勒索軟件占據(jù)網(wǎng)絡(luò)犯罪生態(tài)中心舞臺位置,僅去年就造成10億+美元的全球損失,,為網(wǎng)絡(luò)罪犯賺取幾億美元的利潤,。同時,傳統(tǒng)上被用來勒索企業(yè)的分布式拒絕服務(wù)(DDoS)攻擊亦卷土重來,。勒索軟件組織甚至使用DDoS攻擊增加受害者支付贖金的壓力,。
根據(jù)近期多家內(nèi)容分發(fā)網(wǎng)絡(luò)和DDoS緩解提供商的年度報告,2020年是DDoS攻擊破紀錄的一年,,攻擊數(shù)量,、攻擊規(guī)模和所用攻擊方法數(shù)量均突破歷史記錄。DDoS勒索的死灰復(fù)燃可能是受新冠肺炎疫情的驅(qū)動:疫情迫使公司為其大多數(shù)員工啟用遠程辦公功能,,導致公司更易遭受業(yè)務(wù)運營中斷威脅,,在攻擊者眼中也就成了更愿意支付勒索費的目標。
2021年延續(xù)了這一趨勢,。今年2月,,阿卡邁錄得六起史上最大規(guī)模DDoS攻擊中的三起,2021年頭三個月里超過50Gbps的DDoS攻擊數(shù)量就已經(jīng)比2019年全年還多了,。阿卡邁估測,,沒有設(shè)置DDoS緩解措施的絕大多數(shù)在線服務(wù),遭遇50Gbps以上的攻擊時,,會因帶寬飽和而掉線,。
DDoS勒索回歸
DDoS攻擊背后的動機各種各樣:從無良企業(yè)主想要中斷競爭對手的服務(wù),,到激進黑客想要向自己反對的組織表明主張,再到不同團體之間的競爭而造成的單純破壞行為,。然而,,勒索一直是推動此類非法活動的最大因素,而且可以說是最賺錢的一個因素,,因為發(fā)起DDoS攻擊實在要不了多少投資,。DDoS租賃服務(wù)的費用甚至低到每次攻擊僅7美元,幾乎任何人都負擔得起,。
事實上,,應(yīng)用和網(wǎng)絡(luò)性能監(jiān)測公司Netscout Systems的數(shù)據(jù)表明,網(wǎng)絡(luò)罪犯向潛在客戶展示其DDoS能力才是此類攻擊的頭號動機,,其次是與在線游戲相關(guān)的動機(疫情期間很多人都靠這個打發(fā)時間),,然后才是勒索。攻擊者也常常用DDoS攻擊作為偽裝,,讓公司IT和安全團隊無暇顧及檢測其網(wǎng)絡(luò)上的其他惡意活動,,比如基礎(chǔ)設(shè)施入侵和數(shù)據(jù)滲漏。
2020年8月開始,,勒索DDoS(RDDoS)事件案例激增,,原因是多個勒索軟件團伙將DDoS用作額外的勒索技術(shù),但也有部分原因在于某個網(wǎng)絡(luò)犯罪團伙在偽裝俄羅斯奇幻熊(Fancy Bear)或朝鮮Lazarus Group等黑客國家隊發(fā)起攻擊,。這個名為Lazarus Bear Armada (LBA)的網(wǎng)絡(luò)犯罪團伙首先針對選定目標發(fā)起一波范圍在50Gbps到300Gbps之間的演示性DDoS攻擊,。然后,該團伙發(fā)出勒索電子郵件,,宣稱擁有2Tbps規(guī)模DDoS攻擊的能力,,以此勒索目標公司支付比特幣。在這些電子郵件中,,攻擊者宣稱自己隸屬常見諸于新聞報道的幾個著名網(wǎng)絡(luò)犯罪組織,,借此提高自身可信度。很多案例中,,即使目標公司未支付贖金,,該團伙也沒有繼續(xù)發(fā)起更多攻擊,但有時候確實會再次攻擊,。而且,,一段時間后,他們還會回過頭來再咬一口之前的受害者,。
