DDoS - 資安趨勢部落格

物聯網( IoT) | DNS服務商 Dyn遭遇的大規模DDoS攻擊,會是最後一次嗎?

2016 年 10 月 28 日2017 年 10 月 20 日趨勢科技 TrendMicro

你購買冰箱,電視…等智慧型家電時,會考慮價錢、外型和功能,但會將連網設備的安全列入採買要素嗎?根據趨勢科技美洲地區公共建設之網路安全報告。分析連網裝置受到攻擊的方式，約有七成曾受過釣魚式攻擊、五成受過漏洞攻擊、四成則受過分散式阻斷服務攻擊（DDoS）。另外，勒索病毒攻擊也是一新犯罪趨勢。但你知道：家用智慧型產品毛孩子都能侵入侵嗎?

很顯然地，必須做些什麼來保護物聯網（IoT ,Internet of Thing）。不幸的是，我們不能期望使用者突然成為專家來保護自己的設備,因為使用者不會關心他們家的網路攝影機,或是智慧型電視機等聯網裝置,正對別人發動DDoS攻擊,除非突然電視掛掉不能看了,因為人們通常只關心類似這樣的問題：我要看電視時要隨時可以看。

上個禮拜DNS服務商Dyn所遭遇的大規模分散式阻斷服務攻擊 (DDoS)攻擊敲響了一記警鐘：物聯網生態鏈已經徹底、完全地被破壞。缺乏支援和不安全的設備造成網際網路基礎設施一個重要的部分斷線，影響了許多知名網站。

上周末臺灣10月21日傍晚19點10分，Dyn管理的DNS服務系統遭到DDoS攻擊，造成多數網站無法使用，其中較知名的有：CNN、Airbnb、Spotify、Netflix、HBO等。這啟攻擊中，駭客控制數千萬件物聯網（IoT）裝置，包含網路攝影機、監視系統、無線網路基地台等，命裝置發動攻擊。影響延續約8小時，直到台灣時間隔日早上8點才完全修復。

編按:無獨有偶 ,新加坡時間10月22日又見DDoS攻擊鎖定DNS！新加坡電信Star Hub遇襲，導致用戶3天難上網

⊙延伸閱讀:CNN、Netflix還有Spotify都不能用！上週末到底發生什麼事？

大部分攻擊起因: 監視/網路攝影機感染Mirai僵屍網路

這起攻擊來自何處？大部分都是感染了Mirai惡意軟體的物聯網（IoT ,Internet of Thing）設備所造成，趨勢科技將其偵測為ELF_GAFGYT.DGB/ELF_BASHLITE.SM。（Mirai傀儡殭屍網路原始碼已經在10月初公開發布，恐遭有心人士惡意利用）。關於攻擊的大部分原因是一家白牌的數位網路監視攝影機和網路攝影機。這家廠商已經公開召回他們一些具有漏洞的設備，這是一個值得鼓勵（可能代價高昂）的舉動。不過，也很可能有其他廠商的設備也參與其中。

利用數以千計遭到殭屍化的監視攝影機來發動 DDoS 攻擊,其實之前已經有案例。

⊙延伸閱讀:監視攝影機暗藏惡意程式

在找到方法保護好物聯網前，這起攻擊不會是最後的一次

要將這些攻擊說是「前所未有」是有點勉強 – 就在幾個星期前，Brian Krebs也遭受到Mirai「Botnet傀儡殭屍網路」的DDoS攻擊。可以肯定的是，在找到方法保護好物聯網前，這起攻擊並不會是最後的一次。

而關於物聯網（IoT ,Internet of Thing），現在的優勢是在攻擊者那方：有太多物聯網設備是不安全，無法保護，也不會受到保護。阻斷服務攻擊成為更加有力的威脅：威脅公司會斷線變成實際可行也更具說服力的說法。

物聯網產品自己也會因分散式阻斷服務攻擊 (DDoS)攻擊而產生對現實世界的影響 – 當這些設備無法連到中央伺服器時會發生什麼事？比如這個例子, 一個可根據溫度來智慧決定要不要加熱的恆溫器, 因為網路斷了拿不到數據, 結果就不停的加熱, 號稱比較省電的裝置卻適得其反,無法正常運作。DDoS攻擊曾經只是會造成困擾的事情。而現在隨著越來越多重要功能放到網路上，這成為了嚴重的威脅。

四成連網裝置受過分散式阻斷服務攻擊（DDoS）,但購買智慧型家電時,有多少人會將資安列入考量?

