DDoS 攻击：比以往任何时候都更强大，并且越来越多地用于勒索

DDoS 攻击：比以往任何时候都更强大，并且越来越多地用于勒索

勒索软件已成为网络犯罪生态系统的中心舞台，去年在全球造成超过 10 亿美元的损失，并为犯罪分子赚取了数亿美元的利润。与此同时，传统上也被用来敲诈企业的分布式拒绝服务 (DDoS)攻击又卷土重来。勒索软件组织甚至利用它们向受害者施加额外压力。

根据不同内容交付网络和 DDoS 缓解提供商最近的年度报告，2020 年是 DDoS 攻击破纪录的一年，无论是攻击数量、攻击规模还是使用的攻击向量数量。这种 DDoS 勒索行为的复苏可能是由 COVID-19 大流行推动的，这迫使公司为其大多数员工启用远程工作能力，使他们更容易受到业务运营中断的影响，并且在攻击者看来，他们可能更愿意支付敲诈费用。

这一趋势在 2021 年继续，Akamai 在 2 月份遭遇了历史上六次最大的 DDoS 攻击中的三次，并且 2021 年前三个月超过 50Gbps 的攻击比 2019 年全年还要多。该公司估计超过 50Gbps 的攻击可能会下线由于带宽饱和，大多数没有抗 DDoS 缓解的在线服务。

DDoS 勒索的回归

DDoS 攻击背后的动机多种多样，从想要破坏竞争服务的不道德的企业主到想要向他们不同意的组织发送信息的黑客活动主义者，再到不同群体之间的竞争造成的简单破坏。然而，长期以来，勒索一直是推动此类非法活动的最大因素之一，并且可以说是最有利可图的因素之一，因为发起 DDoS 攻击不需要巨额投资。租用 DDoS 服务每次攻击只需 7 美元，几乎任何人都能负担得起。

事实上，根据应用程序和网络性能监控公司 Netscout Systems 的说法，网络犯罪分子向潜在客户展示其 DDoS 能力是此类攻击的主要动机，其次是与在线游戏相关的动机（大流行期间的流行消遣）和敲诈勒索。攻击者还经常使用 DDoS 攻击作为掩护，以分散组织的 IT 和安全团队的注意力，使其无法检测其网络上的其他恶意活动，例如基础设施受损和数据泄露。

勒索 DDoS (RDDoS) 事件的案例从 2020 年 8 月开始激增，这是由于几个勒索软件组织采用 DDoS 作为一种额外的勒索技术，但也由于一个特定团伙发起了冒充其他威胁行为者的活动，包括国家支持的团体，例如Fancy Bear（俄罗斯）或 Lazarus Group（朝鲜）。该组织被称为 Lazarus Bear Armada (LBA)，首先针对选定目标发起了范围在 50 到 300 Gbps 之间的演示 DDoS 攻击。然后它跟进一封勒索电子邮件，声称拥有 2 Tbps 的 DDoS 能力并要求以比特币付款。在这些电子邮件中，攻击者声称隶属于其名称经常出现在媒体报道中以提高其自身可信度的团体。在许多情况下，该组不 如果没有支付赎金，就不会进行额外的攻击，但有时他们会这样做。过了一会儿，他们再次瞄准了以前的受害者。

该组织主要针对来自世界各地的金融、零售、旅游和电子商务领域的组织，似乎在进行侦察和规划。它们识别受害组织可能监控的非通用电子邮件地址，并针对关键但不明显的应用程序和服务以及 VPN 集中器，表明规划水平较高。该组织的活动已促使多家安全供应商 和 FBI发出警报。

与 LBA 等仅依靠 RDDoS 向组织勒索钱财的组织不同，勒索软件团伙使用 DDoS 作为额外的杠杆来说服受害者支付原始赎金，这与他们使用数据泄漏威胁的方式非常相似。换句话说，一些勒索软件攻击现在是结合了文件加密、数据盗窃和 DDoS 攻击的三重威胁。已知以这种方式使用或声称使用 DDoS 攻击的一些勒索软件团伙包括 Avaddon、SunCrypt、Ragnar Locker 和REvil。

就像勒索软件一样，很难说有多少 RDDoS 受害者实际支付了赎金，但这些攻击的数量、规模和频率都在上升的事实表明该活动足够有利可图。这可能是因为它的进入门槛低于勒索软件本身，因为 DDoS 出租服务的广泛可用性，其使用不需要大量技术知识。Cloudflare 在最近的一份报告中说：“在 2021 年第一季度，13% 的受访 Cloudflare 客户报告说，他们要么被 RDDoS 攻击勒索，要么提前收到了威胁。 ”

