Friday, December 9, 2016

盘点2016年最严重的7起DDoS攻击事件

随着黑客技术的不断发展,人们越来越难以区分真实世界和恐怖电影之间的区别, 2016年的DDoS攻击事件更是加深了人们的这种感觉。

你相信么?事实上,我们的真实生活可能比好莱坞的恐怖电影更加可怕!当你家的物联网设备被黑客用来发动DDoS攻击时,你会不会觉得脊背一阵发凉,而显然目前的DDoS攻击现状不仅于此。

今年的BASHLITE或是Mirai僵尸网络已经让人们体验了利用物联网设备发起DDoS攻击的可怕性,但事情显然还没有完。Akamai高级安全倡导者Martin McKeay表示,2016年仅仅是一个过渡,更严峻的形势即将到来。接下来我们对2016年最严重的7起DDoS攻击事件进行盘点:

鼓励奖
 


获得奖励奖一般是一些未启动/未成功(Non-Starter)的DDoS攻击,对于它们而言,一旦生效就会造成毁灭性的后果。正如Dobbins在8月份的博客中写道,我们观察到攻击者正在强化他们在DDoS攻击方面的能力,一旦攻击启动就可以生成500GB/秒的持续性攻击,但是却没有人注意到这些。以下就列举出一些入围鼓励奖的攻击案例,希望引起大家的重视:

1)猖獗的勒索软件

2016年勒索软件确实带来了很多麻烦,最广为人知的就是好莱坞长老会医学中心的事件。今年2月,攻击者通过勒索工具入侵了医院网络系统,锁定医务人员的电脑并勒索9000比特币(约360万美元)作为解锁条件。

据报道,由于当时该医院的网络无法使用,还被迫将病人转送到其他医院,并希望在联邦调查局的帮助下恢复被锁定系统。但是一周之后问题依然没有解决,最终医院支付了攻击者17000美元才得以重新访问系统。这次事件虽然不能算是一次真正的DDoS攻击,但是却无疑是一场巨大的针对“可用性”的攻击活动。

PS:在信息安全的三要素——“保密性”、“完整性”和“可用性”中,DoS(Denial ofService),即拒绝服务攻击,针对的目标正是“可用性”。

2)“放空弹”的DDoS勒索威胁

入围鼓励奖的此类DDoS威胁其实从未发生过。自今年3月初开始,有数百家公司收到了自称“无敌舰队”(Armada Collective)的团伙发出的威胁信,宣称要么支付10~50比特币(约4600~2.3万美元)的保护费,要么就等着面对1Tbps以上的DDoS攻击。

大部分公司不予理会,但有些公司认怂了。该团伙的比特币钱包地址显示,入账高达10万美元之巨。但那些拒绝支付保护费的公司至今尚未遭到攻击。

但是,有必要指出:不是所有的DDoS敲诈威胁都是狐假虎威的,当下还是有几个发出敲诈信的犯罪团伙会切实兑现自己的威胁的。

公司企业需要对DDoS攻击有所准备,但向敲诈低头绝对不是建议选项,因为这会鼓励更多网络罪犯参与到此类犯罪活动中来。而且一旦你向某个团伙支付了保护费,难保另一个团伙不会找上门来。

3)不存在的选举日DDoS攻击

入选鼓励奖的毁灭性攻击活动也从未发生过。“Mirai”攻击之后,Tripwire公司安全研究专家Travis Smith曾说,黑客们已经做好准备在选举日发动另一场DDoS攻击。这可能牵涉到那些针对性的服务,例如地图网站或者政府网站,它们会告诉投票者投票的地点。但McKeay表示:“我们并没有在选举日看到任何大规模的DDoS攻击行为,不过这也让我很担忧,是我们遗漏了什么吗?”其实此类针对系统的攻击行为目的之一就是干扰人们对系统的信任,这样攻击的威胁目的就达成了。(近日,美国怀疑三个摇摆省投票系统被黑客操纵,影响了票选结果,这是攻击威胁起作用了?)

