由XSS漏洞引发的僵尸网络DDos攻击风暴

2014-04-08 +9 197604人围观 ,发现 20 个不明物体 WEB安全资讯

写在前面:

本文中的黑客利用XSS控制的僵尸网络进行DDosS攻击,存在漏洞的视频网站,被云安全服务提供商隐去了名字,会是youtube吗?我们不得而知。

正文:

基于应用层的分布式拒绝服务攻击(distributed denial of service)是一种复杂的web攻击,他利用看似合法的请求流量攻击网站的特定区域,这使得的这种攻击手法更加的难以预防和捕获。

昨天,云安全服务提供商Incapsula发现了一种使用流量劫持的方式进行的DDOS,这次攻击使用2000万次get流量席卷了Incapsula的一个用户,这2000万次的流量均来自于22000万互联网用户的浏览器。

这次攻击的成因是,黑客掌握了一个,世界最大的最出名的网站的存储型注入点。

XSS vulnerability to Large-Scale DDoS Attack(XSS漏洞是如何转变为DDos攻击的)

Incapsula的报告并未有指出存在漏洞的网站的名字,但在报告中提及此网站是一个视频网站,注册用户可以上传自己的头像。

DDos攻击的成因是因为,攻击者可以在用户的自定义头像中插入邪恶的javascript代码。所以当合法的用户访问这些存在漏洞的页面时(这些页面包含了攻击者的评论,评论中包含头像),攻击者藏在头像中的恶意javascript代码就会被执行,这段代码向用户浏览器中插入一个隐藏的iframe,其地址指向DDos攻击者的C&C服务器。

根据Incapsula所说,攻击者使用一个基于 Ajax-script 的DDos工具控制着DDos攻击的频率。

Incapsula的安全研究员说"每秒一次的攻击看似不多,但是当每个10分钟的视频每分钟都有成千上万的用户进行观看的时候,这些看似不起眼的访问就会变成一场可怕的DDos风暴。"

为了加强DDos的效果,攻击者会在很多热门的视频下方留言,当你正在看“万万没想到”的时候,你已经不知不觉的成为

僵尸网络的一员了。

Intercepting the Attack(攻击的拦截和检测)

不过这种攻击最终还是被,Incapsula基于行为识别的安全算法拦截了,对DDos工具行为的预测使我们的防御更加有效。

Incapsula的安全研究人员“通过拦截恶意的请求,并把目标url的内容替换成一段返回refer的Javascript,我们甚至可以追溯到攻击的源头,这种方法吧我们引向了这个百经蹂躏的视频网站。在最近的几次攻击中,攻击者还升级了它们DDos工具的版本,这说明昨天的几次攻击只不过是试探性的攻击。”

这个漏洞现已经被修复。

Follow me on Google+Twitter or Facebook or Contact via Email

[原文地址,译/FreeBuf小编蓝蓝]

发表评论

已有 20 条评论

取消
Loading...
css.php