佛曰:武功再高,也怕菜刀;穿的再叼,一砖撂倒(真的不是编辑杜撰……)而DDoS攻击,作为网络攻击中的常青树,素来有着“网络板砖”比喻:唾手可得,送货到家,一击致命,屡试不爽。
世界是平的,网络世界更是。
你以为出现在各国新闻媒体上的DDoS攻击距离我们都很遥远吗?其实不然。某些暗戳戳存在的 DDoS for-hire 交易平台,允许任何想要发动此类攻击的人买“凶”。
想要搞瘫某个网站?
可以,交了钱,黑客给你盘它,简直是网络版“雇凶杀人”现场。
夜路走多了,总会被盯上。
去年四月,全球最大的 DDoS 服务平台(Webstresser.org)被英国执法机构勒令关闭,该网站管理员也被欧洲当局逮捕,当时警察查获了一台包含该网站151000名注册用户信息的服务器。
在Webstresser.org网站上,即便你没有实施分布式拒绝服务攻击(DDoS)的技能、或是没有支持实施此类攻击的基础设施,都能轻松找到“卖家”展开攻击,而且每月只需花费15欧元。
(有钱能使……)
这还不是结局,1月29日黑盟消息,据外媒报道,包含荷兰、英国、塞尔维亚、克罗地亚、西班牙、意大利、德国、澳大利亚、香港、加拿大和美利坚合众国的执法机构联合欧洲刑警组织开始追查该网站十多万的注册用户,并且将对其采取法律行动。
据欧洲执法机构(Europol)估计,Webstresser.org 网站针对一系列网站发起过超过400多万次DDoS攻击,受害者包括游戏公司、执法机构、以及金融服务机构等网站。目前,Europol 已经展开行动,至少有250名网络用户很快面临应有的法律制裁。
步其后尘,xDedic也被关闭?
无独有偶,现在另一家臭名昭著的黑市——xDedic也被执法当局强制关闭了。
如果你是一个不太熟悉暗网和私服的互联网小白,可能没有听说过 xDedic 交易平台。但实际上,这个交易平台在黑客圈子内非常有名,里面贩售各种被黑的在线服务器资源——专为有需要的黑客、甚至APT攻击组织服务。
现在,美国和欧洲执法机构已经对日益猖獗的黑客活动忍无可忍,他们决定强制关闭xDedic交易平台。
为了深入打击xDedic交易平台,来自美国联邦调查局和美国国家税务局刑事调查部门的调查人员与欧洲刑警组织、以及比利时和乌克兰的执法当局展开了密切合作。EuroJust是一个欧盟执法机构,负责处理成员国之间的刑事案件司法合作。该机构在一份声明中表示:
“我们已经没收了xDedic交易平台的几个IT系统,而且严重怀疑三名乌克兰犯罪嫌疑人。”
2016年,当时著名的杀毒软件开发公司卡巴斯基实验室就详细披露过 xDedic 交易平台上提供的服务。
犯罪团队通常利益远程桌面协议凭证漏洞访问超过176000台独立服务器,如果你想要获得这些服务器的访问权,那么可以按照地理位置、操作系统、甚至价格搜索定位自己希望攻击的服务器,然后购买xDedic出售的协议凭证。卡巴斯基实验室表示,买家甚至可以用低至六美元的价格购买一台黑客服务。之后,网络安全公司Flashpoint通过分析发现,在xDedic地下交易平台上贩卖的服务器和个人电脑中有接近三分之二都来自于美国学校和大学。
美国当局估计,xDedic交易平台上涉及黑客欺诈的交易金额已经超过了6800万美元,而且很多行业都深受其害。根据美国佛罗里达州中区检察官办公室对外发布的一份声明称,包括地方、州和联邦政府基础设施、医院、911和紧急服务、呼叫中心、主要大城市的交通管理部门、会计和律师事务所、以及养老金基金公司和高校都受到影响。