4)BlackNurse攻击

上个月,安全研究人员发现了“BlackNurse Attack”——一种新型的攻击技术,可以发起大规模DDoS攻击,可以让资源有限的攻击者利用普通笔记本电脑让大型服务器瘫痪。

由于这种攻击并不基于互联网连接的纯泛洪攻击,专家将其命名为“BlackNurse”。BlackNurse与过往的ICMP泛洪攻击不一样,后者是快速将ICMP请求发送至目标;而BlackNurse是基于含有Type 3 Code 3数据包的ICMP。

丹麦TDC安全运营中心报告指出:    

“我们注意到BlackNurse攻击,是因为在反DDoS解决方案中,我们发现,即使每秒发送很低的流量速度和数据包,这种攻击仍能使我们的客户服务器操作陷入瘫痪。这种攻击甚至适用于带有大量互联网上行链路的客户,以及部署防火墙保护的大企业。我们期望专业防火墙设备能应对此类攻击”。            
7大DDoS攻击事件盘点

1. 暴雪DDoS攻击

 


今年4月,Lizard Squad组织对暴雪公司战网服务器发起DDoS攻击,包括《星际争霸2》、《魔兽世界》、《暗黑破坏神3》在内的重要游戏作品离线宕机,玩家无法登陆。名为“Poodle Corp”黑客组织也曾针对暴雪发起多次DDoS攻击,8月三起,另一起在9月。

 


攻击不仅导致战网服务器离线,平台多款游戏均受到影响,包括《守望先锋》,《魔兽世界》、《暗黑3》以及《炉石传说》等,甚至连主机平台的玩家也遇到了登陆困难的问题。

2. 珠宝店遭遇25000个摄像头组成的僵尸网络攻击

 

今年6月,一家普通的珠宝在线销售网站遭到了黑客的攻击,美国安全公司Sucuri在对这一事件进行调查时发现,该珠宝店的销售网站当时遭到了泛洪攻击,在每秒钟35000次的HTTP请求(垃圾请求)之下,该网站便无法再提供正常的服务。

当时,Sucuri公司的安全研究人员曾尝试阻止这次网络攻击,但是这一僵尸网络却进一步提升了垃圾请求的发送频率,随后该网络每秒会向该商店的销售网站发送超过50000次垃圾HTTP请求。

安全研究人员对此次攻击中的数据包来源进行分析后发现,这些垃圾请求全部来源于联网的监控摄像头,25000个摄像头组成僵尸网络发起DDoS攻击,成为已知最大的CCTV(闭路电视摄像头)僵尸网络。

3. Anonymous组织发起的“Operation OpIcarus”攻击

 


今年5月,Anonymous(匿名者)麾下的BannedOffline、Ghost Squad Hackers(幽灵黑客小队)等黑客小组,针对全球范围内的多家银行网站,发动了短期性网络攻击,Anonymous将此次攻击行动称为:“Operation OpIcarus”。

此次选定的攻击目标包括约旦国家央行、韩国国家央行、摩纳哥央行以及一些设立在摩纳哥的企业银行网站等,随后黑客们对其实施了一系列的DDoS攻击。这次攻击导致约旦、韩国以及摩纳哥等央行网络系统陷入了半小时的瘫痪状态,使其无法进行正常工作,而黑山国家银行网络系统则被迫关闭,停止服务。

4. 精准的NS1攻击

 

今年5月,DNS和流量管理供应商NS1(ns1.com)遭遇了历时10天的针对性大规模DDoS攻击,它通过执行上游流量过滤和使用基于行为的规则屏蔽了大部分攻击流量。

攻击者没有使用流行的DNS放大攻击,而是向NS1的域名服务器发送编程生成的DNS查询请求,攻击流量达到了每秒5000万到6000万    包,数据包表面上看起来是真正的查询请求,但它想要解析的是不存在于NS1客户的主机名。攻击源头也在东欧、俄罗斯、中国和美国的不同僵尸网络中轮换。

