恐怕沒有多少人會與全球央行這樣的龐然大物進行對抗,可黑客卻說自己敢。就在昨天,全球著名的黑客組織“匿名者”向含中國人民銀行在內的全球央行“宣戰”。在這起被命名為“opicarus”的行動中,“匿名者”聲稱將通過破壞全球央行的信息系統,來宣揚“正義”。目前,希臘塞浦路斯的中央銀行(centralbank.gov.cy)已經成為這起大戰的首個“犧牲品”,其銀行系統早些時候被DDoS攻擊下線至少35分鐘。
就像是很多暗黑系電影的反派一樣,“匿名者”是一個充滿著理想主義但行事極端的黑客組織。在這次攻擊事件中,有“匿名者”成員透露稱:之所以攻擊全球央行,是因為銀行與各種謀殺、欺詐、陰謀、戰爭暴利、恐怖分子和販毒集團洗錢緊密相關,把數以百萬計的沒有食物或住所的人們趕上街頭,還成功的迫使各國政府保持沉默。
▲匿名者攻擊列表中包含中國人民銀行網站
雖然這些理由不值得認真推敲,但是“匿名者”的網絡攻擊水平還是不容小視的。迄今為止,該黑客組織已經取得了索尼PSN網絡崩潰、使中情局網站癱瘓數個小時、盜取美國司法部數據等累累“戰果”,導致了被攻擊方的嚴重損失。而且,該黑客組織的攻擊目標以引導輿論為第一目標,越是社會影響力大的組織越容易被列入到攻擊目標,這讓很多大型組織聞“匿名者”而色變。
對此IT168網絡安全頻道就此話題,向華為、華三、亞信安全專家進行了請教,實錄如下:
1、 對于此次事件,華為安全認為匿名者可能采用了哪些技術手段?
【華為未然安全實驗室研究員楊多】參與此次Operation Icarus 運動的Anonymous成員,使用了LOIC(Low Orbit Ion Cannon,可發起TCP,UDP,HTTP Flood攻擊)工具發起DDOS攻擊,并利用VPN/proxy做隱藏,此外,Anonymous組織還公布了該類工具的使用教程和Free VPN 地址(CyberGhost)。除此之外,HOIC(High Orbit Ion Cannon), ByteDOS等DDOS工具也被Anonymous組織廣泛使用。但也不排除在攻擊中會使用其他手段,比如在2015年底,Anonymous組織對土耳其的DDOS攻擊就使用了UDP Flood、NTP Flood、DNS反射放大攻擊、SSDP flood、SYN Flood、SIP Flood、SYN-ACK Flood、FIN/RST flood、HTTP Get Flood等攻擊手段,攻擊峰值高達40Gbps。
2、對于已經列入攻擊目標的銀行,華為安全建議應該采取哪些措施?
【華為未然安全實驗室研究員楊多】針對攻擊目標明確、流量大、攻擊手段分散的特點, 建議采取分級防御策略:
(1)在銀行數據中心出口 部署高性能防火墻或NGFW, 以及專業的DDOS防護設備。 在防火墻上可以嚴格限制非業務流量的訪問,可減緩ICMP Flood、UDP Flood等協議層Flood攻擊; 專業DDOS設備可以有效防御各種協議層、應用層Flood攻擊 。
(2)對于超大流量的DDOS攻擊, 會導致銀行數據中心的整個出口阻塞, 需要借助運營商從城域網的入口等上級節點進行防御。 一些運營商(如中國電信云堤)已經開展專業的DDOS清洗服務 ,并能通過各地云清洗中心聯動進行近源清洗。
(3)銀行要建立快速的DDOS攻擊防御和恢復機制, 方便遭受新類型攻擊時盡快恢復業務。
1、 對于此次事件,華三安全認為匿名者可能采用了哪些技術手段?
[HSC答復] 5.5日,黑客組織匿名者(Anonymous)向包括中國人民銀行在內的全球央行宣戰,并于當日攻陷希臘央行,其主要手段則是采用了DDoS攻擊。
之前,他們就采用類似手段攻擊過土耳其銀行以及匯豐銀行。加上2014年匿名者發起過的一系列的DDoS攻擊,我們有理由猜測這種類型的攻擊手段還將會持續。
DDoS攻擊是一種分布式拒絕服務攻擊,如果使用部分協議的放大效果,則更能立竿見影的達到攻陷網站的目的。另外,除了DDoS攻擊造成的網絡癱瘓,黑客還有可能使用這些手段:比如使用Doxes攻擊,通過社會工程
獲取網站管理員的社交賬號及其密碼編碼偏好,個人住址、喜好等,以及各大主流網站泄露的賬號密碼信息嘗試管理員賬號密碼猜解,直接獲得網站控制權。
此外,黑客也可能嘗試修改DNS記錄,重定向網頁達到丑化或宣揚其政治訴求的目的,以及通過傳統的SQL注入來獲取網站數據庫,或向目標發送釣魚郵件獲取密碼等敏感信息,
也不排除會使用水坑式攻擊在管理員經常訪問的網站上放置惡意程序。還可能使用到近幾年興起的APT攻擊,黑客如果已對攻擊目標進行了長時間的滲透和潛伏,則可能在最后一刻一舉攻破目標服務器。
2、 對于已經列入攻擊目標的銀行,華三安全建議應該采取哪些措施?
