2015年11月起，南非第一國(guó)家銀行就在與垂涎金錢的網(wǎng)絡(luò)罪犯做斗爭(zhēng)。

[[182246]]

2015年11月，南非第一國(guó)家銀行收到了來自 Armada Collective 的勒索郵件，跟著就是一波戲弄性質(zhì)的洪水攻擊，類似某種能力證明和攻擊宣言。

銀行官方?jīng)]有退縮。Radware最近發(fā)布的《全球應(yīng)用&安全》調(diào)查報(bào)告稱，勒索郵件是在下班時(shí)間發(fā)送到公司一個(gè)無人看顧的郵箱中的，銀行在官員發(fā)現(xiàn)該郵件前就檢測(cè)并緩解了試探洪水攻擊。因?yàn)橛谢旌螪DoS緩解解決方案，洪水攻擊沒有產(chǎn)生任何影響，并被快速轉(zhuǎn)移到清洗中心進(jìn)行清除。

報(bào)告揭示：勒索攻擊是如今最普遍的威脅——從2015年的25%增長(zhǎng)到2016年的41%。是什么推動(dòng)了如此巨大的增長(zhǎng)?網(wǎng)絡(luò)勒索可成為暴利“行業(yè)”。這種形式的勒索比以往更快、更簡(jiǎn)單、更便宜，留給受害者的響應(yīng)窗口時(shí)間非常短，一晃眼就可能要承受系統(tǒng)中斷、運(yùn)營(yíng)停滯的慘痛損失。

今時(shí)今日的勒索郵件攻擊不同于普通勒索軟件，可將公司數(shù)據(jù)當(dāng)做人質(zhì)，不見贖金不放數(shù)據(jù)。

一名網(wǎng)絡(luò)架構(gòu)師在報(bào)告中解釋稱：因?yàn)殂y行地處南非，與世界其他地方區(qū)隔開來，這就既蘊(yùn)含了公司保護(hù)自己的能力(比如在轉(zhuǎn)移攻擊流量上的延遲)，又限制了攻擊者使用大規(guī)模攻擊的能力;黑客在南非甚至搞不到半TB的流量。

試探攻擊可能有300MB的流量。作為安全預(yù)防，受到洪水攻擊和接到勒索郵件時(shí)，會(huì)在勒索截止日前，將網(wǎng)絡(luò)流量導(dǎo)引到DDoS緩解廠商的清洗中心。執(zhí)行勒索攻擊的黑客應(yīng)該會(huì)看到流量被轉(zhuǎn)移，也就明白了發(fā)起試探攻擊沒有效果。

該銀行也認(rèn)為，自己向 Armada Collective 及其他勒索團(tuán)伙發(fā)送了一個(gè)信號(hào)。“通過采取強(qiáng)力決定性行動(dòng)，向黑客發(fā)出我們不會(huì)成為受害者的信息。”

2016年4月，該銀行收到聲稱來自蜥蜴小隊(duì)的勒索郵件，通過當(dāng)?shù)匾粋€(gè)銀行風(fēng)險(xiǎn)管理協(xié)會(huì)，確認(rèn)是模仿犯而已。因?yàn)槭菒鹤鲃?，該銀行決定不轉(zhuǎn)移流量，不過，他們確實(shí)受到了小型試探攻擊，依賴Radware的應(yīng)急響應(yīng)團(tuán)隊(duì)進(jìn)行了處理。

2016年起，攻擊方法開始多樣化，第一銀行經(jīng)歷了四倍于過去的瞬時(shí)攻擊井噴。同時(shí)，持續(xù)時(shí)間超過1小時(shí)的攻擊在減少。趨勢(shì)似乎在漸漸轉(zhuǎn)向“打了就跑”的短時(shí)攻擊。

但也不是所有的攻擊都是瞬時(shí)攻擊。2016年9月，該銀行受到了一次較小型的攻擊(2G-3Gbps)，但持續(xù)時(shí)間長(zhǎng)達(dá)4個(gè)多小時(shí)，且漸進(jìn)發(fā)展幾個(gè)階段。銀行官員注意到其中一些攻擊是ping攻擊。他們經(jīng)歷了16000個(gè)SYN連接的攻擊(在南非已算相當(dāng)大了)，最后是靠?jī)?nèi)部DDoS防護(hù)應(yīng)用緩解的。

在半SYN攻擊后，HTTP洪水隨之而來，源頭約有2000個(gè)。當(dāng)然，也被成功緩解了。不過，該銀行對(duì)完全HTTPS洪水就束手無策了。

加密攻擊，昭示出必須擁有專門的防護(hù)措施，來針對(duì)利用SSL標(biāo)準(zhǔn)繞過安全控制的攻擊方式。通常情況下，該銀行面對(duì)的是UDP分片攻擊后跟著DNS反射攻擊。那次案例中，卻是被典型的SSL攻擊襲擊。

一般的SSL攻擊每波只持續(xù)3-4分鐘，一波緊跟一波密集發(fā)動(dòng)。但那次的攻擊持續(xù)了1.5小時(shí)，攻擊消耗掉的計(jì)算資源給銀行的防御系統(tǒng)造成了巨大壓力。該銀行產(chǎn)生了太多響應(yīng)負(fù)載，將其外出連接逼近了上限，三倍于平時(shí)吞吐量。

經(jīng)驗(yàn)教訓(xùn)

2016年見證了勒索威脅的爆炸式增長(zhǎng)，襯托得其他類型的網(wǎng)絡(luò)攻擊都不顯眼了。調(diào)查中，56%的公司都報(bào)告稱自己是網(wǎng)絡(luò)勒索的受害者，41%將勒索列為自身面臨的最大網(wǎng)絡(luò)威脅(2015年數(shù)字為25%)。可以從南非第一國(guó)家銀行的案例吸取一些經(jīng)驗(yàn)：

1. 限速分析加上行為分析的好處

過去，該銀行測(cè)試了一個(gè)利用限速技術(shù)的DDoS緩解解決方案，發(fā)現(xiàn)使用行為分析能提供很大的優(yōu)勢(shì)。因?yàn)椴粫?huì)封住合法流量，行為分析使第一國(guó)家銀行得以維持其服務(wù)水平。

2. 時(shí)間對(duì)緩解的重要性

通過擁有實(shí)時(shí)發(fā)展攻擊特征碼的能力，該銀行能夠在20秒內(nèi)緩解攻擊。

主要威脅

Radware發(fā)現(xiàn)了幾個(gè)勒索型DoS攻擊的主要執(zhí)行團(tuán)伙：

Armada Collective：或許是知名度最高的網(wǎng)絡(luò)犯罪團(tuán)伙。他們喜歡在發(fā)送勒索通知時(shí)順帶一次示威攻擊，索要贖金一般在10-200比特幣(約$3,600-$70,000)。只要超過支付時(shí)限，受害者的數(shù)據(jù)中心就會(huì)被超100Gbps的流量淹沒。

明顯的模仿犯開始冒用 Armada Collective 的名號(hào);一個(gè)早期策略曾嘗試向3家希臘銀行勒索720萬(wàn)美元。

DD4BC：這個(gè)犯罪團(tuán)伙的名字就是“為比特幣而來的分布式拒絕服務(wù)”，2014年年中開始發(fā)起比特幣勒索活動(dòng)。最開始針對(duì)在線博彩行業(yè)，此后DD4BC將目標(biāo)范圍擴(kuò)大到金融服務(wù)、娛樂和其他知名公司。

ezBTC Squad：該網(wǎng)絡(luò)犯罪團(tuán)伙沒有使用常見的郵件消息，而是用推特作為投遞其RDoS(勒索拒絕服務(wù))的手段。

Kadyrovtsy：以車臣Kadyrov政權(quán)精英力量命名，是最新冒頭的RDoS團(tuán)伙，最近剛剛威脅過兩家波蘭銀行和一家加拿大媒體公司。該團(tuán)伙甚至還發(fā)動(dòng)了一次15G-20Gbps的示威攻擊來證明其能力，就像 Armada Collective 一樣。

RedDoor：2016年3月第一次發(fā)動(dòng)攻擊。行動(dòng)模式比較標(biāo)準(zhǔn)，就是用匿名電子郵件發(fā)送勒索消息，索要3比特幣。受害公司只有24小時(shí)可以轉(zhuǎn)賬給某比特幣賬戶。

小心模仿犯：模仿犯加重了RDoS麻煩。這些人發(fā)出虛假勒索郵件，希望能用最小的付出獲得快錢。識(shí)別虛假勒索郵件有幾條建議可供參考：

• 評(píng)估贖金要求：Armada Collective 通常索要20比特幣。其他勒索活動(dòng)也在這個(gè)數(shù)量上下。虛假勒索通常贖金額度不定。事實(shí)上，低贖金索要信很有可能就是虛假勒索，希望他們的價(jià)格足夠低，讓受害者愿意支付而不是去尋求專業(yè)幫助。
• 檢查網(wǎng)絡(luò)：真黑客通過在發(fā)出勒索通知的同時(shí)進(jìn)行小型攻擊，來證明自己的能力。如果網(wǎng)絡(luò)活動(dòng)發(fā)生改變，勒索信和威脅就可能是真的。
• 看看組織結(jié)構(gòu)：真黑客是組織良好的。而假黑客，連網(wǎng)站都沒有，也沒有官方賬號(hào)。
• 考慮目標(biāo)：真黑客傾向于攻擊一個(gè)行業(yè)內(nèi)的多家公司。假黑客就沒那么專注，逮誰(shuí)給誰(shuí)發(fā)勒索信，希望能賺點(diǎn)外快。