Akamai警告系統感染IptabLes的高風險威脅

Akamai Technologies, Inc.宣布透過旗下Prolexic的安全工程及反應團隊 (Prolexic Security Engineering & Response Team；PLXsert)發表全新網路安全威脅建議書。

該建議書警告企業有關Linux系統感染IptabLes及IptabLex的高風險威脅。惡意攻擊者可以透過受感染的Linux系統，對娛樂產業及其他特定產業發動分散式阻斷服務(DDoS)攻擊。建議書可從Prolexic(現為Akamai旗下公司之一)下載。

Akamai Technologies安全部門資深副總裁兼總經理Stuart Scholly表示，在Linux系統內受IptabLes及IptabLex感染的惡意軟體中，追查到2014年最大型DDoS攻擊行動的其中一個。

這可說是網路安全發展的重大變化，因為以往Linux系統通常不會用於DDoS殭屍網路中。惡意攻擊者可從沒有修補的Linux軟體中的已知漏洞發動DDoS攻擊。Linux管理員需要瞭解這些威脅，並作出應對措施，才能保護其伺服器。

透過Apache Struts、Tomcat及Elasticsearch的漏洞，IptabLes及IptabLex得以大規模地在Linux伺服器廣泛散播。攻擊者利用Linux未被修復的伺服器漏洞取得存取、升級權限，並遠端操控機器，再在系統中加入並執行惡意編碼，最終讓系統能夠被遠端遙控，成為DDoS殭屍網路的一部分。

其中一個確認感染的指標是/boot目錄內名為.IptabLes或.IptabLex的有效負載(payload)，這些程式在重新啟動時會執行二元檔案.IptabLes。該惡意軟體還包含自我更新功能，受感染的系統會聯繫遠端主機下載檔案。在實驗中，受感染的系統曾嘗試聯繫兩個位於亞洲的IP位址。

目前，IptabLes及IptabLex的指令及控制中心位於亞洲。受感染的系統最初是由亞洲開始，但愈來愈多近期的感染是來自美國及其他地區的伺服器。在過去大部分DDoS殭屍病毒感染都源自俄羅斯，可是現時亞洲成為DDoS發展的重要源頭。

在Linux系統上偵測和預防IptabLes或IptabLex感染，包含修補和強化Linux伺服器和防毒偵測。在威脅建議書中，PLXsert提供bash指令來清除受感染的系統。

DDoS限速緩解技術能夠針對控制發動殭屍病毒的DDoS攻擊者。此外，PLXsert在威脅建議書中亦分享YARA規則，幫助分辨其所觀察的攻擊行動中所使用超低頻(ELF)IptabLes的有效負載。

IptabLes和IptabLex殭屍網路能對某些已請求DDoS專家保護的目標公司發動顯著的DDoS攻擊行動。Akamai提供DDoS緩解方案，阻止從IptabLes和IptabLex殭屍病毒發動的DDoS攻擊。