5. 五家俄罗斯银行遭遇DDoS攻击

 



11月10日,俄罗斯五家主流大型银行遭遇长达两天的DDoS攻击。来自30个国家2.4万台计算机构成的僵尸网络持续不间断发动强大的DDOS攻击。

卡巴斯基实验室提供的分析表明,超过50%的僵尸网络位于以色列、台湾、印度和美国。每波攻击持续至少一个小时,最长的不间断持续超过12个小时。攻击的强度达到每秒发送66万次请求。卡巴斯基实验室还指出,有些银行反复遭受被攻击。

6. Mirai僵尸网络攻击KrebsonSecurity

 


Mirai是一个十万数量级别的僵尸网络,由互联网上的物联网设备(网络摄像头等)构成,8月开始构建,9月出现高潮。攻击者通过猜测设备的默认用户名和口令控制系统,将其纳入到Botnet中,在需要的时候执行各种恶意操作,包括发起DDoS攻击,对互联网造成巨大的威胁。

今年9月20日,安全研究机构KrebsonSecurity遭遇Mirai攻击,当时被认为是有史以来最大的一次网络攻击之一。然而没过多久,法国主机服务供应商OVH也遭到了两次攻击,罪魁祸首依然是Mirai。据悉,KrebsonSecurity被攻击时流量达到了665GB,而OVH被攻击时总流量则超过了1TB。

7. 美国大半个互联网下线事件

 


说起今年的DDOS攻击就不得不提Dyn事件。10月21日,提供动态DNS服务的Dyn DNS遭到了大规模DDoS攻击,攻击主要影响其位于美国东区的服务。

此次攻击导致许多使用DynDNS服务的网站遭遇访问问题,其中包括 GitHub、Twitter、Airbnb、Reddit、Freshbooks、Heroku、SoundCloud,、Spotify 和 Shopify。攻击导致这些网站一度瘫痪,Twitter甚至出现了近24小时0访问的局面。

 
         

10月27日,Dyn产品部门执行副总裁ScottHilton签发了一份声明表示,Dyn识别出了大约10万个向该公司发动恶意流量攻击的来源,而它们全都指向被Mirai恶意软件感染和控制的设备。

Scott Hilton还深入剖析了本轮攻击的技术细节,称攻击者利用DNS TCP和UDP数据包发起了攻击。尽管手段并不成熟,但一开始就成功打破了Dyn的防护,并对其内部系统造成了严重破坏。该公司并未披露本次攻击的确切规模,外界估计它可能大大超过了针对OVH的那次DDoS攻击。(峰值达到了1.1Tbps,这也是迄今所知最大的一次DDoS攻击)

在这所有的攻击事件中,Herzberg最关注的问题是越来越多的僵尸网络开始利用物联网设备组建攻击,包括智能手机、摄像头等。他表示:

“如果我是攻击者,我也会对拥有一个移动僵尸网络非常感兴趣。”
事实上,互联网史上每一次大规模DDoS攻击,都能引发大动荡。

2013年3月的一次DDoS攻击,流量从一开始的10GB、90GB,逐渐扩大至300GB,Spamhaus、CloudFlare遭到攻击,差点致使欧洲网络瘫痪;

2014年2月的一次DDoS攻击,攻击对象为CloudFlare客户,当时包括维基解密在内的78.5万个网站安全服务受到影响,规模甚至大于Spamhaus,流量为400GB;

……

几年时间内,攻击流量从300G到400GB,如今已经以“T”级别来计算,DDoS攻击几乎在以飞跃式的速度增长,而随着技术发展,利用物联网设备组建僵尸网络发起攻击的现象也日益严峻,网络安全之路可谓任重道远,如何解决日益增多的难题成为未来网络安全发展的考验。

Tuesday, May 10, 2016

内部渗透测试究竟应该怎么搞?

想查明你的网络在黑客攻击面前多么不堪一击,最好的办法就是请外部专家对它进行一次渗透测试。当然,你得请具备相应资质的第三方来帮助进行渗透测试。
内部渗透测试究竟应该怎么搞?
可是请第三方进行渗透测试有两大缺点:
·费用高昂
·一旦你对自己的基础设施进行了变动,或者发现了影响基础设施的新安全漏洞,第三方渗透测试实际上“过时”了。
想避开这两个问题,一个办法就是自己执行渗透测试。
在继续探讨之前,有必要指出:自己执行渗透测试的效果比不上从外面请来专家,因为专家渗透测试需要经验、技能和创造力。可能只有专业的渗透测试人员(和专家黑客)才具备这些素质。即便你的安全团队有渗透测试方面的经验,但是许多专家还是认为,第三方以全新的视角打量你的网络,更有可能发现潜在问题。熟悉自己的网络实际上会让你看不到可能存在的安全漏洞。
不过,能够自行执行渗透测试仍是个好主意,因为只要你购买新设备、安装新软件,或者对网络进行其他的重大变动,你都可以运行测试,让你注意之前忽视的明显的安全漏洞。
内部渗透测试就好比出门之前,房子外面兜一圈,检查一下有没有窗户开着:这是一种明智的防范措施,几乎不需要什么花费。
渗透测试基础:7个步骤
最简单的渗透测试也包括许多步骤:
网络枚举和映射。这一步常常需要扫描端口,搞清楚网络的拓扑结构,并且查明哪些计算机连接到网络,查明它们提供哪些操作系统和服务。可能用来执行这项任务的最流行的工具非开源Nmap工具莫属,有时可通过Zenmap Gui来使用它。
侦察。这一步需要联系网络上的机器,获取来自这些机器的信息,比如它们运行的应用程序。侦察还需要上网搜索关于测试的那家企业组织的信息,比如查清楚IT员工和高管的姓名。这种信息对于实行社会工程学和网络钓鱼演练很有用(参阅下文)。这些人的社交媒体帐户也能透露经常用于密码中的一些信息,比如宠物名称。
网络嗅探。这一步用来检查网络上传输的流量,并且搜寻未加密数据,包括密码或VoIP流量。用于嗅探网络的事实上的标准是Wireshark(http://www.esecurityplanet.com/open-source-security/5-big-improvements-in-wireshark.html),这是另一款开源工具。
安全漏洞扫描。扫描可以发现任何机器有没有不安全的软件版本或者是可以钻空子的其他已知安全漏洞,或者发现任何无线接入点敞开还是存在弱密码。一种流行的开源安全漏洞扫描工具是OpenVAS(http://www.openvas.org)。还可以针对Web服务器使用其他比较专业的扫描工具,寻找安全漏洞,比如跨站脚本(XSS)错误。
专有的安全漏洞扫描工具可以改善开源扫描的效果,让你注意到哪些高危应用程序可能被人钻空子。
这包括:
·Nessus专业版
·Rapid7 Nexpose
·Qualys FreeScan
利用漏洞。渗透测试的这个阶段试图利用任何已知的安全漏洞,以获得系统的控制权。记住这一点很重要:虽然安全漏洞扫描可能会显示安全漏洞,但不是所有的安全漏洞都会被人成功利用,或者未必会导致重大泄密。像Metasploit(https://www.rapid7.com/products/metasploit/download.jsp)这样的漏洞利用框架含有现成漏洞数据库(它可以与安全漏洞进行比对),还有便于你自行制作并利用漏洞的工具。
许多安全系统可识别Metasploit漏洞,并将它们检测出来;值得一提的是,真正的黑客可能会改动自己的漏洞,所以别傻傻地以为:就因为你的安全系统可以防止Metasploit漏洞得逞,你的基础设施就高枕无忧了。
进一步攻击。一旦某个高危系统中招,你可以利用该机器进一步渗透到网络。比如说,如果可以访问某台服务器的密码文件,密码破解工具随后可以获得宝贵的密码。利用从侦察阶段获取的信息,这些密码随后可以用来闯入更多的系统,访问更多的数据。
密码破解工具包括离线的John the Ripper(http://www.openwall.com/john/),可用于处理从你测试的网络获取的密码文件,或者是在线的开源工具Hydra(https://github.com/vanhauser-thc/thc-hydra),这个具有并行运算功能的登录蛮力攻击工具会在很短的时间内尝试多个登录/密码组合,企图登录到ftp等服务。
