E安全6月20日讯 今年二月短短一个星期,阿卡迈公司(Akamai)的安全产品发现自动攻击行为,攻击利用超过1百万个不同的IP地址测试登录凭证并劫持用户账号。 Akamai称,攻击者使用2.220758340亿个不同电子邮件地址在112.7818万不同的IP地址下发起7.44361093亿次登录尝试。 攻击者以多个服务为目标,但绝大多数登录尝试的目标为两个公司:金融机构和媒体娱乐公司。 攻击者试图访问金融机构的账号 对这个金融机构实施的自动攻击占攻击总量的逾90%。 Akamai表示,攻击者使用99.3547万不同的IP查看4.27444261亿个账户。这个安全和网络巨头公司Akamai察觉到这个攻击计划,是因为之前他们的网页应用程式防火墙(WAF)将其中2.2555万IP列入黑名单。 这项针对金融机构的攻击攻势强大,第一天攻击者就检查了超过24.8万IP地址,收尾更猖狂,竟在第七天测试了52.6万IP地址(占此次攻击IP总数的一半以上)。 对一家媒体娱乐公司实施类似攻击 同一周,攻击者还发动了类似的的账号接管欺诈攻击,目标是一家媒体娱乐公司。Akamai发现攻击者使用6555.6491万个电子邮箱地址在81.739万个不同的IP地址下发起3.88674528亿个登录尝试。 攻击模式与第一个类似,只是开局和结尾更具攻势。 Akamai表示,77.8786万个IP地址(超过70%)均用于两次攻击,从而不难得出结论,两起攻击的实施者为同一组织。 攻击者使用代理服务器、被盗用的路由器和有线调制调解器 Akamai专家称,大部分攻击IP来自代理服务器,但大量被盗用的家用路由器也包括在内。 Akamai公司特别提到存在被盗用ZyXel调制解调器和路由器的僵尸网络,但也存在一个由Arris有线调制解调器组成的僵尸网络。 安全研究人员去年11月发现并公开披露了Arris有线调制解调器中至少存在3个不同的后门。 ATO攻击越来越热门 这种攻击类型就是业内专家所称的“账号接管”,即ATO(也称身份测试攻击),被认为是暴力攻击的子集。 攻击者使用公共数据泄露收集网站(例如PasteBin)的账户登录凭证,从而在用户可能重复使用登录细节的临近的服务上发动攻击。 攻击者还在地下黑客论坛购买被泄的登录凭证,但他们还通过SQL注入入侵公司并窃取账号信息。 过去一周,GitHub就是类似ATO攻击的受害者。该公司表示,攻击者试图访问一些账户,迫使GitHub重新设置被感染个人档案的密码。 E安全/文 转载请注明E安全 E安全——全球网络安全新传媒 |
|