勒索軟件占據(jù)網(wǎng)絡(luò)犯罪生態(tài)中心舞臺(tái)位置，僅去年就造成10億+美元的全球損失，為網(wǎng)絡(luò)罪犯賺取幾億美元的利潤。同時(shí)，傳統(tǒng)上被用來勒索企業(yè)的分布式拒絕服務(wù)(DDoS)攻擊亦卷土重來。勒索軟件組織甚至使用DDoS攻擊增加受害者支付贖金的壓力。

[[401173]]

根據(jù)近期多家內(nèi)容分發(fā)網(wǎng)絡(luò)和DDoS緩解提供商的年度報(bào)告，2020年是DDoS攻擊破紀(jì)錄的一年，攻擊數(shù)量、攻擊規(guī)模和所用攻擊方法數(shù)量均突破歷史記錄。DDoS勒索的死灰復(fù)燃可能是受新冠肺炎疫情的驅(qū)動(dòng)：疫情迫使公司為其大多數(shù)員工啟用遠(yuǎn)程辦公功能，導(dǎo)致公司更易遭受業(yè)務(wù)運(yùn)營中斷威脅，在攻擊者眼中也就成了更愿意支付勒索費(fèi)的目標(biāo)。

2021年延續(xù)了這一趨勢(shì)。今年2月，阿卡邁錄得六起史上最大規(guī)模DDoS攻擊中的三起，2021年頭三個(gè)月里超過50Gbps的DDoS攻擊數(shù)量就已經(jīng)比2019年全年還多了。阿卡邁估測，沒有設(shè)置DDoS緩解措施的絕大多數(shù)在線服務(wù)，遭遇50Gbps以上的攻擊時(shí)，會(huì)因帶寬飽和而掉線。

▶ DDoS勒索回歸

DDoS攻擊背后的動(dòng)機(jī)各種各樣：從無良企業(yè)主想要中斷競爭對(duì)手的服務(wù)，到激進(jìn)黑客想要向自己反對(duì)的組織表明主張，再到不同團(tuán)體之間的競爭而造成的單純破壞行為。然而，勒索一直是推動(dòng)此類非法活動(dòng)的最大因素，而且可以說是最賺錢的一個(gè)因素，因?yàn)榘l(fā)起DDoS攻擊實(shí)在要不了多少投資。DDoS租賃服務(wù)的費(fèi)用甚至低到每次攻擊僅7美元，幾乎任何人都負(fù)擔(dān)得起。

事實(shí)上，應(yīng)用和網(wǎng)絡(luò)性能監(jiān)測公司Netscout Systems的數(shù)據(jù)表明，網(wǎng)絡(luò)罪犯向潛在客戶展示其DDoS能力才是此類攻擊的頭號(hào)動(dòng)機(jī)，其次是與在線游戲相關(guān)的動(dòng)機(jī)(疫情期間很多人都靠這個(gè)打發(fā)時(shí)間)，然后才是勒索。攻擊者也常常用DDoS攻擊作為偽裝，讓公司IT和安全團(tuán)隊(duì)無暇顧及檢測其網(wǎng)絡(luò)上的其他惡意活動(dòng)，比如基礎(chǔ)設(shè)施入侵和數(shù)據(jù)滲漏。

2020年8月開始，勒索DDoS(RDDoS)事件案例激增，原因是多個(gè)勒索軟件團(tuán)伙將DDoS用作額外的勒索技術(shù)，但也有部分原因在于某個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙在偽裝俄羅斯奇幻熊(Fancy Bear)或朝鮮Lazarus Group等黑客國家隊(duì)發(fā)起攻擊。這個(gè)名為Lazarus Bear Armada (LBA)的網(wǎng)絡(luò)犯罪團(tuán)伙首先針對(duì)選定目標(biāo)發(fā)起一波范圍在50Gbps到300Gbps之間的演示性DDoS攻擊。然后，該團(tuán)伙發(fā)出勒索電子郵件，宣稱擁有2Tbps規(guī)模DDoS攻擊的能力，以此勒索目標(biāo)公司支付比特幣。在這些電子郵件中，攻擊者宣稱自己隸屬常見諸于新聞報(bào)道的幾個(gè)著名網(wǎng)絡(luò)犯罪組織，借此提高自身可信度。很多案例中，即使目標(biāo)公司未支付贖金，該團(tuán)伙也沒有繼續(xù)發(fā)起更多攻擊，但有時(shí)候確實(shí)會(huì)再次攻擊。而且，一段時(shí)間后，他們還會(huì)回過頭來再咬一口之前的受害者。