网络钓鱼/社会工程学。要是不通过欺骗员工来获得访问权,看看有什么可以攻击的,任何渗透测试都是不完整的。这意味着发送网络钓鱼电子邮件,或者仅仅打电话,引诱对方泄露登录信息或其他敏感信息。
手动渗透测试和Linux发行版
想手动执行渗透测试,你就需要许多工具,包括上面所述的那些工具。想在一个地方拥有需要的所有工具,最好的办法就是下载一款开源Linux安全发行版。建议使用的发行版包括如下:
·Kali Linux(https://www.kali.org/downloads/)
·Pentoo(http://www.pentoo.ch/download/)
·Parrot Security OS(http://www.pentoo.ch/download/)
·BackBox(https://backbox.org/download)
·Samurai Web测试框架(https://sourceforge.net/projects/samurai/files/)
这些发行版含有数百个其他开源工具,这些工具可用于网络侦探和枚举、安全漏洞扫描、密码破解、无线安全审查及更多操作。
这些发行版存在的问题是,如果你不熟悉它们含有的工具,就很难知道该从哪里入手。一个解决办法就是接受全面的培训,熟悉安全发行版中含有的一些工具。
培训选项包括:
·Kali Linux渗透测试培训():这种学生自定进度的在线渗透测试课程专为想在渗透测试方面有所深造的网络管理员和安全专业人员设计。提供培训的是Offensive Security,它是Kali Linux的开发者,也是知名渗透测试培训和认证组织之一。
相关链接:https://www.offensive-security.com/information-security-training/penetration-testing-training-kali-linux/
·Metasploit Unleashed:Metasploit Unleashed道德黑客培训课程免费提供,可能是最全面、最深入的指南,面向大名鼎鼎的Metasploit Project渗透测试工具。
相关链接:https://www.offensive-security.com/metasploit-unleashed/
·InfoSec Institute的渗透测试在线培训。InfoSec Institute的渗透测试在线培训是一门全面的在线渗透测试课程,包含100多个模块,在线培训时长超过100个小时。由于需要学习大量材料,大多数学生需要整整60天才能学完课程。
相关链接:http://www.infosecinstitute.com/courses/penetration_testing_online.html
自动化渗透测试
想自行执行渗透测试,比较容易的办法就是使用自动化渗透测试工具,它会为你执行一些或所有这些步骤,你基本上不需要干预,或者使用向导来引导你。
这种方法的好处在于,它能显示你网络上比较直观的问题。另一个好处是,不大在行的黑客可能也会使用这样一些工具,所以在黑客之前运行这些工具,你就能缓解抢在黑客之前找到的任何问题。
不过,这些工具的功能有限。经验老道的黑客或渗透人员可能结合使用多种手法,包括网络钓鱼和社会工程学伎俩,突破你的防线大搞破坏,或者他们可能发现的某个安全漏洞需要非凡的创造力才能加以利用。自动化工具无法同样做到这点。
大多数自动化渗透软件是作为商用产品来提供的。这些软件包括:
·Rapid7 Metasploit(https://www.rapid7.com/products/metasploit/editions.jsp)
·Immunity Canvas(https://www.rapid7.com/products/metasploit/editions.jsp)
·Core Impact Pro(http://www.coresecurity.com/content/core-impact-overview)
渗透测试风险
在你考虑自行执行渗透测试之前,要小心哪里可能会出岔子。无论是手动还是自动,渗透测试都需要对网络进行测试和探测。这可能会降低网络速度,让计算机运行起来慢腾腾,或者导致一个或多个系统崩溃,从而可能干扰正常业务。

