勒索軟件占據(jù)網(wǎng)絡(luò)犯罪生態(tài)中心舞臺(tái)位置,，僅去年就造成10億+美元的全球損失,，為網(wǎng)絡(luò)罪犯賺取幾億美元的利潤(rùn),。同時(shí),，傳統(tǒng)上被用來(lái)勒索企業(yè)的分布式拒絕服務(wù)（DDoS）攻擊亦卷土重來(lái)。勒索軟件組織甚至使用DDoS攻擊增加受害者支付贖金的壓力,。

　　根據(jù)近期多家內(nèi)容分發(fā)網(wǎng)絡(luò)和DDoS緩解提供商的年度報(bào)告,，2020年是DDoS攻擊破紀(jì)錄的一年，攻擊數(shù)量,、攻擊規(guī)模和所用攻擊方法數(shù)量均突破歷史記錄,。DDoS勒索的死灰復(fù)燃可能是受新冠肺炎疫情的驅(qū)動(dòng)：疫情迫使公司為其大多數(shù)員工啟用遠(yuǎn)程辦公功能，導(dǎo)致公司更易遭受業(yè)務(wù)運(yùn)營(yíng)中斷威脅,，在攻擊者眼中也就成了更愿意支付勒索費(fèi)的目標(biāo),。

　　2021年延續(xù)了這一趨勢(shì)。今年2月,，阿卡邁錄得六起史上最大規(guī)模DDoS攻擊中的三起,，2021年頭三個(gè)月里超過(guò)50Gbps的DDoS攻擊數(shù)量就已經(jīng)比2019年全年還多了。阿卡邁估測(cè),，沒(méi)有設(shè)置DDoS緩解措施的絕大多數(shù)在線服務(wù),，遭遇50Gbps以上的攻擊時(shí)，會(huì)因帶寬飽和而掉線,。

　　DDoS勒索回歸

　　DDoS攻擊背后的動(dòng)機(jī)各種各樣：從無(wú)良企業(yè)主想要中斷競(jìng)爭(zhēng)對(duì)手的服務(wù),，到激進(jìn)黑客想要向自己反對(duì)的組織表明主張，再到不同團(tuán)體之間的競(jìng)爭(zhēng)而造成的單純破壞行為,。然而,，勒索一直是推動(dòng)此類非法活動(dòng)的最大因素，而且可以說(shuō)是最賺錢的一個(gè)因素,，因?yàn)榘l(fā)起DDoS攻擊實(shí)在要不了多少投資,。DDoS租賃服務(wù)的費(fèi)用甚至低到每次攻擊僅7美元，幾乎任何人都負(fù)擔(dān)得起。

　　事實(shí)上,，應(yīng)用和網(wǎng)絡(luò)性能監(jiān)測(cè)公司Netscout Systems的數(shù)據(jù)表明,，網(wǎng)絡(luò)罪犯向潛在客戶展示其DDoS能力才是此類攻擊的頭號(hào)動(dòng)機(jī)，其次是與在線游戲相關(guān)的動(dòng)機(jī)（疫情期間很多人都靠這個(gè)打發(fā)時(shí)間）,，然后才是勒索,。攻擊者也常常用DDoS攻擊作為偽裝，讓公司IT和安全團(tuán)隊(duì)無(wú)暇顧及檢測(cè)其網(wǎng)絡(luò)上的其他惡意活動(dòng),，比如基礎(chǔ)設(shè)施入侵和數(shù)據(jù)滲漏,。

　　2020年8月開(kāi)始，勒索DDoS（RDDoS）事件案例激增,，原因是多個(gè)勒索軟件團(tuán)伙將DDoS用作額外的勒索技術(shù),，但也有部分原因在于某個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙在偽裝俄羅斯奇幻熊（Fancy Bear）或朝鮮Lazarus Group等黑客國(guó)家隊(duì)發(fā)起攻擊。這個(gè)名為L(zhǎng)azarus Bear Armada （LBA）的網(wǎng)絡(luò)犯罪團(tuán)伙首先針對(duì)選定目標(biāo)發(fā)起一波范圍在50Gbps到300Gbps之間的演示性DDoS攻擊,。然后,，該團(tuán)伙發(fā)出勒索電子郵件,，宣稱擁有2Tbps規(guī)模DDoS攻擊的能力,，以此勒索目標(biāo)公司支付比特幣。在這些電子郵件中,，攻擊者宣稱自己隸屬常見(jiàn)諸于新聞報(bào)道的幾個(gè)著名網(wǎng)絡(luò)犯罪組織,，借此提高自身可信度。很多案例中,，即使目標(biāo)公司未支付贖金,，該團(tuán)伙也沒(méi)有繼續(xù)發(fā)起更多攻擊，但有時(shí)候確實(shí)會(huì)再次攻擊,。而且,，一段時(shí)間后，他們還會(huì)回過(guò)頭來(lái)再咬一口之前的受害者,。