Akamai 观察到受攻击的独特组织数量同比增长 57%，Netscout 报告称，每年的 DDoS 攻击数量首次超过 1000 万次阈值。

Akamai 研究人员上个月在一份报告中表示：“抱有重大比特币支出的希望，犯罪分子已经开始加大努力和攻击带宽，这消除了 DDoS 勒索是旧闻的任何观念。 ” “最近的勒索攻击——峰值超过 800 Gbps，并针对一家欧洲赌博公司——是自 2020 年 8 月中旬开始的勒索攻击广泛回归以来，我们所见过的最大规模、最复杂的攻击。在该活动中，展示力量攻击已从 8 月的 200+ Gbps 增长到 9 月中旬的 500+ Gbps，然后到 2021 年 2 月激增至 800+ Gbps。”

随着新攻击向量的增加，攻击复杂性增加

根据 Akamai的说法，去年观察到的近三分之二的 DDoS 攻击包括多个向量，其中一些包括多达 14 个。Netscout 报告称，多向量攻击也急剧增加，尤其是到 2020 年底，并且跨越超过 15 个不同的攻击向量。该公司看到了组合多达 25 个不同向量的攻击。

通过滥用多个基于 UDP 的协议实现的 DDoS 反射和放大仍然非常流行。该技术涉及攻击者将数据包发送到 Internet 上保护不佳的服务器，并使用欺骗的源 IP 地址强制这些服务器将其响应发送给目标受害者，而不是返回给攻击者。这实现了两个目标：反射，因为受害者看不到来自合法服务器而不是攻击者机器人的流量，以及放大，因为某些协议可以被滥用以对短查询产生更大的响应，放大流量的大小或频率攻击者可以触发的数据包。DDoS 攻击的规模以每秒流量计算，这可能使带宽饱和，每秒数据包数，这可能使服务器的处理能力饱和。

2020 年和过去几年最流行的 DDoS 载体是 DNS 放大。其他经常被滥用用于放大的协议包括网络时间协议 (NTP)、无连接轻量级目录访问协议 (CLDAP)、简单服务发现协议 (SSDP) 和 Web 服务发现（WSD 或 WS-DD）、远程桌面协议（ RDP）基于 UDP 和数据报传输层安全性 (DTLS)。

攻击者一直在寻找可以绕过现有防御和缓解策略的新攻击向量和滥用协议。3 月，Akamai开始看到一种新的攻击向量，它依赖于数据报拥塞控制协议 (DCCP)，也称为协议 33。这是一种类似于 UDP 的网络数据传输协议，但具有 UDP 不具备的额外拥塞和流量控制功能没有。Akamai 迄今为止看到的攻击是典型的洪水，旨在绕过基于 UDP 和 TCP 的缓解措施。该协议在技术上也可以用于反射和放大场景，但互联网上没有足够的服务器使用该协议，可能会被滥用来反射流量。

“基于 UDP 的可滥用开源和商业应用程序和服务仍然是攻击者的宝贵资产，攻击者通过挖掘它们来发现新的反射/放大 DDoS 攻击向量，从而为新一波攻击提供动力，”Netscout 研究人员总结道。其中一些示例包括 Plex 媒体服务器的 SSDP 实现和 Jenkins 软件开发自动化服务器使用的基于 UDP 的网络发现协议。

根据 Netscout，去年常见的其他 DDoS 向量是 TCP ACK、TCP SYN、ICMP、TCP 重置、TCP ACK/SYN 放大和 DNS 洪水。

DDoS 僵尸网络诱捕物联网和移动设备

由受感染的设备和服务器组成的僵尸网络是 DDoS 攻击背后的驱动力。2020 年，感染物联网设备的 Mirai 恶意软件变种继续在 DDoS 僵尸网络中占据突出地位。这些设备通常使用弱凭据或默认凭据受到攻击，Netscout 观察到 Telnet 和 Secure Shell (SSH)暴力破解增加了 42%去年的袭击与 2019 年相比。

此外，受感染的 Android 移动设备也被用于发起 DDoS 攻击。今年 2 月，来自中国奇虎 360 公司网络安全部门 Netlab 的研究人员报告了一个名为 Matryosh 的新僵尸网络，该网络正在破坏 Android 设备，其 ADB（Android 调试桥）接口暴露在互联网上。在 Netscout 对云和互联网服务提供商的年度调查中，近四分之一的受访者表示看到移动设备被用于发起 DDoS 攻击。