恶意软件逃避反病毒引擎的几个新方法

火眼研究人员发现的几种恶意软件样本使用了一些耐人寻味的技术,能够更长久地维持对反病毒引擎的隐身状态。
火眼公司刚刚发布了一个新的威胁分析专题,名为“端点上的幽灵”(https://www.fireeye.com/blog/threat-research/2016/04/ghosts_in_the_endpoi.html)。专题第一期中详细介绍了恶意软件使用的几种隐身技术。
恶意软件逃避反病毒引擎的几个新方法
研究人员分析了2015年上传到VirusTotal病毒扫描系统、并在2016年1月前成功保持未检测状态的恶意Win32二进制文件和Office、RTF、韩软Office (Hangul Word ProceSSOr)类型的文档。这项研究也罗列出了一小部分被反病毒引擎检测到、却使用了值得关注的绕过技术的恶意软件样本。
一、伪装Excel 利用Flash
火眼公司发现的其中一个威胁被认为是由攻击台湾的某APT小组使用的。在六个月时间内,它在VirusTotal上成功保持0/53的检测率。该恶意软件属于后门程序,被安全专家称为GoodTimes。它将自己伪装成Excel文件并利用 Hacking Team 数据泄露事件中流出的 Flash Player 漏洞进行入侵。
研究人员认为这一威胁并未被反病毒引擎检测到的原因在于:Flash漏洞嵌入在Excel文件中直接包含的ActiveX对象上,而不是在网页上托管。
二、垃圾代码做掩护
火眼发现的另一个威胁被认为是由黑客小组APT3使用的,它是UPS后门的一个变种。这种恶意软件也成功隐身了6个月,原因可能是该样本中包含巨量的垃圾代码,掩盖了其恶意软件的本质,并使得分析工作更难进行。
三、比特串串联
火眼在今年1月发现了一种包含VBA宏和Metasploit shellcode加载器后门的恶意软件,它仅被火眼使用的一个反病毒引擎检测到。这一威胁是在2015年9月上传到VirusTotal的,它有可能是中东的APT小组使用的。证据指向了与伊朗有关连的网络间谍小组Rocket Kitten。
由于VBA宏中使用了比特串串联(byte concatenation) 技术,该威胁可能绕过了基于签名的检测手段。
四、堆喷射技术隐身
最后一个与APT相关的恶意软件在六个月时间段内极少被检测到,它是通过韩软Office文档进行传播的,其目标可能是攻击韩国。研究人员认为该恶意软件有可能通过改造后的堆喷射技术做到了隐身,它可以使用一种不同的格式来触发想要利用的漏洞。
五、其他
火眼还发现了无法找到其来源的恶意软件,比如OccultAgent后门、一种用于攻击巴西的远程控制软件,以及一种在一年时间内保持隐身状态的恶意软件下载器。
这些威胁源使用的回避技术包括:使用多种脚本语言、多层封包、多阶段感染,外加多种通过Office文档加载恶意内容的技术。
火眼在发布的博文中说:“要想正确地做到检测,必须从攻击的整个生命周期上进行监控,而不是仅在可疑文档或文件进入网络时才提起注意。这种方式对于检测并拦截多阶段感染策略十分必要。尽管发送启用宏的表格文档等行为看上去是无害的,最终,后续攻击的某一步终将触发检测。”
“在攻击,甚至是多阶段攻击刚刚出现时,制止起来是最容易的。与此同时,也最容易确定是否存在零日漏洞、威胁源是否需要采取文档宏等用户交互手段完成攻击。”