噪音风暴：自 2020 年以来观察到神秘的大规模欺骗流量浪潮

自 2020 年 1 月以来，威胁情报公司GreyNoise Intelligence 一直在追踪一种神秘现象，该现象由大量欺骗性流量组成，专家将其称为“Noise Storms（噪声风暴）”。

尽管对流量进行了调查，但该公司仍未查明这些风暴背后的原因。这些奇怪的流量可能与隐蔽通信、分布式拒绝服务 (DDoS) 攻击或配置错误有关。

专家们观察到数百万个欺骗性 IP 针对 Cogent、Hurricane Electric 和 Lumen 等主要互联网提供商，同时故意避开 AWS。

GreyNoise 推测，这些神秘流量背后可能是一个“目的明确”的复杂威胁组织。虽然这些流量似乎来自巴西，有迹象表明，威胁组织在故意混淆以掩盖其真实来源。

GreyNoise 发布的报告指出：“TTL 操纵、操作系统模拟和精确定位等先进技术使得这些噪声风暴不仅难以检测，而且难以阻止。” “这些特征表明攻击者非常老练，有明确的目标，但最终目的仍不明确。”

与噪声风暴相关的流量由数百万个欺骗性的 IP 地址组成，这些 IP 地址会产生极不寻常的网络活动，主要关注与端口 443（HTTPS）的 TCP 连接和 ICMP 数据包。

但是，流量不包含通常与 DDoS 攻击相关的 UDP 数据包，可能是为了避免监控 UDP 协议的检测工具。

专家们注意到，威胁组织将网络流量包的生存时间 (TTL) 值设置在 120 到 200 之间，模仿真实的网络跳数和 TCP 流量，以模拟来自各种操作系统的数据包。

“这些特征表明，犯罪行为者手段老练，有预谋，但专家们对这些活动的目的仍不甚了解。”

最近的“噪音风暴”包括 ICMP 数据包中的 ASCII 字符串“LOVE”，这增加了人们的好奇心，并让专家们相信这些流量可能属于秘密通信。

分析显示，与流量相关的自治系统编号 (ASN) 连接到某些平台的内容分发网络 (CDN)。这引发了人们对可能故意混淆的担忧，表明有更老练的参与者参与其中。

潜在动机和后果

尽管经过多年的观察和分析，噪声风暴的真正本质仍然难以捉摸。网络安全界推测，该活动理论上可以：

• 隐蔽的沟通渠道

• 复杂的 DDoS 攻击

• 路由器配置错误

• 制定指挥和控制机制

• 试图制造网络拥塞以操纵流量

四年来，噪声风暴的持续和演变凸显了现代网络威胁的复杂性。随着这些事件不断改变并让研究人员感到困惑，它们提醒人们互联网安全的格局可能瞬息万变。

噪声风暴提醒我们，威胁可能以不寻常和奇怪的方式表现出来，这凸显了超越传统安全措施的适应性策略和工具的必要性。

报告原文：

https://www.greynoise.io/blog/greynoise-reveals-new-internet-noise-storm-secret-messages-and-the-china-connection

链接：

https://securityaffairs.com/168710/breaking-news/noise-storms-mysterious-spoofed-traffic.html

讲述普通人能听懂的安全故事