今年8月份，中新網(wǎng)發(fā)布了一則關(guān)于無錫公安人員抓獲一名涉嫌DDoS攻擊某公司網(wǎng)站的黑客的新聞。

圖1 無錫公安偵破黑客攻擊案件

相信這條低調(diào)的新聞并沒有引起太多人的注意。

11月4日，無錫警方發(fā)布公告，事發(fā)的案件詳情也隨之浮出水面。

2015年7月中旬，因黑客攻擊，無錫市惠山區(qū)某影視傳播有限公司某游戲平臺服務(wù)器堵塞，引發(fā)大量用戶投訴。隨之一黑客與該公司客服人員聯(lián)系，以停止攻擊為由向該公司實(shí)施敲詐，按月收取保護(hù)費(fèi)1888元。該公司立即向當(dāng)?shù)鼐綀?bào)案。接警后，惠山分局高度重視，迅速成立專案小組，開展案件偵查工作。阿里云安全團(tuán)隊(duì)積極配合無錫警方專案組分析和提取了相關(guān)材料。犯罪嫌疑人很快落網(wǎng)。

經(jīng)審問，蔣某供認(rèn)了使用黑客網(wǎng)絡(luò)攻擊技術(shù)攻擊他人游戲平臺并進(jìn)行敲詐的犯罪事實(shí)。目前，蔣某已因涉嫌破壞計(jì)算機(jī)信息系統(tǒng)罪被江蘇無錫市惠山區(qū)人民檢察院批準(zhǔn)逮捕。

“根據(jù)《中華人民共和國刑法》第二百八十六條規(guī)定，對計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行，后果嚴(yán)重的，處五年以下有期徒刑或者拘役;后果特別嚴(yán)重的，處五年以上有期徒刑。”

溯源取證

從警方專案組辦案過程中，阿里云安全團(tuán)隊(duì)協(xié)助警方固定了黑客攻擊證據(jù)，獲取了嫌疑人的相關(guān)線索。警方據(jù)此將蔣某鎖定并最終抓獲。

當(dāng)前阿里云用戶每天遭受的DDoS攻擊超過1000次。為了保護(hù)阿里云用戶的網(wǎng)絡(luò)安全，云盾系統(tǒng)會(huì)對針對阿里云用戶的DDoS攻擊行為保留證據(jù)。這些證據(jù)可以作為警方立案調(diào)查時(shí)的有力數(shù)據(jù)。

攻擊分析

經(jīng)過云盾團(tuán)隊(duì)對攻擊數(shù)據(jù)的分析和溯源，我們發(fā)現(xiàn)此次攻擊者使用的是BillGates木馬程序。

根據(jù)《2015年第三季度云盾互聯(lián)網(wǎng)DDoS狀態(tài)和趨勢報(bào)告》，BillGates攻擊程序作為目前國內(nèi)最流行的分布式拒絕服務(wù)攻擊(DDoS)軟件之一，被攻擊者廣泛使用，在DDoS攻擊程序中占比高達(dá)32.33%。

圖2 BillGates攻擊程序比例最大

攻擊者普遍利用網(wǎng)絡(luò)上某些服務(wù)器存在SSH、TELNET、MySQL、SQL Server弱密碼等疏漏，或是利用破殼漏洞，使用工具進(jìn)行批量掃描并植入BillGates惡意程序。被植入到服務(wù)器的惡意程序會(huì)從攻擊者的中控服務(wù)器接收攻擊指令，并針對特定的目標(biāo)發(fā)起指令類型的分布式拒絕服務(wù)攻擊(DDoS)。

BillGates的攻擊模式主要有：

TCP-SYN Flood

UDP Flood

DNS Flood

ICMP Flood

DNS放大攻擊

CC攻擊

BillGates攻擊程序采用C/C++語言編寫，因相關(guān)的程序中分別包含”Bill”和”Gates”而得名。相比其他類型DDoS程序攻擊模式，BillGates具備內(nèi)核模式，使用pktgen，在內(nèi)核中生成攻擊數(shù)據(jù)包，進(jìn)而可以避免被傳播的抓包或嗅探工具捕獲到。

圖3 BillGates攻擊程序

最后，BillGates之所以如此被攻擊者廣泛采用，我們認(rèn)為原因如下：

1) 具有完備的Windows和Linux兩個(gè)版本，方便攻擊者根據(jù)肉雞服務(wù)器的操作系統(tǒng)類型植入對應(yīng)平臺的程序;

2) 穩(wěn)定成熟，操作簡單，支持集群，功能齊全，攻擊者可以選取TCP-SYN Flood、UDP Flood、CC攻擊、DNS放大等多種攻擊方式對目標(biāo)發(fā)起攻擊。