勒索软件占据网络犯罪生态中心舞台位置,仅去年就造成10亿+美元的全球损失,为网络罪犯赚取几亿美元的利润。同时,传统上被用来勒索企业的分布式拒绝服务(DDoS)攻击亦卷土重来。勒索软件组织甚至使用DDoS攻击增加受害者支付赎金的压力。
根据近期多家内容分发网络和DDoS缓解提供商的年度报告,2020年是DDoS攻击破纪录的一年,攻击数量、攻击规模和所用攻击方法数量均突破历史记录。DDoS勒索的死灰复燃可能是受新冠肺炎疫情的驱动:疫情迫使公司为其大多数员工启用远程办公功能,导致公司更易遭受业务运营中断威胁,在攻击者眼中也就成了更愿意支付勒索费的目标。
2021年延续了这一趋势。今年2月,阿卡迈录得六起史上最大规模DDoS攻击中的三起,2021年头三个月里超过50Gbps的DDoS攻击数量就已经比2019年全年还多了。阿卡迈估测,没有设置DDoS缓解措施的绝大多数在线服务,遭遇50Gbps以上的攻击时,会因带宽饱和而掉线。
▶ DDoS勒索回归
DDoS攻击背后的动机各种各样:从无良企业主想要中断竞争对手的服务,到激进黑客想要向自己反对的组织表明主张,再到不同团体之间的竞争而造成的单纯破坏行为。然而,勒索一直是推动此类非法活动的最大因素,而且可以说是最赚钱的一个因素,因为发起DDoS攻击实在要不了多少投资。DDoS租赁服务的费用甚至低到每次攻击仅7美元,几乎任何人都负担得起。
事实上,应用和网络性能监测公司Netscout Systems的数据表明,网络罪犯向潜在客户展示其DDoS能力才是此类攻击的头号动机,其次是与在线游戏相关的动机(疫情期间很多人都靠这个打发时间),然后才是勒索。攻击者也常常用DDoS攻击作为伪装,让公司IT和安全团队无暇顾及检测其网络上的其他恶意活动,比如基础设施入侵和数据渗漏。
2020年8月开始,勒索DDoS(RDDoS)事件案例激增,原因是多个勒索软件团伙将DDoS用作额外的勒索技术,但也有部分原因在于某个网络犯罪团伙在伪装俄罗斯奇幻熊(Fancy Bear)或朝鲜Lazarus Group等黑客国家队发起攻击。这个名为Lazarus Bear Armada (LBA)的网络犯罪团伙首先针对选定目标发起一波范围在50Gbps到300Gbps之间的演示性DDoS攻击。然后,该团伙发出勒索电子邮件,宣称拥有2Tbps规模DDoS攻击的能力,以此勒索目标公司支付比特币。在这些电子邮件中,攻击者宣称自己隶属常见诸于新闻报道的几个著名网络犯罪组织,借此提高自身可信度。很多案例中,即使目标公司未支付赎金,该团伙也没有继续发起更多攻击,但有时候确实会再次攻击。而且,一段时间后,他们还会回过头来再咬一口之前的受害者。
该团伙主要针对世界范围内金融、零售、旅游和电子商务行业的企业,似乎还会做侦察和规划。他们会识别受害公司可能监测的非通用电子邮件地址,并以关键但不明显的应用、服务和虚拟用网集线器为目标,表明其规划水平比较高级。多家安全供应商和美国联邦调查局(FBI)已经就该团伙的活动发布过警示。
不同于仅依赖RDDoS从企业勒索金钱的LBA等团伙,勒索软件犯罪组织将DDoS作为说服受害者支付原始赎金的额外砝码,与使用数据泄露作为威胁的方式异曲同工。换句话说,一些勒索软件攻击目前已经演变为综合了加密、数据盗窃和DDoS攻击的三重威胁。以这种方式使用或声称要使用DDoS攻击的一些勒索软件团伙包括Avaddon、SunCrypt、Ragnar Locker和REvil。
与勒索软件攻击的情况类似,我们很难说清楚到底有多少RDDoS受害者支付了赎金,但此类攻击的数量、规模和频率一直在上升的事实,充分说明了这一活动足够有利可图。这或许是因为DDoS租赁服务遍地开花且不需要很多技术知识,导致其准入门槛比勒索软件本身要低得多。Cloudflare在最近的报告中写道:“2021年第一季度,遭遇DDoS攻击的受访Cloudflare客户中,有13%表示遭到RDDoS攻击勒索,或提前收到了威胁。”
