2015年11月起,南非第一國(guó)家銀行就在與垂涎金錢(qián)的網(wǎng)絡(luò)罪犯做斗爭(zhēng)。
2015年11月,南非第一國(guó)家銀行收到了來(lái)自 Armada Collective 的勒索郵件,跟著就是一波戲弄性質(zhì)的洪水攻擊,類(lèi)似某種能力證明和攻擊宣言。
銀行官方?jīng)]有退縮。Radware最近發(fā)布的《全球應(yīng)用&安全》調(diào)查報(bào)告稱(chēng),勒索郵件是在下班時(shí)間發(fā)送到公司一個(gè)無(wú)人看顧的郵箱中的,銀行在官員發(fā)現(xiàn)該郵件前就檢測(cè)并緩解了試探洪水攻擊。因?yàn)橛谢旌螪DoS緩解解決方案,洪水攻擊沒(méi)有產(chǎn)生任何影響,并被快速轉(zhuǎn)移到清洗中心進(jìn)行清除。
報(bào)告揭示:勒索攻擊是如今最普遍的威脅——從2015年的25%增長(zhǎng)到2016年的41%。是什么推動(dòng)了如此巨大的增長(zhǎng)?網(wǎng)絡(luò)勒索可成為暴利“行業(yè)”。這種形式的勒索比以往更快、更簡(jiǎn)單、更便宜,留給受害者的響應(yīng)窗口時(shí)間非常短,一晃眼就可能要承受系統(tǒng)中斷、運(yùn)營(yíng)停滯的慘痛損失。
今時(shí)今日的勒索郵件攻擊不同于普通勒索軟件,可將公司數(shù)據(jù)當(dāng)做人質(zhì),不見(jiàn)贖金不放數(shù)據(jù)。
一名網(wǎng)絡(luò)架構(gòu)師在報(bào)告中解釋稱(chēng):因?yàn)殂y行地處南非,與世界其他地方區(qū)隔開(kāi)來(lái),這就既蘊(yùn)含了公司保護(hù)自己的能力(比如在轉(zhuǎn)移攻擊流量上的延遲),又限制了攻擊者使用大規(guī)模攻擊的能力;黑客在南非甚至搞不到半TB的流量。
試探攻擊可能有300MB的流量。作為安全預(yù)防,受到洪水攻擊和接到勒索郵件時(shí),會(huì)在勒索截止日前,將網(wǎng)絡(luò)流量導(dǎo)引到DDoS緩解廠商的清洗中心。執(zhí)行勒索攻擊的黑客應(yīng)該會(huì)看到流量被轉(zhuǎn)移,也就明白了發(fā)起試探攻擊沒(méi)有效果。
該銀行也認(rèn)為,自己向 Armada Collective 及其他勒索團(tuán)伙發(fā)送了一個(gè)信號(hào)。“通過(guò)采取強(qiáng)力決定性行動(dòng),向黑客發(fā)出我們不會(huì)成為受害者的信息。”
2016年4月,該銀行收到聲稱(chēng)來(lái)自蜥蜴小隊(duì)的勒索郵件,通過(guò)當(dāng)?shù)匾粋€(gè)銀行風(fēng)險(xiǎn)管理協(xié)會(huì),確認(rèn)是模仿犯而已。因?yàn)槭菒鹤鲃。撱y行決定不轉(zhuǎn)移流量,不過(guò),他們確實(shí)受到了小型試探攻擊,依賴(lài)Radware的應(yīng)急響應(yīng)團(tuán)隊(duì)進(jìn)行了處理。
2016年起,攻擊方法開(kāi)始多樣化,第一銀行經(jīng)歷了四倍于過(guò)去的瞬時(shí)攻擊井噴。同時(shí),持續(xù)時(shí)間超過(guò)1小時(shí)的攻擊在減少。趨勢(shì)似乎在漸漸轉(zhuǎn)向“打了就跑”的短時(shí)攻擊。
但也不是所有的攻擊都是瞬時(shí)攻擊。2016年9月,該銀行受到了一次較小型的攻擊(2G-3Gbps),但持續(xù)時(shí)間長(zhǎng)達(dá)4個(gè)多小時(shí),且漸進(jìn)發(fā)展幾個(gè)階段。銀行官員注意到其中一些攻擊是ping攻擊。他們經(jīng)歷了16000個(gè)SYN連接的攻擊(在南非已算相當(dāng)大了),最后是靠?jī)?nèi)部DDoS防護(hù)應(yīng)用緩解的。
在半SYN攻擊后,HTTP洪水隨之而來(lái),源頭約有2000個(gè)。當(dāng)然,也被成功緩解了。不過(guò),該銀行對(duì)完全HTTPS洪水就束手無(wú)策了。
加密攻擊,昭示出必須擁有專(zhuān)門(mén)的防護(hù)措施,來(lái)針對(duì)利用SSL標(biāo)準(zhǔn)繞過(guò)安全控制的攻擊方式。通常情況下,該銀行面對(duì)的是UDP分片攻擊后跟著DNS反射攻擊。那次案例中,卻是被典型的SSL攻擊襲擊。
