大家好，我是零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju

在過去的一週，澳大利亞的銀行和金融部門一直籠罩在“Silence Hacking Crew（沉默小組）”的攻擊威脅之中。

號稱是臭名昭著的“沉默小組”的攻擊者通過傳送電子郵件，要求澳大利亞各組織（尤其是銀行和金融業相關組織）交付門羅幣（XMR）加密貨幣。否則將遭遇DDoS攻擊。

像這類始於一封威脅信，若不交付贖金就發動攻擊（通常以分散式拒絕服務DDoS攻擊的形式出現），這種基於利益勒索的分散式拒絕服務攻擊就是所謂的RDoS（贖金拒絕服務）攻擊。

那麼，今天零日就和大家聊聊這類攻擊的活動情況。

RDoS攻擊的活動軌跡

RDoS攻擊是一種尚算新興的攻擊方式，而冒充世界級黑客組織的名號發動RDoS（贖金拒絕服務）攻擊，我相信大家肯定對此覺得匪夷所思。

然而這類勒索手法，早在2017年就有跡可循，也曾在2019年活躍一時。

2017年，正是此類贖金團伙活躍達到頂峰的一年，這些團伙要麼冒充世界知名的黑客組織，如Anonymous，Armada Collective，New World Hackers和Fancy Bear，要麼模仿頂級黑客組織自己取名，然後向目標傳送勒索信。

此時的大部分犯罪團伙都只是“虛張聲勢”，他們並沒有發起DDoS攻擊等大規模攻擊的實力，騙錢全靠名頭，是實打實的“江湖騙子”。

2019年10月，全球銀行、金融業相關的多個組織再次遭遇RDoS攻擊。其中，土耳其電信巨頭TürkTelekom、最大的私人銀行之一Garanti BBVA因網路攻擊中斷了部分服務，南非幾家網際網路服務提供商（ISP）遭遇了持續兩天的DDoS攻擊、系統一度癱瘓。

同樣是冒充頂級黑客組織，同樣是威脅受害目標發動RDoS攻擊。不同的是，這次的犯罪團伙擁有了相當的攻擊實力，往往是一邊發動攻擊、一邊發勒索信。

對於彼時的攻擊者來說，冒充厲害一點的黑客組織，不過是順利收取贖金的助攻罷了。

而這一次，攻擊者又借了個新身份，瞄準澳大利亞銀行和部分金融機構。很快，澳大利亞網路安全中心（ACSC）就戳破了攻擊者的偽裝。

幾乎可以肯定的是，攻擊者並非曾打劫過東歐、南非等地銀行數百萬美元的“沉默小組”。目前看來，澳大利亞銀行只是虛驚一場，並未受到任何DDoS攻擊。

RDos活動的攻擊分析

儘管發起RDoS攻擊的攻擊組織身份未明，且不能確定前後攻擊是同一組織所為，但大家都能注意到，這類RDoS攻擊以金融業為主要目標，且具有一定的殺傷力。

為什麼會對RDoS攻擊如此警惕？大家可千萬別被以往的案例誤導，以為這類攻擊只是以恐嚇手段為主，單看2019年的攻擊情況就知道，隨著技術的發展，攻擊者也具備了癱瘓網路的實力。

下面零日根據2019年Radware的攻擊報告，大致分析了RDoS攻擊具體情況。

攻擊組織首先選定受害目標一個特定的IP地址作為示例攻擊目標，表明攻擊者有能力對目標網路進行最大程度的攻擊。

圖：Radware關於2019年RDoS攻擊的報告內容

根據報告內容我們可以瞭解到，這些團伙通常執行著自己的殭屍網路，這種型別的RDoS攻擊會使受害目標遭遇持續15分鐘至幾個小時的網路攻擊，預計會達到40-60Gbps和多個攻擊向量同時出現。

攻擊載體包括SSDP\NTP\DNS\CLDAP\WSD\ARMS\SYN\ICMP等，其中，有一種新型的攻擊載體吸引了大家注意，即使用Web服務動態發現（WSD）協議。

這個攻擊載體於2019年初為人所知，但在2019年10月就已經被攻擊組織利用。可見，攻擊組織的實力也在隨著各項技術的發展而進步，可不是當年只會“空手套白狼”之流。

RDoS攻擊者的“計謀”

事到如今，攻擊團伙仍然屢屢打著著名黑客組織的名頭“招搖撞騙”，真的是他們不懂創新、只會用這一招嗎？

在零日看來，絕非這樣簡單。如果說2017年的冒名攻擊，是攻擊組織無法擁有相應的攻擊水平，只好出此下策。那麼之後仍然沿襲老一套，一方面是利用頂級黑客組織的影響加深受害者恐懼，另一方面也有利於掩藏自己的真實身份。

目前為止，人們的確對真實的攻擊者身份知之甚少。甚至以後來說，這樣做更有可能是為了讓受害目標以為攻擊者徒有虛名而放鬆戒備。

虛實真假之下，掩藏著攻擊者對金融業繁榮景象的覬覦之心。

對於很可能再次進入活躍狀態的RDoS攻擊，零日總結了以下幾點建議：

1.   受害目標不要交付贖金，應及時聯絡網路安全公司幫助自身對抗攻擊；

2.   各組織應建立有效的DDoS保護機制，如通過建立實時簽名保護未知威脅與零日攻擊；

3.   利用混合DDoS保護，即內部和雲DDoS保護來預防實時DDoS攻擊；

4.   加強異常行為、流量檢測；

5.   完善網路安全應急響應計劃。

零日反思

RDoS攻擊作為一種新興的攻擊手法，於未來充滿了無限可能。

我們可以預料到，目前破壞力有限、手段尚顯粗糙的攻擊者一定會提升攻擊手段，或者不排除有真正頂級的黑客組織發起RDoS攻擊的可能。這就好比大家耳熟能詳的“狼來了”故事，如果我們此時降低警惕，終有一天將成為網路攻擊之下的待宰羔羊。

零日情報局作品

微信公眾號：lingriqingbaoju

如需轉載，請後臺留言

歡迎分享朋友圈

參考資料：

Radware 《Global RDoS Campaign – Fancy Bear》