阿卡迈观测到,遭攻击公司的数量比去年同期增加了57%;Netscout则报告称,年度DDoS攻击数量首次超过了1000万的阈值。
上月,阿卡迈研究人员在报告中称:“坚守可获得巨额比特币支付的希望,网络罪犯已经开始加大努力和扩展攻击带宽,使得DDoS勒索已成旧闻的说法通通烟消云散。”最近一次勒索攻击的峰值超过800Gbps,目标是一家欧洲赌博公司,这是自2020年8月中旬勒索攻击普遍回归以来,我们见过的规模最大、最复杂的一次。自那次攻击开始,武力展示型攻击已从8月的200+Gbps增长到9月中旬的500+Gbps,然后在2021年2月膨胀到800+Gbps。”
▶ 新攻击方法加入导致攻击复杂度上升
阿卡迈透露,去年观测到的DDoS攻击中近三分之二包含多种攻击方法,有些甚至含有14种之多。Netscout也报告称多方法攻击显著上升,尤其是2020年末,以及超过15种不同方法的攻击。该公司观测到的攻击中还有综合使用了25种不同方法的。
滥用多个UDP类协议的DDoS反射和放大攻击依然非常流行。这种攻击技术中,攻击者以伪造的源IP地址向互联网上防护不周的服务器发送数据包,迫使这些服务器将回复发送给既定受害者而不是攻击者本人。这能达成两个目的:
- 一是反射,因为受害者看到的是来自合法服务器的流量,而不是来自攻击者僵尸主机的流量;
- 二是放大,因为攻击者可以滥用某些协议为短查询产生更大的回复包,放大攻击者可以触发的数据包的规模或频率。
DDoS攻击的规模有两种计算方式:按能够饱和带宽的每秒流量大小计算,或者用能够饱和服务器处理能力的每秒数据包数量表示。
2020年最常见的DDoS攻击方法与过去几年保持一致,都是DNS放大攻击。常用于放大攻击的其他协议包括网络时间协议(NTP)、无连接轻型目录访问协议(CLDAP)、简单服务发现协议(SSDP)和Web服务发现(WDS或WS-DD)、基于UDP的远程桌面协议(RDP)和数据报传输层安全(DTLS)。
攻击者经常寻找可以绕过现有防御措施和缓解策略的新攻击方法和协议。今年3月,阿卡迈首次观测到依赖数据报拥塞控制协议(DCCP)的新型攻击方法。数据报拥塞控制协议是类似于UDP的网络数据传输协议,但具备UDP所欠缺的拥塞和流量控制功能。目前为止,阿卡迈观测到的此类攻击是典型的流量洪水,旨在绕过基于UDP和TCP的缓解措施。该协议在技术上也可以用于反射和放大攻击场景,但互联网上使用该协议的服务器不多,不足以滥用来反射流量。
Netscout的研究人员总结道:“可以滥用的UDP开源和商业应用与服务对攻击者来说是宝贵的资产,他们挖掘此类资产以发现新的反射/放大DDoS攻击方法,从而推动新一波攻击。”此类案例包括Plex Media Server的SSDP实现,以及Jenkins软件开发自动化服务器所用的UDP网络发现协议。
在Netscout看来,去年常见的其他DDoS攻击方法包括TCP ACK、TCP SYN、TCP reset、TCP ACK/SYN放大和DNS洪水。
▶ DDoS僵尸网络诱捕物联网和移动设备
由被黑设备和服务器组成的僵尸网络是DDoS攻击背后的驱动力。感染网络设备的Mirai恶意软件变种仍在2020年主流DDoS僵尸网络中占据显著位置。这些设备常被攻击者通过弱凭证或默认凭证入侵,Netscout的观测结果表明,相比2019年,Telnet和Secure Shell(SSH)暴力破解攻击增加了42%。
此外,被黑Android移动设备也被用于发起DDoS攻击。2月,中国安全公司奇虎360网络安全部门Netlab的研究人员报告了名为Matryosh的新僵尸网络,该僵尸网络通过Android设备暴露在互联网上的ADB(Android调试桥)接口入侵设备。在Netscout的年度云与互联网服务提供商调查报告中,近四分之一的受访者表示看到移动设备被用于发起DDoS设备。