一般的SSL攻擊每波只持續(xù)3-4分鐘,一波緊跟一波密集發(fā)動(dòng)。但那次的攻擊持續(xù)了1.5小時(shí),攻擊消耗掉的計(jì)算資源給銀行的防御系統(tǒng)造成了巨大壓力。該銀行產(chǎn)生了太多響應(yīng)負(fù)載,將其外出連接逼近了上限,三倍于平時(shí)吞吐量。
經(jīng)驗(yàn)教訓(xùn)
2016年見(jiàn)證了勒索威脅的爆炸式增長(zhǎng),襯托得其他類(lèi)型的網(wǎng)絡(luò)攻擊都不顯眼了。調(diào)查中,56%的公司都報(bào)告稱(chēng)自己是網(wǎng)絡(luò)勒索的受害者,41%將勒索列為自身面臨的最大網(wǎng)絡(luò)威脅(2015年數(shù)字為25%)。可以從南非第一國(guó)家銀行的案例吸取一些經(jīng)驗(yàn):
1. 限速分析加上行為分析的好處
過(guò)去,該銀行測(cè)試了一個(gè)利用限速技術(shù)的DDoS緩解解決方案,發(fā)現(xiàn)使用行為分析能提供很大的優(yōu)勢(shì)。因?yàn)椴粫?huì)封住合法流量,行為分析使第一國(guó)家銀行得以維持其服務(wù)水平。
2. 時(shí)間對(duì)緩解的重要性
通過(guò)擁有實(shí)時(shí)發(fā)展攻擊特征碼的能力,該銀行能夠在20秒內(nèi)緩解攻擊。
主要威脅
Radware發(fā)現(xiàn)了幾個(gè)勒索型DoS攻擊的主要執(zhí)行團(tuán)伙:
Armada Collective:或許是知名度最高的網(wǎng)絡(luò)犯罪團(tuán)伙。他們喜歡在發(fā)送勒索通知時(shí)順帶一次示威攻擊,索要贖金一般在10-200比特幣(約$3,600-$70,000)。只要超過(guò)支付時(shí)限,受害者的數(shù)據(jù)中心就會(huì)被超100Gbps的流量淹沒(méi)。
明顯的模仿犯開(kāi)始冒用 Armada Collective 的名號(hào);一個(gè)早期策略曾嘗試向3家希臘銀行勒索720萬(wàn)美元。
DD4BC:這個(gè)犯罪團(tuán)伙的名字就是“為比特幣而來(lái)的分布式拒絕服務(wù)”,2014年年中開(kāi)始發(fā)起比特幣勒索活動(dòng)。最開(kāi)始針對(duì)在線博彩行業(yè),此后DD4BC將目標(biāo)范圍擴(kuò)大到金融服務(wù)、娛樂(lè)和其他知名公司。
ezBTC Squad:該網(wǎng)絡(luò)犯罪團(tuán)伙沒(méi)有使用常見(jiàn)的郵件消息,而是用推特作為投遞其RDoS(勒索拒絕服務(wù))的手段。
Kadyrovtsy:以車(chē)臣Kadyrov政權(quán)精英力量命名,是最新冒頭的RDoS團(tuán)伙,最近剛剛威脅過(guò)兩家波蘭銀行和一家加拿大媒體公司。該團(tuán)伙甚至還發(fā)動(dòng)了一次15G-20Gbps的示威攻擊來(lái)證明其能力,就像 Armada Collective 一樣。
RedDoor:2016年3月第一次發(fā)動(dòng)攻擊。行動(dòng)模式比較標(biāo)準(zhǔn),就是用匿名電子郵件發(fā)送勒索消息,索要3比特幣。受害公司只有24小時(shí)可以轉(zhuǎn)賬給某比特幣賬戶(hù)。
小心模仿犯:模仿犯加重了RDoS麻煩。這些人發(fā)出虛假勒索郵件,希望能用最小的付出獲得快錢(qián)。識(shí)別虛假勒索郵件有幾條建議可供參考:
評(píng)估贖金要求:Armada Collective 通常索要20比特幣。其他勒索活動(dòng)也在這個(gè)數(shù)量上下。虛假勒索通常贖金額度不定。事實(shí)上,低贖金索要信很有可能就是虛假勒索,希望他們的價(jià)格足夠低,讓受害者愿意支付而不是去尋求專(zhuān)業(yè)幫助。檢查網(wǎng)絡(luò):真黑客通過(guò)在發(fā)出勒索通知的同時(shí)進(jìn)行小型攻擊,來(lái)證明自己的能力。如果網(wǎng)絡(luò)活動(dòng)發(fā)生改變,勒索信和威脅就可能是真的。看看組織結(jié)構(gòu):真黑客是組織良好的。而假黑客,連網(wǎng)站都沒(méi)有,也沒(méi)有官方賬號(hào)。考慮目標(biāo):真黑客傾向于攻擊一個(gè)行業(yè)內(nèi)的多家公司。假黑客就沒(méi)那么專(zhuān)注,逮誰(shuí)給誰(shuí)發(fā)勒索信,希望能賺點(diǎn)外快。
京公網(wǎng)安備 11010502049343號(hào)