　　該團(tuán)伙主要針對(duì)世界范圍內(nèi)金融,、零售、旅游和電子商務(wù)行業(yè)的企業(yè),，似乎還會(huì)做偵察和規(guī)劃,。他們會(huì)識(shí)別受害公司可能監(jiān)測(cè)的非通用電子郵件地址，并以關(guān)鍵但不明顯的應(yīng)用,、服務(wù)和VPN集線器為目標(biāo),，表明其規(guī)劃水平比較高級(jí)。多家安全供應(yīng)商和美國(guó)聯(lián)邦調(diào)查局（FBI）已經(jīng)就該團(tuán)伙的活動(dòng)發(fā)布過(guò)警示,。

　　不同于僅依賴RDDoS從企業(yè)勒索金錢的LBA等團(tuán)伙,，勒索軟件犯罪組織將DDoS作為說(shuō)服受害者支付原始贖金的額外砝碼，與使用數(shù)據(jù)泄露作為威脅的方式異曲同工。換句話說(shuō),，一些勒索軟件攻擊目前已經(jīng)演變?yōu)榫C合了加密,、數(shù)據(jù)盜竊和DDoS攻擊的三重威脅。以這種方式使用或聲稱要使用DDoS攻擊的一些勒索軟件團(tuán)伙包括Avaddon,、SunCrypt,、Ragnar Locker和REvil。

　　與勒索軟件攻擊的情況類似,，我們很難說(shuō)清楚到底有多少RDDoS受害者支付了贖金,，但此類攻擊的數(shù)量、規(guī)模和頻率一直在上升的事實(shí),，充分說(shuō)明了這一活動(dòng)足夠有利可圖,。這或許是因?yàn)镈DoS租賃服務(wù)遍地開(kāi)花且不需要很多技術(shù)知識(shí)，導(dǎo)致其準(zhǔn)入門檻比勒索軟件本身要低得多,。Cloudflare在最近的報(bào)告中寫(xiě)道：“2021年第一季度,，遭遇DDoS攻擊的受訪Cloudflare客戶中，有13%表示遭到RDDoS攻擊勒索,，或提前收到了威脅,。”

　　阿卡邁觀測(cè)到,，遭攻擊公司的數(shù)量比去年同期增加了57%,；Netscout則報(bào)告稱，年度DDoS攻擊數(shù)量首次超過(guò)了1000萬(wàn)的閾值,。

　　上月,，阿卡邁研究人員在報(bào)告中稱：“堅(jiān)守可獲得巨額比特幣支付的希望，網(wǎng)絡(luò)罪犯已經(jīng)開(kāi)始加大努力和擴(kuò)展攻擊帶寬,，使得DDoS勒索已成舊聞的說(shuō)法通通煙消云散,。”最近一次勒索攻擊的峰值超過(guò)800Gbps,，目標(biāo)是一家歐洲賭博公司,，這是自2020年8月中旬勒索攻擊普遍回歸以來(lái)，我們見(jiàn)過(guò)的規(guī)模最大,、最復(fù)雜的一次,。自那次攻擊開(kāi)始，武力展示型攻擊已從8月的200+Gbps增長(zhǎng)到9月中旬的500+Gbps,，然后在2021年2月膨脹到800+Gbps,。“

　　新攻擊方法加入導(dǎo)致攻擊復(fù)雜度上升

　　阿卡邁透露,，去年觀測(cè)到的DDoS攻擊中近三分之二包含多種攻擊方法,，有些甚至含有14種之多,。Netscout也報(bào)告稱多方法攻擊顯著上升，尤其是2020年末,，以及超過(guò)15種不同方法的攻擊,。該公司觀測(cè)到的攻擊中還有綜合使用了25種不同方法的。

