开发者社区> 云栖大讲堂> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

南非银行分享与勒索软件作斗争的故事

简介:
+关注继续查看

2015年11月起,南非第一国家银行就在与垂涎金钱的网络罪犯做斗争。

南非银行分享与勒索软件作斗争的故事

2015年11月,南非第一国家银行收到了来自 Armada Collective 的勒索邮件,跟着就是一波戏弄性质的洪水攻击,类似某种能力证明和攻击宣言。

银行官方没有退缩。Radware最近发布的《全球应用&安全》调查报告称,勒索邮件是在下班时间发送到公司一个无人看顾的邮箱中的,银行在官员发现该邮件前就检测并缓解了试探洪水攻击。因为有混合DDoS缓解解决方案,洪水攻击没有产生任何影响,并被快速转移到清洗中心进行清除。

报告揭示:勒索攻击是如今最普遍的威胁——从2015年的25%增长到2016年的41%。是什么推动了如此巨大的增长?网络勒索可成为暴利“行业”。这种形式的勒索比以往更快、更简单、更便宜,留给受害者的响应窗口时间非常短,一晃眼就可能要承受系统中断、运营停滞的惨痛损失。

今时今日的勒索邮件攻击不同于普通勒索软件,可将公司数据当做人质,不见赎金不放数据。

一名网络架构师在报告中解释称:因为银行地处南非,与世界其他地方区隔开来,这就既蕴含了公司保护自己的能力(比如在转移攻击流量上的延迟),又限制了攻击者使用大规模攻击的能力;黑客在南非甚至搞不到半TB的流量。

试探攻击可能有300MB的流量。作为安全预防,受到洪水攻击和接到勒索邮件时,会在勒索截止日前,将网络流量导引到DDoS缓解厂商的清洗中心。执行勒索攻击的黑客应该会看到流量被转移,也就明白了发起试探攻击没有效果。

该银行也认为,自己向 Armada Collective 及其他勒索团伙发送了一个信号。“通过采取强力决定性行动,向黑客发出我们不会成为受害者的信息。”

2016年4月,该银行收到声称来自蜥蜴小队的勒索邮件,通过当地一个银行风险管理协会,确认是模仿犯而已。因为是恶作剧,该银行决定不转移流量,不过,他们确实受到了小型试探攻击,依赖Radware的应急响应团队进行了处理。

2016年起,攻击方法开始多样化,第一银行经历了四倍于过去的瞬时攻击井喷。同时,持续时间超过1小时的攻击在减少。趋势似乎在渐渐转向“打了就跑”的短时攻击。

但也不是所有的攻击都是瞬时攻击。2016年9月,该银行受到了一次较小型的攻击(2G-3Gbps),但持续时间长达4个多小时,且渐进发展几个阶段。银行官员注意到其中一些攻击是ping攻击。他们经历了16000个SYN连接的攻击(在南非已算相当大了),最后是靠内部DDoS防护应用缓解的。

在半SYN攻击后,HTTP洪水随之而来,源头约有2000个。当然,也被成功缓解了。不过,该银行对完全HTTPS洪水就束手无策了。

加密攻击,昭示出必须拥有专门的防护措施,来针对利用SSL标准绕过安全控制的攻击方式。通常情况下,该银行面对的是UDP分片攻击后跟着DNS反射攻击。那次案例中,却是被典型的SSL攻击袭击。

一般的SSL攻击每波只持续3-4分钟,一波紧跟一波密集发动。但那次的攻击持续了1.5小时,攻击消耗掉的计算资源给银行的防御系统造成了巨大压力。该银行产生了太多响应负载,将其外出连接逼近了上限,三倍于平时吞吐量。

经验教训

2016年见证了勒索威胁的爆炸式增长,衬托得其他类型的网络攻击都不显眼了。调查中,56%的公司都报告称自己是网络勒索的受害者,41%将勒索列为自身面临的最大网络威胁(2015年数字为25%)。可以从南非第一国家银行的案例吸取一些经验:

1. 限速分析加上行为分析的好处

过去,该银行测试了一个利用限速技术的DDoS缓解解决方案,发现使用行为分析能提供很大的优势。因为不会封住合法流量,行为分析使第一国家银行得以维持其服务水平。

2. 时间对缓解的重要性

通过拥有实时发展攻击特征码的能力,该银行能够在20秒内缓解攻击。

主要威胁

Radware发现了几个勒索型DoS攻击的主要执行团伙:

Armada Collective:或许是知名度最高的网络犯罪团伙。他们喜欢在发送勒索通知时顺带一次示威攻击,索要赎金一般在10-200比特币(约$3,600-$70,000)。只要超过支付时限,受害者的数据中心就会被超100Gbps的流量淹没。

明显的模仿犯开始冒用 Armada Collective 的名号;一个早期策略曾尝试向3家希腊银行勒索720万美元。

DD4BC:这个犯罪团伙的名字就是“为比特币而来的分布式拒绝服务”,2014年年中开始发起比特币勒索活动。最开始针对在线博彩行业,此后DD4BC将目标范围扩大到金融服务、娱乐和其他知名公司。

ezBTC Squad:该网络犯罪团伙没有使用常见的邮件消息,而是用推特作为投递其RDoS(勒索拒绝服务)的手段。

Kadyrovtsy:以车臣Kadyrov政权精英力量命名,是最新冒头的RDoS团伙,最近刚刚威胁过两家波兰银行和一家加拿大媒体公司。该团伙甚至还发动了一次15G-20Gbps的示威攻击来证明其能力,就像 Armada Collective 一样。

RedDoor:2016年3月第一次发动攻击。行动模式比较标准,就是用匿名电子邮件发送勒索消息,索要3比特币。受害公司只有24小时可以转账给某比特币账户。

小心模仿犯:模仿犯加重了RDoS麻烦。这些人发出虚假勒索邮件,希望能用最小的付出获得快钱。识别虚假勒索邮件有几条建议可供参考:

  • 评估赎金要求:Armada Collective 通常索要20比特币。其他勒索活动也在这个数量上下。虚假勒索通常赎金额度不定。事实上,低赎金索要信很有可能就是虚假勒索,希望他们的价格足够低,让受害者愿意支付而不是去寻求专业帮助。
  • 检查网络:真黑客通过在发出勒索通知的同时进行小型攻击,来证明自己的能力。如果网络活动发生改变,勒索信和威胁就可能是真的。
  • 看看组织结构:真黑客是组织良好的。而假黑客,连网站都没有,也没有官方账号。
  • 考虑目标:真黑客倾向于攻击一个行业内的多家公司。假黑客就没那么专注,逮谁给谁发勒索信,希望能赚点外快。


作者:nana

来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
工具分享【二】GitHub 源码查看神器
工欲善其事,必先利其器,最后一个惊艳到你
30 0
一幅长文细学Vue(三)——组件基础(下)
在本文中年我们会了解什么是props,怎么利用props在父组件和子组件之间传递数据;什么是计算属性,还有什么是事件。
16 0
纳米镜系列文章|使闲鱼各种业务“雨露均沾”
一个强扩展性的数据科学平民化产品
1049 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
文章
问答
文章排行榜
最热
最新
相关电子书
更多
IOActive
立即下载
IOActive
立即下载
比特币谣言粉碎机: 技术的乌托邦还是商业的潘多拉魔盒?
立即下载