根據趨勢科技美洲地區公共建設之網路安全報告。分析連網裝置受到攻擊的方式，約有七成曾受過釣魚式攻擊（Phishing）、五成受過漏洞攻擊（Unpatched vulnerabilities）、四成則受過分散式阻斷服務攻擊（DDoS）。另外，勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊也是一新犯罪趨勢。

很顯然地，必須做些什麼來保護物聯網。不幸的是，再怎麼說這有多困難都有些輕描淡寫了。我們不能期望使用者突然成為專家來保護自己的設備,因為使用者不會關心他們家的網路攝影機,或是智慧型電視機等聯網裝置,正對別人發動DDoS攻擊,除非突然電視掛掉不能看了,因為人們通常只關心類似這樣的問題：我要看電視時要隨時可以看。

當人們購買冰箱,電視…等智慧型家電時,會考慮價錢、外型和功能,鮮少有人會將連網設備的安全列入採買要素。

⊙延伸閱讀:Android 智慧型電視後門程式現身，惡意程式恐開家中資訊後門

IoT生態鏈缺口: 產品賣家並非每個人都有足夠的技術和能力來解決自己所賣東西的問題

網路安全專家把這種威脅比作「好像每個人都有一顆核彈」

那物聯網產品賣家呢？他們並非每個人都有足夠的技術和能力來解決自己所賣東西的問題。在某些情況下，這些賣家只是拿白牌產品來貼牌而已。經銷商和進口商是否真的能夠支援自己所賣的產品？答案是：可能不行。

這篇文章報導:加拿大網路安全專家在接受CBC採訪時說，” 侵入工作站或Windows的裝置是比較困難的。但是由無數小公司生產的便宜的智能電子產品，在安全防護上非常初級。而目前對這個行業的管理缺乏相關法規，使那些不想在安全上投資的小公司有漏洞可鑽。

駭客侵入這些產品如入無人之境，然後可以透過它們發動大規模的網路攻擊，例如發送海量垃圾信息導致網站癱瘓。另一位網路安全專家把這種威脅比作「好像每個人都有一顆核彈」。”

繼續閱讀

CNN、Netflix還有Spotify都不能用！上週末到底發生什麼事？

2016 年 10 月 24 日2016 年 10 月 27 日趨勢科技TrendMicro

上週五傍晚你在做什麼呢？如果你當時正在看CNN網站、或舒適地窩在沙發享受Netflix或Spotify，是不是遇到一些技術性問題呢？10月21日UTC上午11點10分，臺灣10月21日傍晚19點10分，Dyn管理的DNS服務系統遭到DDoS攻擊，造成多數網站無法使用，其中較知名的有：CNN、Airbnb、Spotify、Netflix、HBO等。這啟攻擊中，駭客控制數千萬件物聯網（IoT）裝置，包含網路攝影機、監視系統、無線網路基地台等，命裝置發動攻擊。影響延續約8小時，直到台灣時間隔日早上8點才完全修復。

那什麼是DDoS攻擊呢?
DDoS：Distributed Denial of Service，為分散式阻斷服務攻擊。DDoS攻擊的邏輯可以用一個很簡單的情境比喻解釋—-就是奧客。比方說，使用者走到只有一個服務櫃台的銀行。當使用者接近櫃台時，另一人插入並且開始和行員閒聊，並沒有要想要進行任何銀行相關交易。即便身為銀行的合法使用者，使用者也無法存入他的支票，被迫等到「惡意」使用者完成他的談話。然而，當這惡意使用者離開後，其他人走到合法使用者前，再來一次地延遲合法使用者。這過程可能持續數小時，甚至數天，阻止這名使用者或任何合法使用者進行銀行交易。此攻擊方式幾乎無法從正常流量中分辨出攻擊流量。攻擊會消耗其目標網路系統的資源並無限延遲提供正常的服務的時間。

更多關於DDoS攻擊可參閱：什麼是分散式阻斷服務（DDoS）攻擊?
繼續閱讀

遊戲產業防範分散式阻斷服務攻擊的技巧

2016 年 10 月 17 日2016 年 10 月 06 日趨勢科技 TrendMicro

熱門遊戲開發廠商 Blizzard Entertainment Inc. 在 9 月 20 日又遭到一次分散式阻斷服務 (DDoS) 攻擊，造成其遊戲平台因而停擺。該公司兩天前才遭到 DDoS 攻擊，造成其全球各地遊戲平台反應和連線速度遲緩。DDoS 攻擊是一種歹徒經常用來癱瘓網路服務的技巧，這種手法通常藉由發送巨量的網路封包來癱瘓目標系統。

過去幾個月來，Blizzard已連續遭到多次 DDoS 攻擊：四月份至少一次，八月份至少兩次，九月份也是兩次。每次攻擊的嚴重性不等，攻擊的目標則是該公司線上遊戲平台 Battle.net 伺服器。Battle.net 在 8 月 2 日停擺了數小時，使得其熱門遊戲《鬥陣特工》和《爐石戰記》的玩家連不上伺服器。8 月 31 日的攻擊則較輕微，僅造成遊戲延遲以及玩家間歇性失去連線。最近一次的攻擊大約只造成玩家一小時無法連上 Battle.net，不過遊戲反應遲緩倒是持續了好一段時間。而出面宣稱發動這些攻擊的團體，顯然是希望藉由攻擊知名目標來炫耀。他們在社群媒體上大肆宣傳自己的事蹟，並要求大家轉發訊息才願意收手。此外，這些攻擊似乎刻意選在該公司推出新鮮內容之際，也就是玩家將蜂擁而至、媒體將特別關注、熱潮將達到高峰的時間點。

