安全研究人员近期发现一个新出现的窃密恶意软件 Jester Stealer，窃取登录凭据、Cookie 和信用卡等信息，其销售广告如下所示：

2021 年 7 月，Jester Stealer 在网络犯罪论坛上露面，论坛上发布的贴子如下所示：

                                帖子

Jester Stealer 具备以下典型特点：

使用 AES-CBC-256 算法加密进行通信

C&C 服务器位于 Tor 网络中

所有日志都重定向到 Telegram

在内存中收集数据，不需写入硬盘

在分析调查期间，Jester Stealer 更新了七个版本。除了上面提到的特性外，还具备反沙盒和反虚拟化等对抗特性。该恶意软件窃取浏览器、VPN 客户端、密码管理器、聊天软件、电子邮件客户端、加密钱包和游戏软件的相关数据。窃取的数据通过 Tor 网络以日志的形式发送到 Telegram Bot，如果这种方法未成功则使用 AnonFiles（匿名文件共享平台）。

功能特性

Jester Stealer 的开发者还提供了自定义恶意软件构建工具，可以通过 txt、jar、ps1、bat、png、doc、xls、pdf、mp3、mp4 和 ppt 等扩展名隐藏 .exe 文件。

Telegram 频道

技术分析

通过静态分析，Jester Stealer 使用 .NET 开发。不止配置文件部署在 GitHub上，Jester Stealer 也会通过 GitHub 下载 Tor 代理。

文件信息

如下所示，Jester Stealer 使用自定义加解密函数，处理 Onion URL、注册表项等。

自定义函数

该恶意软件内置多项检查，阻止被自动分析：

反分析技术

恶意软件发现自己在被调试会终止执行

恶意软件发现自己在虚拟环境中运行（如 Virtulbox、vmbox、VMware 等）会终止执行

恶意软件发现自己在沙盒（SbieDll.dll）中运行会终止执行

恶意软件发现注册表项 state 被设置为 1 会终止执行

注册表项

恶意软件在窃取信息后生成报告：

窃取数据

将所有窃取的数据存储在内存中，并将其压缩再回传。

窃取数据示例

通过 Tor 将数据回传：

下载 Tor 代理

Jester Stealer 使用的 Tor URL 为 hxxp://jesterdcuxzbey4xvlwwheoecpltru5be2mzuk4w7a7nrhckdjjhrbyd.onion。

如果数据未被回传到 Tor 服务器中，恶意软件将文件上传至公共文件托管服务器 AnonFiles，命名以 AttackerName_username_systemname.zip为格式。

上传文件

成功窃密后，恶意软件会从失陷主机中自行删除。

自删除

结论

窃密恶意软件正在演变为令人担忧的安全威胁之一。攻击者窃取用户凭据、系统信息，甚至是屏幕截图或者其他隐私数据。

IOC

hxxp[:]//jesterdcuxzbey4xvlwwheoecpltru5be2mzuk4w7a7nrhckdjjhrbyd.onion
8879ae061540ce3de496adec3683b0fe
a30d170412986b90ce293b5a8ff7dfd8
9196e0e3234ef664e828eba9628f468d
c73c7c93101d4d741c79127a37d13d3a
7989d8fb3ec96482016acd52d56ea7f8
3986844f88921ccaba28a173a843c27a
26e71a30d1e8b43be1f16d3483d1d44c
9378111ed1b30ad23d37d7d7c33345d1
952cd4334dc6b9c1a3e0d0ab64d5afb2
90257b4f1de0e70235b2ff7419803afa
2cd2390f2138b725f4176343784c7705