該團(tuán)伙主要針對(duì)世界范圍內(nèi)金融、零售、旅游和電子商務(wù)行業(yè)的企業(yè)，似乎還會(huì)做偵察和規(guī)劃。他們會(huì)識(shí)別受害公司可能監(jiān)測的非通用電子郵件地址，并以關(guān)鍵但不明顯的應(yīng)用、服務(wù)和虛擬用網(wǎng)集線器為目標(biāo)，表明其規(guī)劃水平比較高級(jí)。多家安全供應(yīng)商和美國聯(lián)邦調(diào)查局(FBI)已經(jīng)就該團(tuán)伙的活動(dòng)發(fā)布過警示。

不同于僅依賴RDDoS從企業(yè)勒索金錢的LBA等團(tuán)伙，勒索軟件犯罪組織將DDoS作為說服受害者支付原始贖金的額外砝碼，與使用數(shù)據(jù)泄露作為威脅的方式異曲同工。換句話說，一些勒索軟件攻擊目前已經(jīng)演變?yōu)榫C合了加密、數(shù)據(jù)盜竊和DDoS攻擊的三重威脅。以這種方式使用或聲稱要使用DDoS攻擊的一些勒索軟件團(tuán)伙包括Avaddon、SunCrypt、Ragnar Locker和REvil。

與勒索軟件攻擊的情況類似，我們很難說清楚到底有多少RDDoS受害者支付了贖金，但此類攻擊的數(shù)量、規(guī)模和頻率一直在上升的事實(shí)，充分說明了這一活動(dòng)足夠有利可圖。這或許是因?yàn)镈DoS租賃服務(wù)遍地開花且不需要很多技術(shù)知識(shí)，導(dǎo)致其準(zhǔn)入門檻比勒索軟件本身要低得多。Cloudflare在最近的報(bào)告中寫道：“2021年第一季度，遭遇DDoS攻擊的受訪Cloudflare客戶中，有13%表示遭到RDDoS攻擊勒索，或提前收到了威脅。”

阿卡邁觀測到，遭攻擊公司的數(shù)量比去年同期增加了57%;Netscout則報(bào)告稱，年度DDoS攻擊數(shù)量首次超過了1000萬的閾值。

上月，阿卡邁研究人員在報(bào)告中稱：“堅(jiān)守可獲得巨額比特幣支付的希望，網(wǎng)絡(luò)罪犯已經(jīng)開始加大努力和擴(kuò)展攻擊帶寬，使得DDoS勒索已成舊聞的說法通通煙消云散。”最近一次勒索攻擊的峰值超過800Gbps，目標(biāo)是一家歐洲賭博公司，這是自2020年8月中旬勒索攻擊普遍回歸以來，我們見過的規(guī)模最大、最復(fù)雜的一次。自那次攻擊開始，武力展示型攻擊已從8月的200+Gbps增長到9月中旬的500+Gbps，然后在2021年2月膨脹到800+Gbps。”

▶ 新攻擊方法加入導(dǎo)致攻擊復(fù)雜度上升

阿卡邁透露，去年觀測到的DDoS攻擊中近三分之二包含多種攻擊方法，有些甚至含有14種之多。Netscout也報(bào)告稱多方法攻擊顯著上升，尤其是2020年末，以及超過15種不同方法的攻擊。該公司觀測到的攻擊中還有綜合使用了25種不同方法的。

濫用多個(gè)UDP類協(xié)議的DDoS反射和放大攻擊依然非常流行。這種攻擊技術(shù)中，攻擊者以偽造的源IP地址向互聯(lián)網(wǎng)上防護(hù)不周的服務(wù)器發(fā)送數(shù)據(jù)包，迫使這些服務(wù)器將回復(fù)發(fā)送給既定受害者而不是攻擊者本人。這能達(dá)成兩個(gè)目的：