該團伙主要針對世界范圍內(nèi)金融,、零售、旅游和電子商務(wù)行業(yè)的企業(yè),似乎還會做偵察和規(guī)劃,。他們會識別受害公司可能監(jiān)測的非通用電子郵件地址,,并以關(guān)鍵但不明顯的應(yīng)用、服務(wù)和VPN集線器為目標,,表明其規(guī)劃水平比較高級,。多家安全供應(yīng)商和美國聯(lián)邦調(diào)查局(FBI)已經(jīng)就該團伙的活動發(fā)布過警示。
不同于僅依賴RDDoS從企業(yè)勒索金錢的LBA等團伙,,勒索軟件犯罪組織將DDoS作為說服受害者支付原始贖金的額外砝碼,,與使用數(shù)據(jù)泄露作為威脅的方式異曲同工。換句話說,,一些勒索軟件攻擊目前已經(jīng)演變?yōu)榫C合了加密,、數(shù)據(jù)盜竊和DDoS攻擊的三重威脅。以這種方式使用或聲稱要使用DDoS攻擊的一些勒索軟件團伙包括Avaddon,、SunCrypt,、Ragnar Locker和REvil。
與勒索軟件攻擊的情況類似,,我們很難說清楚到底有多少RDDoS受害者支付了贖金,但此類攻擊的數(shù)量,、規(guī)模和頻率一直在上升的事實,,充分說明了這一活動足夠有利可圖。這或許是因為DDoS租賃服務(wù)遍地開花且不需要很多技術(shù)知識,,導致其準入門檻比勒索軟件本身要低得多,。Cloudflare在最近的報告中寫道:“2021年第一季度,遭遇DDoS攻擊的受訪Cloudflare客戶中,,有13%表示遭到RDDoS攻擊勒索,,或提前收到了威脅?!?/p>
阿卡邁觀測到,,遭攻擊公司的數(shù)量比去年同期增加了57%;Netscout則報告稱,,年度DDoS攻擊數(shù)量首次超過了1000萬的閾值,。
上月,阿卡邁研究人員在報告中稱:“堅守可獲得巨額比特幣支付的希望,,網(wǎng)絡(luò)罪犯已經(jīng)開始加大努力和擴展攻擊帶寬,,使得DDoS勒索已成舊聞的說法通通煙消云散?!弊罱淮卫账鞴舻姆逯党^800Gbps,,目標是一家歐洲賭博公司,這是自2020年8月中旬勒索攻擊普遍回歸以來,我們見過的規(guī)模最大,、最復(fù)雜的一次,。自那次攻擊開始,武力展示型攻擊已從8月的200+Gbps增長到9月中旬的500+Gbps,,然后在2021年2月膨脹到800+Gbps,。“
新攻擊方法加入導致攻擊復(fù)雜度上升
阿卡邁透露,,去年觀測到的DDoS攻擊中近三分之二包含多種攻擊方法,,有些甚至含有14種之多。Netscout也報告稱多方法攻擊顯著上升,,尤其是2020年末,,以及超過15種不同方法的攻擊。該公司觀測到的攻擊中還有綜合使用了25種不同方法的,。
濫用多個UDP類協(xié)議的DDoS反射和放大攻擊依然非常流行,。這種攻擊技術(shù)中,攻擊者以偽造的源IP地址向互聯(lián)網(wǎng)上防護不周的服務(wù)器發(fā)送數(shù)據(jù)包,,迫使這些服務(wù)器將回復(fù)發(fā)送給既定受害者而不是攻擊者本人,。這能達成兩個目的:一是反射,因為受害者看到的是來自合法服務(wù)器的流量,,而不是來自攻擊者僵尸主機的流量,;二是放大,因為攻擊者可以濫用某些協(xié)議為短查詢產(chǎn)生更大的回復(fù)包,,放大攻擊者可以觸發(fā)的數(shù)據(jù)包的規(guī)?;蝾l率。DDoS攻擊的規(guī)模有兩種計算方式:按能夠飽和帶寬的每秒流量大小計算,,或者用能夠飽和服務(wù)器處理能力的每秒數(shù)據(jù)包數(shù)量表示,。