Twitter 现在可以通过 Tor 网络访问，允许禁止它的国家的用户继续访问社交网络的网站。

安全工程师 Alec Muffett 今天宣布了新的洋葱 URL，他宣布现在可以通过 Tor 浏览器在全球范围内访问 Twitter

Muffett 告诉 BleepingComputer，他编写并帮助部署了用于将 Twitter 连接到 Tor 网络的软件。

Tor 项目允许您下载定制的 Firefox 浏览器，该浏览器可用于匿名浏览 Web 并访问只能通过 Tor 访问的特殊 .onion 域。

该项目特别有用，因为它允许用户绕过政府审查并继续访问通常在其国家被封锁的网站。

要通过 Tor 访问 Twitter，您可以下载 Tor 浏览器并浏览到特殊的特殊洋葱 URL https://twitter3e4tixl4xyajtrzo62zg5vztmjuricljdp2c5kshju4avyoid.onion/。

使用 Tor，即使在政府禁止访问该网站的国家/地区，现在也可以访问 Twitter。

随着俄罗斯开始将自己与世界其他地区隔离开来，该项目的启动恰逢其时。

为防止有关俄罗斯入侵乌克兰的信息自由流通，俄罗斯上周开始封锁推特、脸书和外国新闻媒体的访问权限。

现在可以通过 Tor 访问 Twitter，俄罗斯的人们可以继续访问该服务并获取有关冲突和其他全球事件的信息。

Twitter 并不是唯一一家为其服务提供 Tor 洋葱 URL 的公司。其他提供 Tor URL 的社交网站和新闻媒体有：

Microsoft 已发布 Windows 11 KB5011493 累积更新，其中包含安全更新、质量改进和未删除文件的 OneDrive 修复。

KB5011493 是强制性累积更新，因为它包含针对前几个月发现的漏洞的 2022 年 3 月补丁星期二安全更新 。

Windows 11 用户可以通过转到“ 开始 ” >  “设置”  >  “ Windows 更新” 并单击 “检查更新”来安装今天的更新。 

Windows 11 用户还可以从Microsoft 更新目录手动下载和安装 KB5011493 更新。

Windows 10 KB5011493 更新中的新增功能

安装 KB5011493 更新后，Windows 11 将其内部版本号更改为 22000.556。

Microsoft 的累积更新发行说明不再列在支持公告中，而是在视频中共享。

Windows 11 KB5011493 更新中的一些突出显示的修复是：

• 您现在可以在 Microsoft Edge 和 Microsoft Edge Internet Explorer 模式之间共享 cookie，从而提供更无缝的集成。
• Windows 11 时钟和日期现在将显示在连接到您设备的其他显示器的任务栏上。
• Microsoft 修复了在文件资源管理器命令菜单和上下文菜单上显示从右到左 (RTL) 语言文本（例如希伯来语）为左对齐的问题。
• Microsoft 修复了导致非管理员时区列表为空白的问题。
• 当鼠标悬停在电池、音量或 Wi-Fi 等其他图标上时，Microsoft 修复了不正确的工具提示。
• 我们为 Widget 应用添加了一个新入口点，当您将鼠标悬停在任务栏左侧时，它会显示实时天气内容。微软从天气开始，但将来可能会扩展到其他内容。

微软还表示，他们修复了重置 Windows 设备时未正确删除文件的 Microsoft OneDrive 错误。

“当您选择 删除所有内容时，可能不会删除已从 Microsoft OneDrive 本地下载或同步的文件，” KB5011493 发行说明解释道。

“安装此更新后，某些设备可能需要长达七 (7) 天的时间才能完全解决问题并防止文件在重置后保留。为了立即生效，您可以使用 Windows 更新疑难解答中的说明手动触发 Windows 更新疑难解答。 "

