博主呓语:

38万人黑产帝国 DDoS 攻击利益链年入100亿

Posted by 破冰 on 2016-11-7 13:39 Monday

在这条黑色产业链中,相关从业人员或已达到38万余人,涉及6000多个大大小小的黑产团伙,年产值可能超过100亿人民币。

创业者最易中枪

创业者是DDoS容易盯上的对象,这是因为初创企业或小公司大多没有相对成熟的防御体系,坏人攻击成本小,而获利途径,大多为商业竞争和敲诈勒索。

商业恶性竞争

商业竞争在互联网这个万亿市场中尤为激烈。一些行业竞争者甚至为了利益不择手段、不顾法纪,通过DDoS攻击妨碍竞争对手的业务活动,打击对手的声誉,从中获取竞争优势。其中,电商行业和在线游戏行业是重灾区。

在一个真实案例中,一家销售成人用品的网站刚刚上线就开始被不停的DDoS。攻击持续了一个月,经营者不知道为什么被打,也没有人来勒索或者谈条件。最终还是实施DDoS攻击的“打手”于心不忍,偷偷泄露秘密,原来是一个同行雇他持续攻击的。最终无奈,该网站放弃运营。

敲诈勒索

DDoS由于成本低、实施容易等特点,在较早期就开始成为黑客在网络上进行敲诈勒索、收取“保护费”的主要方式。而企业在创业初期往往以经济发展为第一要务,在安全防护工作方面常常投入不多,就更加容易成为不法之徒敲诈勒索的目标。

坏人首先会先对企业的网站进行攻击,致使网页不能被用户访问,然后联系公司的员工勒索钱财,金额一般不会太大,在2000-8000元左右。一般的企业因为业务受到影响,加上坏人索要的金额也并不巨大,大多都会支付赎金。然而,得了好处的骗子并不会就这样信守承诺,勒索也将变成无底洞。

DDoS攻击会对企业造成怎样的危害?

DDoS对企业的影响是非常直观的,比如企业的网页无法打开、APP的内容无法加载、游戏玩家大面积掉线、视频资源无法播放等等。最近一些创业企业,因为被黑客DDoS攻击而遭受巨大损失的案例也不在少数。那么,DDoS究竟会给企业带来多大的影响?

这里以网络游戏业务为例。据腾讯安全平台部宙斯盾统计,目前网络上的DDoS攻击,超过40%的目标都是游戏,仅在今年1月份到10月份,宙斯盾在游戏业务领域共拦截了30万次DDoS攻击,平均每分钟防御1次。如果完全不作防护的话,这些攻击会直接造成约5.2亿次的玩家掉线。5.2亿玩家掉线会带来多少损失,会使多少游戏产品面临死亡的威胁,相信不用说,大家也能感受到。

DDoS产业是怎样赚钱的?

经过这么多年的发展,DDoS的产业链条已经发展的十分成熟了。各团伙之间分工明确、合作紧密,俨然形成一个井然有序、不断扩张的地下市场。而各个链条的获益模式也是不尽相同。

1. 出售攻击工具

在DDoS全面蔓延的今天, 许多DDoS攻击的工具在网络上可以直接免费下载的。但是一些质量较好的,有特殊定制服务的软件,还是需要从专业的制作团伙购买。软件作者一般会根据攻击团伙的需求,编写定制化软件,并收取费用。一般数百元到千元不等。

2. 出售攻击流量

除了攻击工具,发起DDoS攻击还需要具备一定的流量。一般而言,通过抓“肉鸡”构建僵尸网络来获取流量耗时耗力,并且不够稳当。所以一些攻击者会选择向流量平台商租用流量。据安平情报团队调查,流量供应商会把所掌握的流量管理权限有偿提供给攻击者实施网络攻击,一般按时按量收费。

3. 接单中介抽水

DDoS黑产的高度成熟也催生出产业链条中的中介服务:接单中介。最基础的模式是接单人员接到客户的基于不同需求的“D单”、“C单”、“包天单”等订单,再把单子分发给具备相应攻击资源和能力的攻击者。根据对目前黑市的调查,完成一份D单的报酬根据攻击难度和攻击时长从100元到上千元不等,接单中介按协商好的百分比收取利润。

