又出現新的殭屍大軍Leet，攻擊規模達到650Gbps還會隱藏IP

資安公司Imperva兩名資安研究人員Avishay Zawoznik和Dima Bekerman在12月26日在官方部落格揭露，一組殭屍網路對Incapsula用戶，發動兩次大規模DDoS攻擊，最大攻擊強度為650 Gbps。但他們觀察到，攻擊來源並非是今年常見的殭屍網路Mirai，而是一個新出現的殭屍網路Leet（資安人員從攻擊封包看到1337數字特徵，在駭客術語上相當於Leet之意，故命名之）。目前，Leet殭屍網路偽造了IP（spoofed IPs），所以還無法得知發動攻擊的國家和發動攻擊的裝置類型。

資安研究員在12月21日早上10時55分發現，部分Incapsula用戶突然遭受DDoS攻擊，攻擊流量暴增到400Gbps，攻擊時間長達20分鐘。直到11點15分，駭客才停止第一波的攻擊。之後，駭客又在11點21分發動第二波DDoS攻擊，這次攻擊強度更高，偵測到的最高攻擊流量為650 Gbps，攻擊時間持續了17分鐘。

這次發動攻擊的殭屍網路Leet，最高攻擊量高達650 Gbps。圖片來源：Imperva

這篇分析認為，這次DDoS攻擊模式與先前殭屍網路Mirai攻擊模式有很大差異。首先，此次攻擊無法辨識出攻擊裝置特徵和攻擊來源。過去，殭屍網路Mirai可以追蹤到攻擊裝置與來源，但是這次追蹤攻擊來源的IP位址，發現都是偽造IP（spoofed IPs），無法瞭解任何攻擊來源的資訊。

第二，攻擊者在正常SYN封包上面有留下leet或是elite的「簽名」。這次DDoS攻擊的攻擊流量包含兩種SYN封包負載（payload），一個是正常的SYN封包，每一個封包大小約在44bytes到60bytes不等。另一個異常的SYN封包大小，每一個約在799bytes到936bytes之間，可利用來擴大攻擊容量到650 Gbps。特別的是，正常SYN封包的TCP封包紀錄上面出現「1337」的數值，如果從歐美地區的駭客術語（leetspeak）來解讀，顯示的是leet或elite這兩個詞彙。所以，從TCP封包紀錄的「簽名」來看，leet或elite發動這次DDoS攻擊殭屍網路的名字，而不是Mirai。

正常SYN封包的TCP封包紀錄上面出現「1337」的數值，歐美地區駭客語常用這數字表示leet或elite的字詞。圖片來源：Imperva

最後，這次嵌入在發動攻擊的SYN封包負載字串顯示出，這些封包來自於實際的系統文件，而不是像Mirai殭屍網路是以亂數的字串呈現。所以，兩名資安研究人員判斷，從以上這些資料看來，發動這次攻擊並不是Mirai變種，而是新出現的殭屍網路。

這次殭屍網路Leet發動攻擊的強度高達650Gbps，幾乎跟殭屍網路Mirai在今年6月攻擊資安網站Krebs On Security的620 Gbps強度一樣。Imperva判斷，殭屍網路Leet在未來可能會成為殭屍網路Mirai的對手。而且，更危險的是，之後會有更多類似殭屍網路Leet、殭屍網路Mirai等這樣新的殭屍網路出現。