最后，微软更新了服务堆栈以解决阻止 Windows 更新正确安装未来更新的错误或问题。

Microsoft 现在将服务堆栈与累积更新捆绑在一起，因此无需安装单独的更新。

有关更改的完整列表，您可以查看 Windows Insider KB5010414 预览更新 发行说明，其中反映了今天 KB5011493 累积更新中的更改。

惠普已经披露了 16 个影响巨大的 UEFI 固件漏洞，这些漏洞可能使威胁行为者能够使用获得高权限且安装的安全软件无法检测到的恶意软件感染设备。

这些漏洞影响多种惠普机型，包括笔记本电脑、台式电脑、PoS 系统和边缘计算节点。

这些漏洞是由 Binarly 的研究人员发现的，该团队在 2 月份发布了另一组影响 25 家计算机供应商的 UEFI 漏洞。

几天后，Binarly 的创始人在 OffensiveCon 上展示了影响惠普的五个新的 UEFI 漏洞，惠普发布了相应的安全更新来解决这些问题。

今天，Binarly、HP 和 CERT/CC 协调披露了新发现的完整漏洞集，包括 11 个影响 HPE UEFI 固件的新漏洞。

这些漏洞根据被利用的组件/功能分为三个桶：

SMM 标注（权限提升）

• CVE-2021-39298：导致权限提升的标注 (CVSS – 7.5)
• CVE-2021-23932：导致权限提升的标注 (CVSS – 8.2)
• CVE-2021-23933：导致权限提升的标注 (CVSS – 8.2)

SSM（系统管理模块）

• CVE-2021-23924：堆缓冲区溢出导致任意代码执行 (CVSS – 8.2)
• CVE-2021-23925：内存损坏导致任意代码执行 (CVSS – 8.2)
• CVE-2021-23926：内存损坏导致任意代码执行 (CVSS – 8.2)
• CVE-2021-23927：内存损坏导致任意代码执行 (CVSS – 8.2)
• CVE-2021-23928：内存损坏导致任意代码执行 (CVSS – 8.2)
• CVE-2021-23929：内存损坏导致任意代码执行 (CVSS – 8.2)
• CVE-2021-23930：堆缓冲区溢出导致任意代码执行 (CVSS – 8.2)
  • CVE-2021-23931：堆缓冲区溢出导致任意代码执行 (CVSS – 8.2)
  • CVE-2021-23934：内存损坏导致任意代码执行（CVSS – 8.2）

  DXE（驱动程序执行环境）

  • CVE-2021-39297：堆栈缓冲区溢出导致任意代码执行 (CVSS – 7.7)
  • CVE-2021-39299：堆栈缓冲区溢出导致任意代码执行 (CVSS – 8.2)
  • CVE-2021-39300：堆栈溢出导致任意代码执行 (CVSS – 8.2)
  • CVE-2021-39301：堆栈溢出导致任意代码执行 (CVSS – 7.7)

  由于 DXE 和 SSM 在操作系统启动之前被激活，因此在这些组件中利用的任何缺陷都会超过内核操作系统权限并绕过所有保护。

  此外，有能力的恶意行为者可能会利用它们植入持久的固件恶意软件，这些恶意软件在操作系统更新后仍然存在并绕过 UEFI 安全引导、英特尔引导保护和虚拟化安全解决方案。

   

  “由于可信平台模块 (TPM) 测量的限制，固件完整性监控系统无法检测到对所有已发现漏洞的主动利用。由于固件运行时可见性的设计限制，远程设备健康证明解决方案不会检测到受影响的系统，” Binarly关于漏洞的报告提到。

  “不幸的是，我们报告的漏洞中的大多数问题都是可重复的故障，其中一些是由于代码库或遗留组件的复杂性引起的安全关注较少，但仍广泛用于该领域。”

  固件恶意软件不是理论上的，因为我们过去曾报道过国家资助的黑客组织部署 UEFI 恶意软件，例如MoonBounce、  ESPecter和 FinSpy 加载程序。

  此时，解决安全风险的唯一方法是从 HP 的BIOS 升级门户应用可用的固件更新，或者按照这些说明进行操作。

  更广泛的供应链问题

  其中一个缺陷 CVE-2021-39298 被确定为 AMD 参考代码漏洞，因此，它不仅影响 HP，还影响使用特定固件驱动程序 (AgesaSmmSaveMemoryConfig) 的众多计算机供应商
  

  该漏洞是滥用 EFI_BOOT_SERVICES 和 EFI_RUNTIME_SERVICES 的案例，因为它允许非特权 DXE 运行时在 SMM 内运行代码，这违反了既定的安全实践。