• 一是反射，因?yàn)槭芎φ呖吹降氖莵碜院戏ǚ?wù)器的流量，而不是來自攻擊者僵尸主機(jī)的流量;
• 二是放大，因?yàn)楣粽呖梢詾E用某些協(xié)議為短查詢產(chǎn)生更大的回復(fù)包，放大攻擊者可以觸發(fā)的數(shù)據(jù)包的規(guī)模或頻率。

DDoS攻擊的規(guī)模有兩種計(jì)算方式：按能夠飽和帶寬的每秒流量大小計(jì)算，或者用能夠飽和服務(wù)器處理能力的每秒數(shù)據(jù)包數(shù)量表示。

2020年最常見的DDoS攻擊方法與過去幾年保持一致，都是DNS放大攻擊。常用于放大攻擊的其他協(xié)議包括網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)、無連接輕型目錄訪問協(xié)議(CLDAP)、簡單服務(wù)發(fā)現(xiàn)協(xié)議(SSDP)和Web服務(wù)發(fā)現(xiàn)(WDS或WS-DD)、基于UDP的遠(yuǎn)程桌面協(xié)議(RDP)和數(shù)據(jù)報(bào)傳輸層安全(DTLS)。

攻擊者經(jīng)常尋找可以繞過現(xiàn)有防御措施和緩解策略的新攻擊方法和協(xié)議。今年3月，阿卡邁首次觀測到依賴數(shù)據(jù)報(bào)擁塞控制協(xié)議(DCCP)的新型攻擊方法。數(shù)據(jù)報(bào)擁塞控制協(xié)議是類似于UDP的網(wǎng)絡(luò)數(shù)據(jù)傳輸協(xié)議，但具備UDP所欠缺的擁塞和流量控制功能。目前為止，阿卡邁觀測到的此類攻擊是典型的流量洪水，旨在繞過基于UDP和TCP的緩解措施。該協(xié)議在技術(shù)上也可以用于反射和放大攻擊場景，但互聯(lián)網(wǎng)上使用該協(xié)議的服務(wù)器不多，不足以濫用來反射流量。

Netscout的研究人員總結(jié)道：“可以濫用的UDP開源和商業(yè)應(yīng)用與服務(wù)對(duì)攻擊者來說是寶貴的資產(chǎn)，他們挖掘此類資產(chǎn)以發(fā)現(xiàn)新的反射/放大DDoS攻擊方法，從而推動(dòng)新一波攻擊。”此類案例包括Plex Media Server的SSDP實(shí)現(xiàn)，以及Jenkins軟件開發(fā)自動(dòng)化服務(wù)器所用的UDP網(wǎng)絡(luò)發(fā)現(xiàn)協(xié)議。

在Netscout看來，去年常見的其他DDoS攻擊方法包括TCP ACK、TCP SYN、TCP reset、TCP ACK/SYN放大和DNS洪水。

▶ DDoS僵尸網(wǎng)絡(luò)誘捕物聯(lián)網(wǎng)和移動(dòng)設(shè)備

由被黑設(shè)備和服務(wù)器組成的僵尸網(wǎng)絡(luò)是DDoS攻擊背后的驅(qū)動(dòng)力。感染網(wǎng)絡(luò)設(shè)備的Mirai惡意軟件變種仍在2020年主流DDoS僵尸網(wǎng)絡(luò)中占據(jù)顯著位置。這些設(shè)備常被攻擊者通過弱憑證或默認(rèn)憑證入侵，Netscout的觀測結(jié)果表明，相比2019年，Telnet和Secure Shell(SSH)暴力破解攻擊增加了42%。

此外，被黑Android移動(dòng)設(shè)備也被用于發(fā)起DDoS攻擊。2月，中國安全公司奇虎360網(wǎng)絡(luò)安全部門Netlab的研究人員報(bào)告了名為Matryosh的新僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)通過Android設(shè)備暴露在互聯(lián)網(wǎng)上的ADB(Android調(diào)試橋)接口入侵設(shè)備。在Netscout的年度云與互聯(lián)網(wǎng)服務(wù)提供商調(diào)查報(bào)告中，近四分之一的受訪者表示看到移動(dòng)設(shè)備被用于發(fā)起DDoS設(shè)備。