跨越全國15省、30+城市,58名犯罪嫌疑人被捕,其包含 DDoS 攻擊黑色産業鍊中的各類角色:發單人、攻擊實施人、殭屍電腦商、出量人、擔保人、黑客攻擊軟體作者等,人民網、中新網、鳳凰網等多家媒體對此事進行了相關報道。
騰訊“守護者計劃”與騰訊雲安全團隊正是本次警方抓捕行動的幕後重要協助者。上周追擊實錄<一> 我們曝光了黑産集團運作模式,但想必看得意猶未盡,那上述被捕角色如何在組織詳細的“分工協作”呢?請看本篇追擊實錄<二>帶來的詳解。
DDoS 黑産全鍊條遭斬斷
近年來,DDoS 攻擊(Distributed Denial of Service)事件頻發,即黑客組織通過控制伺服器、殭屍電腦等資源,發動對包括國家骨幹網絡、重要網絡設施、政企或個人網站在内的網際網路上任一目标的攻擊,緻使目标伺服器斷網,最終停止提供服務。據外媒報道, CDN 服務供應商 Akamai 公司釋出的二季度網際網路安全報告顯示,2017年全球 DDoS 攻擊的次數上升了28%。DDoS 攻擊對全球網絡安全構成了極大威脅,對于威脅行為者而言, DDoS 攻擊是從受害者處敲詐金錢、竊取資料、同行惡意競争的首選武器,甚至為了進一步黑客主義意圖,還可以随時發起大規模網絡戰争。
2017年4月初,江蘇省某網絡公司伺服器頻繁遭到 DDoS 流量攻擊,導緻挂載在伺服器上的多個網站無法正常營運,損失嚴重。據了解,此次 DDoS 攻擊是網站經營者的業務同行惡意競争打壓,雇傭黑客實施 DDoS 攻擊網絡的犯罪行為。随後,在騰訊“守護者計劃”與騰訊雲安全團隊的共同協助下,江蘇省徐州市警察局網安支隊根據網絡攻擊溯源尋蹤,開展 DDoS 黑産打擊行動,于近期打掉了這個 DDoS 攻擊黑産團夥,抓獲分布于全國15省30+城市的犯罪嫌疑人58人,包括發單人、攻擊實施人、殭屍電腦商、出量人、擔保人、黑客攻擊軟體作者等 DDoS 黑産鍊條中的各類角色,對該類型的攻擊犯罪形成了有力震懾。
圖: 警方抓獲犯罪嫌疑人圖
DDoS 黑産團夥“分工協作”詳解 據騰訊“守護者計劃”安全專家介紹,DDoS 攻擊犯罪已經進入産業化時代——從以往的需要專業黑客實施全部攻擊過程的行為,發展成由發單人、攻擊實施人、殭屍電腦商、出量人、黑客攻擊軟體作者、擔保人等多個犯罪個體共同參與實施的産業化犯罪行為。此次江蘇某網絡公司 DDoS 流量攻擊案件,便是 DDoS 攻擊産業鍊化的典型例子。
那麼,在這個黑色産業鍊中,這些角色如何“分工協作”呢?
在 DDoS 攻擊黑色産業鍊中,鍊條頂端的角色為“發單人”,也就是出資并發出對具體網站或伺服器的攻擊需求的人。常見的“發單人”通常是非法網站如色情、賭博、彩票、遊戲私服等網站的經營者,為了打壓競争對手而雇傭黑客對其他同類網站進行攻擊。
接到“發單人”指令并執行攻擊的人,稱為“攻擊實施人”。實施攻擊的方式有兩種:
一種是利用軟體、工具操縱殭屍電腦(被入侵利用做攻擊工具的個人計算機)模拟通路,占用目标的伺服器CPU資源,導緻正常使用者無法通路;
另一種是發送大量流量攻擊目标伺服器,導緻伺服器無法通路網絡。軟體或工具多數購買自“黑客軟體作者”。而有的“攻擊實施人”由于不懂DDoS攻擊伺服器搭建,于是從“殭屍電腦商”和“出量人”手中購買已經搭建好的“殭屍電腦叢集”和“流量平台網頁端的服務”。
“殭屍電腦商”是侵入計算機資訊系統的實施人,或者買賣被侵入計算機系統權限的中間商。他們利用後門程式(繞過安全性控制而擷取對程式或系統通路權的程式方法)配合各種各樣的安全漏洞,獲得個人計算機和伺服器的控制權限,植入木馬,使得這些計算機變成能實施DDoS攻擊的“殭屍電腦”。
“出量人”是擁有伺服器控制權限和網絡流量的人。他們有一定技術能力,能夠租用專屬伺服器并自行配置攻擊軟體進而擷取流量。
在發單、購買殭屍電腦、購買流量等各個交易環節中,因為交易的雙方往往并不認識,于是他們會找到業内“信譽”較高的黑客作為“擔保人”,負責買賣雙方的資金中轉,擔保人可從中抽取一定的好處費。
負責編寫 DDoS 軟體,用其實作多種攻擊方式,降低黑客攻擊門檻,并售賣軟體盈利。
圖:DDoS 黑産集團運作模式圖解
網絡空間安全與純淨 騰訊雲協警共同努力
随着 DDoS 攻擊的産業化和僵屍網絡建構工具包和所謂的“stresser”、“booter”以及其他 DDoS 出租服務的廣泛運用,不僅增加了 DDoS 攻擊的打擊難度,還降低了 DDoS 攻擊的實施門檻。如今,不再僅僅是國家支援的黑客和APT組織能夠使用 DDoS 基礎架構,就連普通的網絡犯罪分子和腳本小子也能夠輕松發起一場 DDoS 攻擊。是以,積極打擊 DDoS 攻擊,鏟除 DDoS 攻擊黑色産業鍊,是保障網絡空間的安全和純淨的重要行動。
今年以來,騰訊“守護者計劃”安全團隊陸續協助多地警方,破獲多起 DDoS 攻擊案件。除上述的4月江蘇某網絡公司 DDoS 流量攻擊案件以外,還有2月重慶某區局部網絡 DDoS 攻擊等。
同時,騰訊雲聯合騰訊電腦管家已率先布署雲端防禦。騰訊雲大禹系統專業抗 D(抵抗 DDos 攻擊)布局防禦雲端伺服器安全,騰訊電腦管家保障使用者終端電腦安全,建構“雲+端”的立體化防禦體系,幫助使用者避免遭受大規模 DDoS 攻擊。此外,騰訊雲還聯合途隆雲、唯一網絡、睿偉網絡、帝恩思四家企業共同成立 DDoS 防護聯盟,未來将在 DDoS 領域深度合作,共建安全的網絡空間。