2020年最常見的DDoS攻擊方法與過去幾年保持一致,都是DNS放大攻擊,。常用于放大攻擊的其他協(xié)議包括網(wǎng)絡(luò)時間協(xié)議(NTP),、無連接輕型目錄訪問協(xié)議(CLDAP)、簡單服務(wù)發(fā)現(xiàn)協(xié)議(SSDP)和Web服務(wù)發(fā)現(xiàn)(WDS或WS-DD),、基于UDP的遠程桌面協(xié)議(RDP)和數(shù)據(jù)報傳輸層安全(DTLS),。
攻擊者經(jīng)常尋找可以繞過現(xiàn)有防御措施和緩解策略的新攻擊方法和協(xié)議。今年3月,,阿卡邁首次觀測到依賴數(shù)據(jù)報擁塞控制協(xié)議(DCCP)的新型攻擊方法,。數(shù)據(jù)報擁塞控制協(xié)議是類似于UDP的網(wǎng)絡(luò)數(shù)據(jù)傳輸協(xié)議,但具備UDP所欠缺的擁塞和流量控制功能,。目前為止,,阿卡邁觀測到的此類攻擊是典型的流量洪水,旨在繞過基于UDP和TCP的緩解措施。該協(xié)議在技術(shù)上也可以用于反射和放大攻擊場景,,但互聯(lián)網(wǎng)上使用該協(xié)議的服務(wù)器不多,,不足以濫用來反射流量。
Netscout的研究人員總結(jié)道:”可以濫用的UDP開源和商業(yè)應(yīng)用與服務(wù)對攻擊者來說是寶貴的資產(chǎn),,他們挖掘此類資產(chǎn)以發(fā)現(xiàn)新的反射/放大DDoS攻擊方法,,從而推動新一波攻擊?!按祟惏咐≒lex Media Server的SSDP實現(xiàn),,以及Jenkins軟件開發(fā)自動化服務(wù)器所用的UDP網(wǎng)絡(luò)發(fā)現(xiàn)協(xié)議。
在Netscout看來,,去年常見的其他DDoS攻擊方法包括TCP ACK,、TCP SYN、TCP reset,、TCP ACK/SYN放大和DNS洪水,。
DDoS僵尸網(wǎng)絡(luò)誘捕物聯(lián)網(wǎng)和移動設(shè)備
由被黑設(shè)備和服務(wù)器組成的僵尸網(wǎng)絡(luò)是DDoS攻擊背后的驅(qū)動力。感染網(wǎng)絡(luò)設(shè)備的Mirai惡意軟件變種仍在2020年主流DDoS僵尸網(wǎng)絡(luò)中占據(jù)顯著位置,。這些設(shè)備常被攻擊者通過弱憑證或默認憑證入侵,,Netscout的觀測結(jié)果表明,相比2019年,,Telnet和Secure Shell(SSH)暴力破解攻擊增加了42%,。
此外,被黑Android移動設(shè)備也被用于發(fā)起DDoS攻擊,。2月,中國安全公司奇虎360網(wǎng)絡(luò)安全部門Netlab的研究人員報告了名為Matryosh的新僵尸網(wǎng)絡(luò),,該僵尸網(wǎng)絡(luò)通過Android設(shè)備暴露在互聯(lián)網(wǎng)上的ADB(Android調(diào)試橋)接口入侵設(shè)備,。在Netscout的年度云與互聯(lián)網(wǎng)服務(wù)提供商調(diào)查報告中,近四分之一的受訪者表示看到移動設(shè)備被用于發(fā)起DDoS設(shè)備,。