与xDedic相关的互联网域名已经在1月24日被查封,美国政府希望利用这种方式有效阻止该网站的运营。现在,试图访问xDedic网站的用户会被重新定向到一个网页,该页面中解释了xDedic交易平台已经下线。
另据卡巴斯基实验室披露的信息称,虽然xDedic交易平台从2014年就开始运营,但其实他们曾在2016年被关闭过一段时间。可是不久之后,该平台又重新上线并做出一些变化,比如要求会员必须首先支付50美元才能在网站上进行买卖交易。该交易平台依靠Tor网络来保护运营商及其底层服务器的位置,使其免受安全研究人员和执法调查人员的检查。不仅如此,他们还使用虚拟货币比特币来帮助买家和卖家实现匿名交易。
保护远程桌面协议(RDP)端点
在 xDedic 交易平台上会出售大量受感染的服务器信息和访问凭证,这个问题让不少企业感到非常头疼,因为凭借这些访问平局,攻击者可以轻松在企业网络内部建立“立足点”,然后就能延伸攻击、危及其他服务器。不仅如此,黑客还可能会创造新账户、或是窃取其他凭据,这样即使那些受到破坏的凭据被企业撤销,他们仍然可以继续维持自己的访问权限。卡巴斯基实验室最初发布有关xDedic安全报告的时候,就警告企业需要更好地保护远程桌面协议端点。
在大多数情况下,企业远程桌面协议端点不能在公共IP地址上被访问,因此最好的办法之一就是扫描并关闭面向公众的远程桌面协议和SSH端口。此外,有效的账户管理和密码保护也是保护远程桌面协议端点的好办法,比如对远程访问强制进行双因素身份验证、采用强密码保护策略、限制特权访问、以及监控异常账户行为。
即使现在xDedic交易平台被关闭了,企业仍然不能掉以轻心,上述提及的安全措施仍然是当前需要重视的任务,因为即便没有xDedic,也有其他犯罪份子会尝试类似的攻击。此外,xDedic交易平台下线也不代表其他人不会继续贩卖被盗的服务器凭证,他们可能会转移到其他论坛、暗网,继续自己的犯罪活动。
美国执法机构没有对外披露三名犯罪嫌疑人被逮捕的具体地点,因此xDedic交易平台很有可能重新使用不同的域名和新的服务器基础设施。
对于企业而言,现在最需要做的一件事就是撤销受感染的服务器凭据,并采取安全保护措施。
下一步,彻查谁是xDedic的客户?
执法机构现在已经控制了几个xDedic交易平台的基础设施,因此也有了访问注册用户列表的权限,这意味着执法机构现在的工作重点可能要转移到深入调查xDedic交易平台客户上,因为在这个交易平台上进行的买卖交易都会被视作为犯罪行为。
这种执法手段其实是比较合理的,因为欧洲执法部门去年调查Webstresser.org黑客平台时,也深入挖掘了该平台的客户信息。英国国际刑警组织去年曾发表声明称,将针对该国大约400名Webstresser.org网站用户展开调查。实际上,该网站的四名核心管理人员已经分别在加拿大、克罗地亚、塞尔维亚和英国被逮捕,同时他们设在德国和美国的服务器基础设施也都被查封了。
当然,英国警方也在Webstresser.org网站查获了60多个涉案电子设备。
在过去的一年中,美国和欧洲执法机构已经关闭了好几个DDoS 服务平台,比如Downthem和Quantum Stresser,而且还获得了这些交易平台的用户信息。
欧洲刑警组织强调称:
“我们不会按照攻击规模区分对待。无论你是一个游戏玩家,还是企业高层出于商业目的和经济利益实施 DDoS 攻击,所有级别的用户都在执法范围之下,”
说明啥?掏了钱的用户们一个别想逃。
黑盟 VIAduo黑盟(公众号:黑盟)
黑盟原创文章,未经授权禁止转载。详情见转载须知。