  因此，CERT/CC 将与所有受影响的供应商协调，以帮助他们推动针对此权限提升漏洞的修复，至少对于受支持的产品。

   

由于万事达卡、维萨、美国运通和贝宝等多种支付处理服务正在退出俄罗斯市场，ProtonMail 正在敦促其俄罗斯用户群赶快更新订阅，以免为时已晚。

ProtonMail 是一家以隐私为中心的端到端加密电子邮件服务提供商，为全球数百万人提供服务。

ProtonMail：尽可能更新！

ProtonMail 要求其俄罗斯用户在可能的情况下购买订阅，因为在俄罗斯持续入侵乌克兰的情况下，包括万事达卡、维萨、美国运通和贝宝在内的主要金融服务公司正在暂停在俄罗斯的业务。

ProtonMail 总部位于瑞士，是 MIT 和 CERN 科学家于 2013 年开发的端到端加密电子邮件服务。

拥有数百万用户使用该服务，ProtonMail 将自己描述为“世界上最大的安全电子邮件服务”。

ProtonMail 客户报告称，本周收到了该公司的电子邮件通知，系统和安全管理员 Moe已与 BleepingComputer 共享了一份通知：

ProtonMail 的使命是“在任何地方捍卫在线自由”

ProtonMail 的这一严厉声明发布之际，正值对俄罗斯的国际制裁正在上升，大多数企业都专注于与俄罗斯断绝关系。

但是，根据今天发布的声明，这家安全电子邮件提供商有充分的理由在该地区保持活跃

ProtonMail 在给客户的电子邮件公告中解释说：“在这个困难时期，我们承诺不会因为经济原因尽可能长时间地切断俄罗斯的任何用户。”

“如果您能够使用其他支付方式，您的支持将确保我们能够在未来几年继续为俄罗斯人民服务。”

ProtonMail 提供了一系列替代支付方式，包括加密货币，俄罗斯用户可以使用这些方式续订订阅

一种新的反射/放大 DDoS 方法正在攻击中使用，它提供了近 43 亿比 1 的破纪录放大率。

分布式拒绝服务 (DDoS) 攻击针对具有大量请求和大量数据的服务器或网络，旨在耗尽其可用资源并导致服务中断。

在进行攻击时，放大率至关重要，因为数字越大，威胁参与者就越容易以较少的火力压倒受到良好保护的端点。

惊人的放大水平

正如 Akamai 在发布前与 Bleeping Computer 共享的一份报告中所详述的那样，一种新的攻击媒介依赖于滥用充当 DDoS 反射器/放大器的不安全设备。

反射攻击始于一个在封闭网络内反射的小数据包，而其大小随着每次反弹而放大。当达到可能的上限时，将产生的流量引导到目标。

对于这种新的 DDoS 方法，威胁行为者在 Mitel 设备使用的驱动程序中滥用被跟踪为 CVE-2022-26143 的漏洞，这些设备包含 TP-240 VoIP 接口，例如 MiVoice Business Express 和 MiCollab。

“受影响的 Mitel 系统上的滥用服务称为 tp240dvr（“TP-240 驱动程序”），并作为软件桥运行以促进与 TP-240 VoIP 处理接口卡的交互，” Akamai 在其关于漏洞的报告中解释道。

“正如这些设备的制造商所证实的那样，该守护进程侦听 UDP/10074 上的命令，并不打算暴露在 Internet 上。正是这种对互联网的暴露最终使它被滥用。”

Akamai 统计了 2,600 台暴露的 Mitel 设备目前容易受到这种放大缺陷的影响，而供应商已经在与客户一起处理补救措施。

特定驱动程序具有流量生成命令，旨在对客户端进行压力测试，用于调试和性能测试。

通过滥用此命令，攻击者可以从这些设备生成大量网络流量。不幸的是，这是可能的，因为默认情况下会激活有风险的命令。

积极的一面是，相关的守护进程以单线程模式运行，防止并行利用，并且由于 Mitel 设备上的硬件资源有限，攻击量的上限相对较低。

上周，Akamai 披露了一种非常相似的 DDoS 方法，称为“TCP 中间盒反射”，它利用中间盒中易受攻击的防火墙和内容过滤策略执行系统来实现 65 倍的 放大系数。

野外袭击

2022 年 1 月 8 日发现了滥用 Mitel 设备的攻击的最初迹象，而利用易受攻击的驱动程序的第一次实际攻击始于 2022 年 2 月 18 日。

目标是政府、商业企业、金融机构、物流公司、宽带接入 ISP 和其他重要组织。

“观察到的攻击主要基于每秒数据包或吞吐量，并且似乎是源自 UDP/10074 的 UDP 反射/放大攻击，主要针对目标端口 UDP/80 和 UDP/443，”Akamai 在他们的报告。

“迄今为止，观察到的此类最大的一次攻击约为每秒 5300 万个数据包 (mpps) 和每秒 23 千兆比特 (gb/sec)。该攻击的平均数据包大小约为 60 字节，攻击持续时间约为 5 分钟。”

该向量与大多数 UDP 反射方法的一个显着区别是，它可以承受长达 14 小时的长时间 DDoS 攻击。 

从这个角度评估，包放大率达到4,294,967,296:1，攻击流量最高可达400 mpps，持续洪泛为393mb/sec。

展望与保护

在过去的一个月里，DDoS 攻击变得越来越普遍，尤其是在俄罗斯入侵乌克兰之后。

甚至在入侵之前，乌克兰政府机构和银行 就遭受了多次 DDoS 攻击 ，这些攻击关闭了他们的网站，目的是在国内制造混乱。

从那时起，DDoS 攻击由 乌克兰 IT 军队发起，攻击俄罗斯的利益 ， 俄罗斯的支持者 攻击乌克兰和西方实体。 

随着 DDoS 攻击的广泛使用，有必要尝试强化您的基础设施以抵御这些类型的攻击，尤其是在这种新的 DDoS 方法中看到的放大级别。

Akamai 表示，监控 UDP/10074 流量并实施主动数据包捕获和分析系统以阻止使用此端口的攻击将有助于减轻反射/放大攻击。

但是，合法流量可能正在使用此端口，该端口也会被阻止。

防止这种新的 DDoS 方法的最佳方法是使用 TP-240 接口的组织遵循 Mitel 的修复说明，强制执行防火墙规则以阻止恶意发起程序数据包或禁用被滥用的命令。

臭名昭著的 Emotet 僵尸网络仍在野外稳定分布，现已感染 179 个国家的 130,000 个系统。

虽然这可能与其控制 160 万台设备的曾经的全球主导地位相去甚远，但它表明该恶意软件仍在卷土重来，并且每天都在变得越来越强大。

Emotet 活动于 2019 年停止，而其第二个主要版本正在流通，并且该恶意软件仅在 2021 年 11 月 在 Trickbot 的帮助下回归。

几天后，很明显，复兴是 由 Conti 勒索软件团伙精心策划的，他们使用它来获得对公司网络的初始访问权限。

除了最初的感染之外，Emotet 继续跳过将 TrickBot 作为有效负载删除，而是直接 删除 Cobalt Strike 渗透测试工具 以快速远程访问网络。

跟踪 Emotet 僵尸网络

Black Lotus 实验室的威胁分析师已决定深入研究 Emotet 的“Epoch 3”，以识别新功能并绘制其当前分布模式。

正如您在下面看到的，Emotet 僵尸网络在 11 月开始缓慢重建，从 2022 年 1 月开始通过网络钓鱼活动看到更大的分布。

新的 Emotet 活动还包括新的椭圆曲线加密 (ECC) 方案等功能，该方案取代了用于网络流量保护和验证的 RSA 加密。

而且，新版本只有在与C2建立连接后才会部署进程列表模块。

此外，恶意软件作者现在添加了更多信息收集功能，以更好地进行系统分析，而以前，Emotet 只会发回正在运行的进程列表。

缓慢而稳健的结构调整

Black Lotus 报告称，目前有 200 个独特的 C2 支持 Emotet 的复兴，而且数量缓慢而稳定地增长。目前 C2 的平均活动天数为 29 天。

与之前的时代一样，Emotet 的大部分 C2 基础设施位于美国和德国，其次是法国、巴西、泰国、新加坡、印度尼西亚、加拿大、英国和印度。

在机器人分布方面，重点是日本、印度、印度尼西亚、泰国、南非、墨西哥、美国、中国、巴西和意大利。

威胁分析人士认为，前三个国家名列榜首的原因是该地区过时且易受攻击的 Windows 机器的数量。

正如 Bleeping Computer 在 12 月报道的那样，Emotet 利用 Windows AppX Installer 欺骗漏洞直接从远程源在主机上安装应用程序。

微软在 2021 年 12 月的路径星期二解决了这个问题，被跟踪为 CVE-2021-43890，但由于升级缓慢而不是保留被滥用的 MSIX 处理程序的预期好处，这家软件巨头决定简单地禁用它。

尽管如此，故意切断与 Microsoft 更新服务器连接的盗版 Windows 副本仍然容易受到 Emotet 等恶意软件的攻击。

全球动态
1.FBI：美国52个关键基础设施已被入侵
截至2022年1月，FBI已经确定，在受攻击的10个关键基础设施中，至少有52个关键基础设施被入侵，涉及关键制造业、能源、金融服务、政府和信息技术领域等领域

2.Coinbase查封了25000多个与俄罗斯有关的加密货币地址
3月7日，流行的加密货币交易所 Coinbase宣布，正在封锁25000多个与俄罗斯自然人和实体相关的加密货币地址，一旦确定了这些地址，还将与政府共享，以进一步支持制裁。

3.匿名者黑客组织入侵俄罗斯流媒体，播放乌克兰战争画面
匿名者（Anonymous）黑客组织持续攻击俄罗斯，数小时之前入侵了多个俄罗斯十分受欢迎的流媒体平台，不间断的播放来自乌克兰的战争画面。

4.火狐浏览器被曝存在两个零日漏洞
近日，Mozilla对火狐(Firefox)网络浏览器进行了安全更新，其中包含了两个影响很大的安全漏洞。数据显示，这两个漏洞正在被广泛利用。

5.英伟达泄露数据正被用来制作伪装成驱动的病毒
由于自称为 Lapsus$ 的组织泄露了与英伟达黑客攻击相关的数据，被盗的代码签名证书被用于远程访问未受保护的 PC，其他情况下则被用来部署恶意软件。

6.工信部发布《车联网网络安全和数据安全标准体系建设指南》
《建设指南》提出，到2023年底，初步构建起车联网网络安全和数据安全标准体系，到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制。

安全事件
1.三星承认Galaxy源代码被黑客窃取
三星集团表示，此次泄露涉及一些与Galaxy设备操作相关的源代码，但不涉及我们的消费者或员工的个人信息。

2.Axeda 平台被发现7 个严重漏洞，影响医疗和物联网设备
在 PTC 的 Axeda 代理中发现了一组被统称为的七个漏洞，该解决方案用于远程访问和管理来自 100 多家供应商的 150 多个连接设备。其中三个安全问题的严重性评分至少为 9.4。

3.“脏管道”漏洞被披露，可获得Linux的root权限
安全研究员 Max Kellermann 披露了名为“Dirty Pipe”的新 Linux 漏洞，允许本地用户通过公开可用的漏洞获取 root 权限，将会影响 Linux Kernel 5.8 及更高版本，甚至在 Android 设备上也是如此。

4.全球最大的数字报纸和杂志发行商PressReader 遭受网络攻击
全球最大的数字报纸和杂志发行商PressReader 遭受网络攻击，影响其Branded Editions 网站和应用程序及其 PressReader 网站，导致全球读者无法访问 7000 多种出版物。

5.谷歌要求撤销数据泄露诉讼案，美国最高法驳回
此前，Alphabet股东起诉谷歌，由于谷歌故意隐瞒安全漏洞，导致用户私人数据泄露。2018年10月，有美国媒体报道称，该事件导致谷歌+近50万用户的个人数据泄露。

6.俄乌冲突升级前夕，美国LNG生产商曾遭黑客攻击
据媒体报道，一些黑客在上个月攻击了包括雪佛龙（CVX.US）、Cheniere Energy（LNG.US）和Kinder Morgan（KMI.US）在内的20多家主要天然气生产商的现员工和前员工的电脑。

优质文章
1.乌克兰战争背后的网络攻击和情报活动
本文将根据目前已经监控的攻击情况结合公开的情报对本次冲突下的网络攻击分析梳理和分析，同时进一步的对近日出现的新型数据擦除恶意软件进行深入剖析。

2.揭秘APT36组织的CapraRat恶意软件
透明部落（APT36）是一个来自巴基斯坦的APT攻击组织，以使用社会工程和网络钓鱼诱饵作为切入点而闻名，之后，它部署了Crimson RAT恶意软件来窃取信息它的受害者。

3.如何使用SSRFire自动扫描和发现SSRF漏洞
SSRFire是一款针对SSRF漏洞的自动化漏洞挖掘工具，在该工具的帮助下，广大研究人员只需要给该工具提供一个目标域名和服务器信息，SSRFire将帮助我们自动挖掘出潜在的SSRF漏洞。

研究人员周二警告说，使用大量数据使网站离线的网络犯罪分子正在利用一种前所未有的方法，这种方法有可能将这些洪水的破坏性影响增加前所未有的 40 亿倍。

与许多其他类型的分布式拒绝服务攻击一样，这些攻击会向配置错误的第三方服务发送适量的垃圾数据，从而导致服务将更大的响应重定向到预期目标。所谓的 DDoS 放大攻击很受欢迎，因为它们降低了压倒目标所需的要求。DDoSer 不必整理大量带宽和计算能力，而是在 Internet 上定位服务器，为它们做这件事。

一切都是为了放大

最古老的放大媒介之一是配置错误的 DNS 服务器，它将 DDoS 数量增加了约 54 倍。新的放大路由包括网络时间协议服务器（约 556 倍）、Plex 媒体服务器（约 5 倍）、Microsoft RDP（86 倍）和无连接轻量级目录访问协议（至少 50 倍）。就在上周，研究人员描述了一种新的扩增载体，其系数至少达到 65。

以前，已知最大的放大器是memcached，它有可能将流量增加惊人的 51,000 倍。

最新加入者是 Mitel MiCollab 和 MiVoice Business Express 协作系统。过去一个月，攻击者一直在使用它们对其他市场的金融机构、物流公司、游戏公司和组织进行 DDoS 攻击。一个由 2,600 台服务器组成的机群通过 UDP 端口 10074 将软件中的一个可滥用系统测试设施暴露给 Internet，这与制造商建议的测试只能在内部访问的做法有所不同。
当前的 DDoS 记录为每秒约3.47 TB的容量攻击和每秒约 8.09 亿数据包的耗尽形式。体积 DDoS 的工作方式是消耗目标网络或服务内部的所有可用带宽，或者在目标和 Internet 的其余部分之间获取所有可用带宽。相比之下，耗尽型 DDoSe 会过度使用服务器。

错误配置的 Mitel 服务器提供的新放大矢量有可能打破这些记录。向量能够做到这一点不仅是因为前所未有的 40 亿倍放大潜力，还因为 Mitel 系统可以将攻击延长到以前不可能的时间长度。

“这种特殊的攻击向量不同于大多数 UDP 反射/放大攻击方法，因为暴露的系统测试设施可以被滥用，通过单个欺骗性攻击启动数据包发起持续时间长达 14 小时的 DDoS 攻击，从而导致创纪录的数据包放大比为 4,294,967,296:1，”来自八个组织的研究人员在联合咨询中写道。“对这种 DDoS 攻击向量的受控测试产生了超过 400mpps 的持续 DDoS 攻击流量。”

一个可滥用的节点以每秒 80,000 个数据包的速率产生如此大的放大率，理论上可以提供 14 小时的数据洪流。在那段时间里，跟踪服务器发送的响应数量的“计数器”数据包将产生大约 95.5GB 的放大攻击流量，发往目标网络。单独的“诊断输出”数据包可能会导致额外 2.5TB 的攻击流量指向目标。

只需一个数据包

Mitel MiCollab 和 MiVoice Business Express 服务充当将 PBX 电话通信传输到 Internet 的网关，反之亦然。该产品包括一个用于TP-240 VoIP处理接口卡的驱动程序。客户可以使用驱动程序功能对其互联网网络的容量进行压力测试。Mitel 指示客户仅在专用网络内部而不是整个 Internet 上提供测试，但大约 2,600 台服务器无视该指令。

Mitel 周二发布了软件更新，将自动确保测试功能在内部网络中可用

使用这种新方法的 DDoSer 似乎仍在试验它，到目前为止结果并不理想。迄今为止看到的最大攻击达到了大约 53Mpps 和 23Gbps。该攻击的平均数据包大小约为 60 字节，持续时间约为 5 分钟。研究人员表示，通过改进，这些野外 DDoS 可以实现在他们的实验室实验中实现的前所未有的放大倍数。

在咨询中，研究人员写道：

如前所述，通过这种可滥用的测试工具进行放大与使用大多数其他 UDP 反射/放大 DDoS 向量实现的方式大不相同。通常，反射/放大攻击要求攻击者持续向可滥用节点传输恶意有效载荷，只要他们希望攻击受害者。在 TP-240 反射/放大的情况下，这种持续传输并不是发起高影响 DDoS 攻击的必要条件。

相反，利用 TP-240 反射/放大的攻击者可以使用单个数据包发起高影响 DDoS 攻击。对 tp240dvr 二进制文件的检查表明，由于其设计，攻击者理论上可以使服务对单个恶意命令发出 2,147,483,647 个响应。每个响应都会在网络上生成两个数据包，导致大约 4,294,967,294 个放大的攻击数据包被定向到攻击受害者。

对于命令的每个响应，第一个数据包都包含一个计数器，该计数器随着发送的每个响应而递增。随着计数器值的增加，第一个数据包的大小将从 36 字节增长到 45 字节。第二个数据包包含函数的诊断输出，可能会受到攻击者的影响。通过优化每个启动器数据包以最大化第二个数据包的大小，每个命令将导致最大长度为 1,184 字节的放大数据包。

理论上，单个可滥用节点以 80kpps 的速率生成上限 4,294,967,294 个数据包将导致大约 14 小时的攻击持续时间。在攻击过程中，仅“计数器”数据包就会产生大约 95.5GB 的放大攻击流量，发往目标网络。最大填充的“诊断输出”数据包将额外增加 2.5TB 的针对目标的攻击流量。

这将产生来自单个反射器/放大器的攻击流量接近 393mb/秒的持续泛滥，所有这些都是由长度仅为 1,119 字节的单个欺骗攻击发起者数据包造成的。这导致了一个几乎无法想象的放大率 2,200,288,816:1——一个 2200 亿% 的乘数，由单个数据包触发。

最终用户无法采取任何措施来保护自己免受这种新形式的 DDoS 攻击。相反，由部署 Mitel 服务器的组织来正确配置它们。该公告由来自 Akamai SIRT、Cloudflare、Lumen Black Lotus Labs、Mitel、Netscout Arbor ASERT、Telus、Team Cymru 和 Shadowserver Foundation 的研究人员撰写，提供了组织可以遵循的其他措施。

谷歌周二宣布以 54 亿美元收购网络安全公司 Mandiant，以加强其云服务