4. 攻击者攻击获利

在这个黑色产业中,DDoS攻击者不再是单纯发泄不满的年轻人,也不再是组织攻击的主角,他们更多是“客户”所雇佣的“打手”。通过接单中介或自己直接接活,黑产人员的月收入可达到数万元人民币。巨大的潜在利益驱使着攻击者们不断地铤而走险,也使得DDoS攻击成为互联网企业挥之不去的梦魇。

十年,从业者暴涨至数十万,年产值过百亿

在98年初,DDoS仅作为一种彰显黑客技术能力的炫耀手段而出现,随后的几年,随着互联网业务的不断丰富和发展,从2003年开始,网络上开始有人利用DDoS技术攻击网游私服,并勒索钱财,我们称之为“黑吃黑的阶段”。到了08年,DDoS的攻击技术被用于“统一市场”,主要攻击小型的网游私服发布站、论坛,并强行吞并,当时的DDoS攻击资源被掌握在少数的攻击小组手里,例如“骑士攻击小组”。到了10年前后,DDoS黑色产业发展的空前壮大,攻击资源开始蔓延,依托于DDoS的敲诈勒索时有发生,受害者多为网吧、游戏公司、中小型创业企业等,DDoS进入“全面蔓延时代”。

经过十余年的发展壮大,DDoS攻击已形成了一条高度成熟的黑色产业链。据安全平台部黑产情报团队分析调查,目前在这条黑色产业链中,相关黑产从业人员或已达到38万余人,涉及6000多个大大小小的黑产团伙,其中,专职于DDoS黑产的人员就高达13万,如果以人均月收入4000元计算,年产值将超过100亿。

那么,该如何应对?

从目前来看,可以说DDoS的防护并无捷径可走,这完全是一场攻防成本的博弈。简单的说,就是大量的人力和财力。但是,很多企业在快速发展的阶段,并没有能力大量投入成本完成类似的建设。因此,合理的选择应该是性价较好的成熟的平台。

在互联网+已渐成趋势,越来越多企业都要全面触网的时代,企业所遭遇的安全挑战也更加严峻:你挽起袖子准备大干一番,坏人也瞪大眼睛盯上了你的钱包。本文作为经验之谈,希望能对创业者或企业经营者有所帮助,在创业和企业经营的路上,少些陷阱,多些保障。伟大的梦想不能被坏人绞杀,做好安全防护是企业成功运营的最基本保障。

APT攻击没想像中的那么高端

高级可持续威胁(APT)的名字听上去的确很了不起,似乎有关它的一切一定很高端,很复杂。但最近的一份分析报告却显示,有些APT攻击其技术含量还不比不上普通的恶意软件。

“这有点违反普通人的直觉,大部分人都被好莱坞电影错误的引导了,但我本人并不觉得有什么奇怪的。”这份分析报告的作者,Sophos实验室首席研究员戈伯表示(Gabor Szappanos)。“我每天都会各种恶意软件的样本进行分析,经验告诉我APT攻击的样本比普通的攻击样本更容易分析。虽然这只是主观印象,但我有实际的数据支持。”

一个微软办公软件Word漏洞(CVE-2014-1761)被用来分析测试恶意软件。该漏洞去年最后三个月被大肆利用,并成为第三大被利用的基于文档的漏洞。分析发现,所有的攻击者不仅对“攻击工具的理解力有限,修改能力有限”,即使是APT攻击团伙在技术的高端和复杂性上还不如普通的主流网络罪犯。

研究人员共分析了70个恶意程序样本,包括各种恶意软件家族,如Plugx、MiniDuke和Tinba。但在这些程序中,无论是APT还是普通恶意程序的作者都没有显示出对攻击技术的足够认知,大多数恶名昭著的APT攻击团伙比较低端,远称不上高级复杂(sophistication)。

而且,还有一种情况令人大跌眼镜,竟有超过一半的样本对CVE-2014-1761不起作用。当然,这并不意味所有的恶意软件都不能感染攻击目标,因为还有一些同时可利用多种漏洞的恶意程序,以及一些利用过时漏洞(如CVE- 2012-0158)的恶意程序,可以成功感染目标,但成功率也只有30%。

很明显,现在编写漏洞利用程序比过去要更加困难了。

安全牛评:这份报告结果证明了恶意软件环境的分化,一方面只有很少的人可以编写漏洞利用程序,另一方面大量的人使用漏洞程序,这些人缺乏对复杂恶意程序的理解力,但他们照样可以利用别人编写的软件发起所谓的APT攻击。

如何对付安卓关机劫持恶意软件?