　　濫用多個(gè)UDP類協(xié)議的DDoS反射和放大攻擊依然非常流行,。這種攻擊技術(shù)中,，攻擊者以偽造的源IP地址向互聯(lián)網(wǎng)上防護(hù)不周的服務(wù)器發(fā)送數(shù)據(jù)包，迫使這些服務(wù)器將回復(fù)發(fā)送給既定受害者而不是攻擊者本人,。這能達(dá)成兩個(gè)目的：一是反射,，因?yàn)槭芎φ呖吹降氖莵?lái)自合法服務(wù)器的流量，而不是來(lái)自攻擊者僵尸主機(jī)的流量,；二是放大,，因?yàn)楣粽呖梢詾E用某些協(xié)議為短查詢產(chǎn)生更大的回復(fù)包，放大攻擊者可以觸發(fā)的數(shù)據(jù)包的規(guī)?；蝾l率,。DDoS攻擊的規(guī)模有兩種計(jì)算方式：按能夠飽和帶寬的每秒流量大小計(jì)算，或者用能夠飽和服務(wù)器處理能力的每秒數(shù)據(jù)包數(shù)量表示,。

　　2020年最常見(jiàn)的DDoS攻擊方法與過(guò)去幾年保持一致,，都是DNS放大攻擊。常用于放大攻擊的其他協(xié)議包括網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）,、無(wú)連接輕型目錄訪問(wèn)協(xié)議（CLDAP）,、簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議（SSDP）和Web服務(wù)發(fā)現(xiàn)（WDS或WS-DD）,、基于UDP的遠(yuǎn)程桌面協(xié)議（RDP）和數(shù)據(jù)報(bào)傳輸層安全（DTLS）,。

　　攻擊者經(jīng)常尋找可以繞過(guò)現(xiàn)有防御措施和緩解策略的新攻擊方法和協(xié)議。今年3月,，阿卡邁首次觀測(cè)到依賴數(shù)據(jù)報(bào)擁塞控制協(xié)議（DCCP）的新型攻擊方法,。數(shù)據(jù)報(bào)擁塞控制協(xié)議是類似于UDP的網(wǎng)絡(luò)數(shù)據(jù)傳輸協(xié)議，但具備UDP所欠缺的擁塞和流量控制功能,。目前為止,，阿卡邁觀測(cè)到的此類攻擊是典型的流量洪水，旨在繞過(guò)基于UDP和TCP的緩解措施,。該協(xié)議在技術(shù)上也可以用于反射和放大攻擊場(chǎng)景,，但互聯(lián)網(wǎng)上使用該協(xié)議的服務(wù)器不多，不足以濫用來(lái)反射流量,。

　　Netscout的研究人員總結(jié)道：”可以濫用的UDP開(kāi)源和商業(yè)應(yīng)用與服務(wù)對(duì)攻擊者來(lái)說(shuō)是寶貴的資產(chǎn),，他們挖掘此類資產(chǎn)以發(fā)現(xiàn)新的反射/放大DDoS攻擊方法，從而推動(dòng)新一波攻擊,?！按祟惏咐≒lex Media Server的SSDP實(shí)現(xiàn),，以及Jenkins軟件開(kāi)發(fā)自動(dòng)化服務(wù)器所用的UDP網(wǎng)絡(luò)發(fā)現(xiàn)協(xié)議。

　　在Netscout看來(lái),，去年常見(jiàn)的其他DDoS攻擊方法包括TCP ACK,、TCP SYN、TCP reset,、TCP ACK/SYN放大和DNS洪水,。

　　DDoS僵尸網(wǎng)絡(luò)誘捕物聯(lián)網(wǎng)和移動(dòng)設(shè)備

　　由被黑設(shè)備和服務(wù)器組成的僵尸網(wǎng)絡(luò)是DDoS攻擊背后的驅(qū)動(dòng)力。感染網(wǎng)絡(luò)設(shè)備的Mirai惡意軟件變種仍在2020年主流DDoS僵尸網(wǎng)絡(luò)中占據(jù)顯著位置,。這些設(shè)備常被攻擊者通過(guò)弱憑證或默認(rèn)憑證入侵,，Netscout的觀測(cè)結(jié)果表明，相比2019年,，Telnet和Secure Shell（SSH）暴力破解攻擊增加了42%,。

　　此外，被黑Android移動(dòng)設(shè)備也被用于發(fā)起DDoS攻擊,。2月,，中國(guó)安全公司奇虎360網(wǎng)絡(luò)安全部門Netlab的研究人員報(bào)告了名為Matryosh的新僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)通過(guò)Android設(shè)備暴露在互聯(lián)網(wǎng)上的ADB（Android調(diào)試橋）接口入侵設(shè)備,。在Netscout的年度云與互聯(lián)網(wǎng)服務(wù)提供商調(diào)查報(bào)告中,，近四分之一的受訪者表示看到移動(dòng)設(shè)備被用于發(fā)起DDoS設(shè)備。