本文来自微信公众号“嘶吼专业版”,【作者】胡金鱼。
互联网情报公司GreyNoise报告称,自2020年1月以来,它一直在追踪包含伪造互联网流量的大量“噪音风暴”。
然而,尽管进行了广泛的分析,仍未得出其来源和目的的结论。这些噪音风暴被怀疑是秘密通信、DDoS攻击协调信号、恶意软件操作的秘密指挥和控制(C2)通道,或配置错误的结果。
一个奇怪的方面是生成的ICMP数据包中存在“LOVE”ASCII字符串,这进一步增加了对其目的的猜测,并使案件更加有趣。
GreyNoise发布此信息,希望网络安全研究人员社区能够帮助解开这个谜团,并揭示出造成这些奇怪噪音风暴的原因。
噪音风暴的特征
GreyNoise观察到大量伪造的互联网流量,这些流量来自QQ、微信和WePay等各种来源的数百万个伪造IP地址。
这些“风暴”会向Cogent、Lumen和Hurricane Electric等特定互联网服务提供商发起大量流量,但会避开其他服务提供商,尤其是亚马逊网络服务(AWS)。
流量主要集中于TCP连接,特别是针对端口443,但也有大量ICMP数据包,最近其中包括嵌入的ASCII字符串“LOVE”,如下所示。
包含“Love”字符串的ICMP数据包
TCP流量还会调整窗口大小等参数来模拟不同的操作系统,使活动保持隐秘,难以被精确定位。生存时间(TTL)值决定了数据包在被丢弃之前在网络上停留的时间,该值设置在120到200之间,以模拟真实的网络跳数。
总而言之,这些“噪音风暴”的形式和特征表明,是参与者的蓄意所为,而不是错误配置的大规模产物。
GreyNoise呼吁共同解决
这种奇怪的流量模仿合法的数据流,虽然尚不清楚它是否是恶意的,但其真正目的仍然是个谜。GreyNoise在GitHub上发布了最近两次噪音风暴事件的数据包捕获(PCAP),邀请网络安全研究人员加入调查,集思广益建言献策,以帮助解开这个谜团。
GreyNoise强调:“噪声风暴提醒我们,威胁可能以不同寻常和怪异的方式出现,这恰恰凸显了超越传统安全措施的适应性策略和工具的必要性。”
参考及来源:https://www.bleepingcomputer.com/news/security/unexplained-noise-storms-flood-the-internet-puzzle-experts/
