HTML5屬性a標籤ping被用於DDOS攻擊,QQ瀏覽器被波及
一直以來,DDoS攻擊就是網路基礎設施和web應用的主要威脅。攻擊者也在不斷創建新的方式來利用合法服務進行惡意行為,迫使研究人員在CDN DDoS攻擊方面進行持續研究並構建高級緩解措施。
研究人員近期調查了一起主要來自亞洲用戶產生的DDOS攻擊事件。攻擊者使用了通用HTML5屬性 tag ping來誘使用戶在不經意間就參與了DDOS攻擊,攻擊中4個小時內對一個web站點發起了約7000萬次的請求。
但是攻擊者並不是利用了某個漏洞,而是將一個合法的特徵變成了攻擊工具。幾乎所有參與攻擊的殭屍主機用戶都是騰訊QQ瀏覽器的用戶,主要用戶也是漢語國家用戶。最新消息證明攻擊還在持續。
攻擊原理
Ping是HTML5中的一個新特徵,用戶在瀏覽頁面的時候就知道這個鏈接(也就是你上面的URL)是否真實有效,如果這個鏈接已經失效了,就用一些通知(比如將鏈接加上刪除線)來標識這樣的URL。當用戶點擊連接時,就會發送一個ping的POST請求給屬性中指定的URL,包括首部Ping-From, Ping-To, 「text/ping」內容類型。
一個含有ping屬性的鏈接的HTML頁面如下所示:
含有ping的POST請求
WordPress CMS中也使用Pingback特徵來通知網站所有者鏈接是否被點擊過。攻擊者也使用過Pingback以發送上百萬有漏洞的WordPress示例來執行DDOS攻擊。
除了使用HTML5 ping特徵外,DDOS攻擊中參與的移動用戶主要來自同一個區域,這在之前的基於相同瀏覽器的DDOS攻擊中是非常少見的。
研究人員分析發現有大約4000個用戶IP參與了攻擊,絕大多數來自於中國。在4小時的攻擊活動中,請求生成的峰值是7500個每秒,一共生成了超過7000萬個請求。
研究人員通過日誌分析的方式來分析攻擊,發現所有的惡意請求中都含有HTTP首部「Ping-From」和「Ping-To」。這也是研究人員首先遇到使用 tag ping屬性來發起DDOS攻擊。
DDOS攻擊生成的請求樣本
可疑的URL中含有非常簡單的HTML頁面,其中包含2個外部JS文件,分別是ou.js和yo.js。
「ou.js」有一個含有URL的JS數組,就是DDOS攻擊的目標。
「OU.JS」源碼
「yo.js」有一個函數可以從數組中隨機選擇目標,並創建一個指向該URL的含有ping屬性的 tag。
每秒鐘都會創建一個 tag,並自動編程點擊發送一個到目標網站的ping請求。
合法的用戶也會被誘騙來訪問這些網站,被動地參與DDOS攻擊。只要用戶停留在該頁面,就會持續不斷地產生ping請求。
「yo.js」JS源碼
有一個問題是如何讓用戶儘可能長的留在web頁面來持續觸發ping請求,維持DDOS攻擊的流量呢?
因此研究人員得出結論就是惡意廣告加上社會工程攻擊來觸發可疑的微信用戶打開瀏覽器。比如:
·攻擊者出入惡意廣告來載入一個可疑的網頁
·到含有惡意廣告的合法站點的鏈接出現在微信群中
·合法用戶訪問含有惡意廣告的網頁
·JS代碼執行,創建一個含有ping屬性的鏈接
·生成HTTP ping請求,並從合法用戶的瀏覽器發送到目標域
總結
本次攻擊活動中主要是使用QQ瀏覽器來發起DDOS攻擊,但是其他web瀏覽器也可以被利用來發起ping attack。而瀏覽器開發者採取了措施讓用戶很難關掉瀏覽器的ping特徵,這樣用戶不可避免的會參與攻擊。
但web伺服器仍然可以通過防火牆、WAF等攔截含有「Ping-To」、「Ping-From」 HTTP headers的請求。攻擊者在不斷尋找新的方式來濫用合法服務進行惡意攻擊,網路攻防永無止境。
※風雲再起,APT28或將攪局烏克蘭大選
※CVE-2019-0841:Windows許可權提升漏洞PoC
TAG:嘶吼RoarTalk |