一项名为”Panamorfi”的最新分布式拒绝服务(DDoS)攻击活动正在网络安全社区中引起轰动。与传统的DDoS攻击不同,这次活动专门针对在线暴露的配置错误的Jupyter笔记本。该活动背后的威胁行为者,被称为yawixooo,利用一个公开可用的Minecraft服务器DDoS工具来淹没目标服务器。
攻击解剖
根据Aqua Nautilus的研究人员,攻击始于威胁行为者获得对面向互联网的笔记本的初始访问权限。然后他们执行一个命令,从文件共享平台下载一个zip文件。这个大小约为17 MB,以一串随机字符命名的zip文件包含两个名为conn.jar和mineping.jar的Jar文件。这些Jar文件以前在安全公司中是未知的,每个只有一个检测。
“conn.jar”文件在攻击中起着关键作用。它利用Discord来控制DDoS操作。受害者的机器连接到指定的Discord频道,加载”mineping.jar”文件。该文件是一个众所周知的Minecraft服务器DDoS工具,可在GitHub上找到,其中包含多个用于不同功能的Java文件。
攻击执行
一旦部署了Minecraft服务器DDoS工具,威胁行为者就会发起TCP flood DDoS攻击。主要目标是耗尽目标服务器的资源。攻击者已经设置工具将攻击结果直接写入Discord频道,使他们能够实时监测攻击的影响。
减轻威胁
幸运的是,Aqua Nautilus的研究人员能够通过实施一个阻止执行conn.jar文件的运行时策略来干预并阻止攻击。采取这些积极措施有效地中和了整个活动。
为了防范类似的活动,关键是遵循这些减轻策略:
– 实施安全做法,限制对Jupyter笔记本的访问。
– 阻止与活动相关文件(如conn.jar和mineping.jar)的执行。
– 限制Jupyter笔记本中的代码执行。
– 定期使用最新的安全补丁更新Jupyter笔记本。
此外,建议不要在Jupyter笔记本上共享敏感信息或凭据,因为它们可能成为威胁行为者的有吸引力的目标。
通过保持警惕并采取这些防御措施,数据从业者如数据工程师、数据分析师和数据科学家可以保护自己免受Panamorfi DDoS活动和未来类似攻击的危害。
未在文章中提到的事实:
– Jupyter笔记本是数据科学和机器学习中常用的工具,用于数据探索、分析和协作。
– 配置错误的Jupyter笔记本可能会将代码和敏感数据暴露到互联网,使其易受攻击。
– Jupyter笔记本通常在Python或R内核中运行代码,允许用户执行命令和操纵数据。
– DDoS攻击旨在通过来自多个源的流量淹没目标服务器或网站,以破坏其可用性。
– Discord是游戏玩家常用的通信平台,但在这种情况下,它被用作DDoS操作的控制通道。