[HSC答復] 從匿名者一貫發起DDoS的行為特征上看,DDoS攻擊可能會分成兩個階段,第一波攻擊可能較短(幾分鐘),但第二波攻擊時間很長(大于6小時),因此,建議做好抗D和IPS產品正確策略部署,
提前發現攔截以降低風險。同時密切監控網絡流量的異常行為(如華三天機系統),并根據需要部署WAF和防篡改設備。網管需要定期對這些設備的運行情況和策略生效情況做好檢查,并應迅速對全網IT系統開展自檢,
包括:
檢查并消除弱密碼、默認密碼甚至空密碼,并確保這些密碼的編寫風格與個人賬號密碼習慣不同;
采用多因素認證驗證用戶身份(有一些雙因子認證也存在隱患。如RSA公司曾被入侵過,不排除其產品RSA SecurID可能存在風險);
檢查VPN配置和軟件版本;
對來源可疑的郵件不好奇、不查看不點擊,必要時引入沙箱運行監測;
主動進行網站的滲透測試、代碼審計、壓力測試;
通域名注冊商溝通,約定只能通過書面的形式修改DNS的各項記錄;
關注匿名者的最新動態和發布的攻擊名單,甚至使用的技術手段,提前做好針對性應對;
部署抗D設備、異常流量監測系統。在IPS、WAF產品上開啟XSS、SQLi等規則并保持對日志的密切關注;
3、目前,DDoS攻擊猖狂,無論是“無敵艦隊”還是此次的匿名者都是采取了DDoS攻擊,那么在抗D方面,華三安全的解決方案是什么?
華三防DDos成為“流量清洗解決方案”,偏重于運營商側防御,通過在城域網旁掛流量清洗中心,在不影響正常業務的同時,對城域網中出現的DDoS攻擊流量進行過濾,實現對城域網和大客戶網絡業務的保護。
首先,從運營商的角度來看,通過對城域網中大量的DDoS流量的過濾,可以有效減小城域網自身的負載,為城域網所承載的高價值業務提供有效的質量保障。可以在減小對城域網擴容壓力的同時保證高價值客戶的網絡業務質量,從而保持現有高價值客戶的忠誠度,并且吸引新的高價值客戶的接入。
從城域網中接入的大客戶的角度來看,在運營商側過濾掉針對自身的DDoS攻擊流量,可以有效保障大客戶對外網絡業務的永續運轉。在保障大客戶經濟利益不受損失的同時,還減小了大客戶因傳統防御DDoS攻擊手段所帶來的性能擴容的建設成本和運維成本。
“流量清洗解決方案”提供的服務包括:網絡業務流量監控和分析、安全基線制定、安全事件通告、異常流量過濾、安全事件處理報告等。“流量清洗解決方案”的實施,減輕了來自于DDoS攻擊流量對城域網造成的壓力,提升帶寬利用的有效性;保護用戶網絡免受來自互聯網的攻擊,提高網絡性能,實現其核心業務的永續,保障其核心競爭力。
1、對于此次事件,亞新安全認為匿名者可能采用了哪些技術手段?
亞信安全技術總經理蔡昇欽:“匿名者的攻擊行動往往出于政治性目的,他們通常使用doxes、DNS攻擊、丑化、重定向、DDoS攻擊、數據庫資料泄露等攻擊手段,破壞攻擊目標的網絡及數據。更大的威脅在于,黑客很可能采用緩慢滲透的方式來侵入防護嚴密的目標,這種高級持續性威脅(APT攻擊)不僅防范難度高,而且破壞力更大。”
2、對于被列入攻擊目標的銀行組織,亞信安全建議用戶采取以下措施:
●加大網絡安全監控力度,尤其要關注網絡中任何可疑的攻擊跡象。
●密切關注“匿名者”組織在目標、工具、動機上的變化,及他們發布的新聞動向,這些信息將有利于用戶調整防御側重點。
●黑客有可能通過任何方式來對網絡進行攻擊,所以千萬不要只針對某一點來進行防御,而是應該確保所有IT系統(操作系統,應用程序,網站等等)的安全性。
●高度關注IT和IT安全系統日志,對任何異常數據進行分析研究。例如,在事前通過亞信安全威脅發現設備(TDA)的啟發式偵測與沙盒分析提示,監測出攻擊的“蛛絲馬跡”,并定制相應的防御策略。
京公網安備 11010502049343號