DDoS 持續加溫

根據內容派送網路暨雲端服務供應商 Akamai Technologies Inc. 最新的 2016 年第二季資安報告指出，從 2015 年第二季至今，DDoS 攻擊總數已成長了 129% 。然而，儘管攻擊數量增加，嚴重性卻顯然降低，就中等攻擊的流量來看，大約較前一季下降 36%。然而，所謂的「超大型攻擊」(100 Gbps 以上) 的數量卻反而增加，之前曾經發生過一次 363Gbps 的攻擊，這是該期間 Akamai 記錄到最高的一次。繼續閱讀

Shellshock/bash 漏洞攻擊現身,ELF_BASHLITE.A可發動 DDoS 攻擊

2014 年 09 月 26 日2016 年 11 月 07 日趨勢科技 TrendMicro

在Shellshock/bash 漏洞（包含在CVE-2014-7169）新聞爆發後短短幾個小時就出現了真實的漏洞攻擊事件。這一個漏洞可以讓人執行任意程式碼，從而影響系統安全。攻擊者可能做出的包括變更網站內容和網站程式碼、污損網站外貌，甚至是從資料庫竊取使用者資料以及其他更多事情。

趨勢科技發現了真實漏洞攻擊碼所帶來惡意軟體的樣本。偵測為ELF_BASHLITE.A（也被稱為ELF_FLOODER.W），此惡意軟體可以發動分散式阻斷服務（DDoS）攻擊。它所會執行的指令包括有：

PING
GETLOCALIP
SCANNER
HOLD 暫停或是延後攻擊一給定時間
JUNK 垃圾洪水攻擊
UDP 用UDP封包做分散式阻斷服務攻擊
TCP 用TCP封包做分散式阻斷服務攻擊
KILLATTK – 終止攻擊執行緒
LOLNOGTFO – 終止僵屍機器人

它也可以做到暴力法登入，讓攻擊者可以取得登入使用者和密碼的列表。根據我們的分析，ELF_BASHLITE.A也會連到 C&C伺服器 – 89[點]238[點]150[點]154[冒號]5。

圖1、威脅感染示意圖（點入以看大圖）

下面是用來帶入惡意軟體進到系統的程式碼：繼續閱讀

免費的DDoS反射攻擊解決方案：已經等了十年

2014 年 02 月 20 日2016 年 11 月 07 日趨勢科技 TrendMicro

冒著老生常談的風險，現在可以看到越來越多分散式阻斷（DDoS）攻擊使用另一個基本的網路協定。這次所用的是網路時間協定（NTP）。它並不像DNS或HTTP那麼有名，但卻同樣重要。NTP用來同步多個網路設備的時間。沒有它，我們就要回到必須手動調整電腦時間的日子。有個解決這類攻擊的方法已經出現了十年，但遺憾的是並沒有被廣泛採用。

NTP的主要功能是從高精確來源（如GPS或銫原子鐘相容設備）來散播時間。我很抱歉地要告訴你，你電腦內的時鐘很爛。石英晶體振盪器的誤差率通常是1ppm（百萬分之一），或是每秒多或少一微秒。相當於每個月誤差半秒鐘，這聽起來並不那麼糟糕。

不幸的是，我們不知道在特定時間點，時鐘的誤差方式為何。而輕微的溫度變化也會影響石英震盪週期。此外，1GHz處理器（現在這算慢的了）在半秒鐘就經歷5億次週期。在叢集和分散式系統裡，知道現在是什麼時間變得至關重要。

NTP各點會交換UDP封包來比較它們所認為的時間。設定良好的客戶端會去檢查三個或更多的點以獲得更好的時間準確度。當有個點從參考時鐘認為自己的時間不再準確，它就會對時鐘做出微小的修正。這會讓系統時間慢慢改變，所以所有正在運行中的軟體不會被打亂。這是解決一個重要問題的簡單解決方案。

不幸的是，不法份子利用這關鍵服務來發動DDoS攻擊。NTP伺服器通常都是公開的，往往會接受來自任何人的連線。有個monlist指令可以透過UDP發送給NTP伺服器，要求伺服器回覆最近接觸過的各點列表。

這對故障排除很有用，但它也是攻擊者的理想工具。送個將來源地址偽裝成攻擊目標的小封包，伺服器就會很樂意的送一大包資料給攻擊目標。該伺服器越繁忙，攻擊就會越被放大。

IT管理者可以做些事情來避免在無意間成為幫兇（IPv6並不能解決這問題，NTP也在它上面運作）。首先，關閉未使用的服務。你會很驚訝地知道有多少系統仍然提供字元產生協定（chargen）服務。如果電腦並不是NTP伺服器，那它就不需要運行NTP伺服器軟體。這也同樣地適用在其他未使用的服務和協定上。繼續閱讀