、Isapi自定义,木马查杀等30余项功能.千M硬件防火墙,为您保驾护航!双线虚拟主机确保南北畅通无阻!

北京健康宝遭网络攻击细节披露:向受害者服务器发送海量网络流量

2022年5月13日 域名注册 0

今日,360 网络安全研究院披露了北京健康宝被网络攻击的部分细节信息。通过其积累的安全威胁数据,可以确定这次事件的发起方是其内部命名为 Rippr 的团伙。该团伙使用了已经披露过的恶意代码家族 Fbot 作为攻击武器。此次事件的 Fbot 变种,最早发现于 2 月 10 日,自被发现以来就异常活跃地参与到 DDoS 攻击中。截至今日,短短三个月,被跟踪到的攻击事件就超过 15 万次。

据人民日报此前报道,4 月 28 日,在北京召开的第 318 场疫情防控新闻发布会上,北京市委宣传部对外新闻处副处长隗斌通报,4 月 28 日,北京健康宝使用高峰期遭受网络攻击,经初步分析,网络攻击源头来自境外,北京健康宝保障团队进行及时有效应对,受攻击期间,北京健康宝相关服务未受影响。

IT之家了解到,360 网络安全研究院表示,可以确认这是一起典型的网络拒绝服务攻击(DDoS 攻击)事件,也就是说攻击者利用大量被入侵的网络设备,如 IOT 设备、个人电脑、服务器等,向受害者服务器发送海量的网络流量,影响其正常服务。

▲ BotMon 系统截获的原始攻击指令,目标 IP 已做打码处理 图源:360 网络安全研究院

据介绍,从攻击时间上来看,指令发出的时间是 28 号早上 8 点 41。从攻击方法上来看,使用了 360 网络安全研究院内部命名为 ATK_256,ATK_261 的 DDoS 攻击方式。

该僵尸网络将涉事的 3 个 C2 域名通过 DNS 域名映射到多个 IP 的方式做负载均衡。通过从这 3 个 C2 的历史攻击指令发现的一些基本特征和对该家族运营团伙 Rippr 历史认识,360 网络安全研究院认为它的主要目的是通过对外提供 DDoS 服务,以及挖矿来盈利,不涉及政治诉求。

360 网络安全研究院指出,截至目前为止,该僵尸网络在全球范围内依然活跃,预期随着本次报告登出,涉及的 C2 和恶意样本会被安全社区提取使用,黑客也许会通过再一次更新 C2 地址来应对。

原标题:北京健康宝遭网络攻击细节披露:典型 DDoS 攻击,发起团伙曝光

 

发表评论

您的电子邮箱地址不会被公开。