新年伊始,安全界就传出了一则新闻:一款新的安卓恶意软件决意要窃取你的所有秘密、身份,记下你的一举一动,拍视频,可能甚至盗取你未出生的孩子。这个恶意软件名为关机劫持(PowerOffHijack,或者一些圈子所说的Shutdown Hijack)。它是由杀毒软件公司AVG发现的;从理论上来说,它可能非常危险。不过,在大多数情况下不是很危险。

下面简要介绍一下这款恶意软件。一旦它进入到你的设备上,它就会劫持关机过程,让你误以为已关闭了手机(甚至还会播放关机动画,让你相信一切都没问题)。一旦设备关机,该恶意软件就会拨打电话,向外发送消息,拍摄照片以及执行更多的任务。

关于这个恶意软件的重要信息包括如下:

  • 该恶意软件只出现在谷歌Play Store之外的应用程序商店上;

  • 该恶意软件只能影响版本5以下的安卓系统;

  • 该恶意软件必须获得root访问权,才能发挥作用。

AVG公司已声称,确信你的手机已正常关机,唯一的方法就是拆下电池。当然,这并不适用于根本拆不下电池的好多安卓设备(比如摩托罗拉Moto X和宏达电M8等)。在AVG博客(http://now.avg.com/malware-is-still-spying-on-you-after-your-mobile-is-off/)上,他们非常详细地介绍了这款恶意软件的工作原理,使用特定的代码片段来阐述这个过程。他们还确实提到:该恶意软件源自中国;据称中国已有10000多个设备受到了感染。AVG没有提到是该恶意软件从哪些网站下载的,也没有提到该恶意软件潜藏于哪个或哪些应用程序中。

该恶意代码背后的原理存在严重缺陷,甚至背离了其初衷。考虑到很少有人实际关掉移动设备,所以这种类型的威胁几乎不是什么问题。没错,有一些人确实偶尔会完全关闭设备,但那些人得满足恶意软件设计的其他标准才会中招,包括如下:

  • 他们是否从第三方网站下载应用程序?

  • 他们的设备有没有被破解?

我猜想上述两个答案都是“不”。所以,即便你关掉了手机,这个恶意软件危及你安全的可能性也很小。

不过,万一你果真满足所有那些标准(这种可能性很小),担心关机劫持恶意软件可能潜入到设备上,下面是你需要采取的几个步骤:

1. 安装一款反恶意软件程序(我的最爱是Malwarebytes,下载地址是https://play.google.com/store/apps/details?id=org.malwarebytes.antimalware),确保你使用了该程序。

2. 删除你之前从第三方网站安装的任何应用程序。

3. 卸载所有可疑的第三方应用程序后,再次用Malwarebytes扫描一遍。

我之前说过,现在还是要重申一下:你的安全不能完全指望谷歌(或任何平台开发商)。如果你使用移动设备不明智,可能会出现糟糕的情况。我们处在没有什么是绝对安全的这样一个年代。窃取数据的新方法会继续层出不穷,谷歌、苹果和微软等平台开发商需要保持警觉,广大消费者也是如此。与此同时,报告威胁(比如关机劫持威胁)的公司需要负责任地报告那些威胁(也就是“如果你没有访问过第三方安卓应用程序商店,你的设备不太可能受到关机劫持恶意软件的影响”)。

普通消费者或用户往往对移动技术疏忽大意。密码很弱(或根本就不用);反恶意软件根本就没有安装;设备没有向安卓设备管理器(Android Device Manager)之类的管理软件注册,不一而足。使用安卓之类的平台时,你得明白受到安卓的制约根本不如iOS来得严格。正因为如此,你要采取另外几个防范措施,并且在使用设备时要时时记得安全。

责任总是与权力相伴。

不像在台式机或笔记本电脑上工作,移动安全泄密事件带来的威胁更让人不安。在合适的情况下,不该泄露的信息可能会泄密,受害者发觉要收拾一副烂摊子。别成为那样的受害者!自己小心谨慎一点,那样安卓会在未来多年为你好好地服务。

发表评论: