勒索軟件占據(jù)網(wǎng)絡(luò)犯罪生態(tài)中心舞臺位置，僅去年就造成10億+美元的全球損失，為網(wǎng)絡(luò)罪犯賺取幾億美元的利潤。同時，傳統(tǒng)上被用來勒索企業(yè)的分布式拒絕服務(wù)（DDoS）攻擊亦卷土重來。勒索軟件組織甚至使用DDoS攻擊增加受害者支付贖金的壓力。

　　根據(jù)近期多家內(nèi)容分發(fā)網(wǎng)絡(luò)和DDoS緩解提供商的年度報告，2020年是DDoS攻擊破紀(jì)錄的一年，攻擊數(shù)量、攻擊規(guī)模和所用攻擊方法數(shù)量均突破歷史記錄。DDoS勒索的死灰復(fù)燃可能是受新冠肺炎疫情的驅(qū)動：疫情迫使公司為其大多數(shù)員工啟用遠(yuǎn)程辦公功能，導(dǎo)致公司更易遭受業(yè)務(wù)運營中斷威脅，在攻擊者眼中也就成了更愿意支付勒索費的目標(biāo)。

　　2021年延續(xù)了這一趨勢。今年2月，阿卡邁錄得六起史上最大規(guī)模DDoS攻擊中的三起，2021年頭三個月里超過50Gbps的DDoS攻擊數(shù)量就已經(jīng)比2019年全年還多了。阿卡邁估測，沒有設(shè)置DDoS緩解措施的絕大多數(shù)在線服務(wù)，遭遇50Gbps以上的攻擊時，會因帶寬飽和而掉線。

　　DDoS勒索回歸

　　DDoS攻擊背后的動機各種各樣：從無良企業(yè)主想要中斷競爭對手的服務(wù)，到激進黑客想要向自己反對的組織表明主張，再到不同團體之間的競爭而造成的單純破壞行為。然而，勒索一直是推動此類非法活動的最大因素，而且可以說是最賺錢的一個因素，因為發(fā)起DDoS攻擊實在要不了多少投資。DDoS租賃服務(wù)的費用甚至低到每次攻擊僅7美元，幾乎任何人都負(fù)擔(dān)得起。

　　事實上，應(yīng)用和網(wǎng)絡(luò)性能監(jiān)測公司Netscout Systems的數(shù)據(jù)表明，網(wǎng)絡(luò)罪犯向潛在客戶展示其DDoS能力才是此類攻擊的頭號動機，其次是與在線游戲相關(guān)的動機（疫情期間很多人都靠這個打發(fā)時間），然后才是勒索。攻擊者也常常用DDoS攻擊作為偽裝，讓公司IT和安全團隊無暇顧及檢測其網(wǎng)絡(luò)上的其他惡意活動，比如基礎(chǔ)設(shè)施入侵和數(shù)據(jù)滲漏。

　　2020年8月開始，勒索DDoS（RDDoS）事件案例激增，原因是多個勒索軟件團伙將DDoS用作額外的勒索技術(shù)，但也有部分原因在于某個網(wǎng)絡(luò)犯罪團伙在偽裝俄羅斯奇幻熊（Fancy Bear）或朝鮮Lazarus Group等黑客國家隊發(fā)起攻擊。這個名為Lazarus Bear Armada （LBA）的網(wǎng)絡(luò)犯罪團伙首先針對選定目標(biāo)發(fā)起一波范圍在50Gbps到300Gbps之間的演示性DDoS攻擊。然后，該團伙發(fā)出勒索電子郵件，宣稱擁有2Tbps規(guī)模DDoS攻擊的能力，以此勒索目標(biāo)公司支付比特幣。在這些電子郵件中，攻擊者宣稱自己隸屬常見諸于新聞報道的幾個著名網(wǎng)絡(luò)犯罪組織，借此提高自身可信度。很多案例中，即使目標(biāo)公司未支付贖金，該團伙也沒有繼續(xù)發(fā)起更多攻擊，但有時候確實會再次攻擊。而且，一段時間后，他們還會回過頭來再咬一口之前的受害者。

　　該團伙主要針對世界范圍內(nèi)金融、零售、旅游和電子商務(wù)行業(yè)的企業(yè)，似乎還會做偵察和規(guī)劃。他們會識別受害公司可能監(jiān)測的非通用電子郵件地址，并以關(guān)鍵但不明顯的應(yīng)用、服務(wù)和VPN集線器為目標(biāo)，表明其規(guī)劃水平比較高級。多家安全供應(yīng)商和美國聯(lián)邦調(diào)查局（FBI）已經(jīng)就該團伙的活動發(fā)布過警示。

　　不同于僅依賴RDDoS從企業(yè)勒索金錢的LBA等團伙，勒索軟件犯罪組織將DDoS作為說服受害者支付原始贖金的額外砝碼，與使用數(shù)據(jù)泄露作為威脅的方式異曲同工。換句話說，一些勒索軟件攻擊目前已經(jīng)演變?yōu)榫C合了加密、數(shù)據(jù)盜竊和DDoS攻擊的三重威脅。以這種方式使用或聲稱要使用DDoS攻擊的一些勒索軟件團伙包括Avaddon、SunCrypt、Ragnar Locker和REvil。

　　與勒索軟件攻擊的情況類似，我們很難說清楚到底有多少RDDoS受害者支付了贖金，但此類攻擊的數(shù)量、規(guī)模和頻率一直在上升的事實，充分說明了這一活動足夠有利可圖。這或許是因為DDoS租賃服務(wù)遍地開花且不需要很多技術(shù)知識，導(dǎo)致其準(zhǔn)入門檻比勒索軟件本身要低得多。Cloudflare在最近的報告中寫道：“2021年第一季度，遭遇DDoS攻擊的受訪Cloudflare客戶中，有13%表示遭到RDDoS攻擊勒索，或提前收到了威脅。”

　　阿卡邁觀測到，遭攻擊公司的數(shù)量比去年同期增加了57%；Netscout則報告稱，年度DDoS攻擊數(shù)量首次超過了1000萬的閾值。

　　上月，阿卡邁研究人員在報告中稱：“堅守可獲得巨額比特幣支付的希望，網(wǎng)絡(luò)罪犯已經(jīng)開始加大努力和擴展攻擊帶寬，使得DDoS勒索已成舊聞的說法通通煙消云散。”最近一次勒索攻擊的峰值超過800Gbps，目標(biāo)是一家歐洲賭博公司，這是自2020年8月中旬勒索攻擊普遍回歸以來，我們見過的規(guī)模最大、最復(fù)雜的一次。自那次攻擊開始，武力展示型攻擊已從8月的200+Gbps增長到9月中旬的500+Gbps，然后在2021年2月膨脹到800+Gbps。“

　　新攻擊方法加入導(dǎo)致攻擊復(fù)雜度上升

　　阿卡邁透露，去年觀測到的DDoS攻擊中近三分之二包含多種攻擊方法，有些甚至含有14種之多。Netscout也報告稱多方法攻擊顯著上升，尤其是2020年末，以及超過15種不同方法的攻擊。該公司觀測到的攻擊中還有綜合使用了25種不同方法的。

　　濫用多個UDP類協(xié)議的DDoS反射和放大攻擊依然非常流行。這種攻擊技術(shù)中，攻擊者以偽造的源IP地址向互聯(lián)網(wǎng)上防護不周的服務(wù)器發(fā)送數(shù)據(jù)包，迫使這些服務(wù)器將回復(fù)發(fā)送給既定受害者而不是攻擊者本人。這能達(dá)成兩個目的：一是反射，因為受害者看到的是來自合法服務(wù)器的流量，而不是來自攻擊者僵尸主機的流量；二是放大，因為攻擊者可以濫用某些協(xié)議為短查詢產(chǎn)生更大的回復(fù)包，放大攻擊者可以觸發(fā)的數(shù)據(jù)包的規(guī)?；蝾l率。DDoS攻擊的規(guī)模有兩種計算方式：按能夠飽和帶寬的每秒流量大小計算，或者用能夠飽和服務(wù)器處理能力的每秒數(shù)據(jù)包數(shù)量表示。

　　2020年最常見的DDoS攻擊方法與過去幾年保持一致，都是DNS放大攻擊。常用于放大攻擊的其他協(xié)議包括網(wǎng)絡(luò)時間協(xié)議（NTP）、無連接輕型目錄訪問協(xié)議（CLDAP）、簡單服務(wù)發(fā)現(xiàn)協(xié)議（SSDP）和Web服務(wù)發(fā)現(xiàn)（WDS或WS-DD）、基于UDP的遠(yuǎn)程桌面協(xié)議（RDP）和數(shù)據(jù)報傳輸層安全（DTLS）。

　　攻擊者經(jīng)常尋找可以繞過現(xiàn)有防御措施和緩解策略的新攻擊方法和協(xié)議。今年3月，阿卡邁首次觀測到依賴數(shù)據(jù)報擁塞控制協(xié)議（DCCP）的新型攻擊方法。數(shù)據(jù)報擁塞控制協(xié)議是類似于UDP的網(wǎng)絡(luò)數(shù)據(jù)傳輸協(xié)議，但具備UDP所欠缺的擁塞和流量控制功能。目前為止，阿卡邁觀測到的此類攻擊是典型的流量洪水，旨在繞過基于UDP和TCP的緩解措施。該協(xié)議在技術(shù)上也可以用于反射和放大攻擊場景，但互聯(lián)網(wǎng)上使用該協(xié)議的服務(wù)器不多，不足以濫用來反射流量。

　　Netscout的研究人員總結(jié)道：”可以濫用的UDP開源和商業(yè)應(yīng)用與服務(wù)對攻擊者來說是寶貴的資產(chǎn)，他們挖掘此類資產(chǎn)以發(fā)現(xiàn)新的反射/放大DDoS攻擊方法，從而推動新一波攻擊?！按祟惏咐≒lex Media Server的SSDP實現(xiàn)，以及Jenkins軟件開發(fā)自動化服務(wù)器所用的UDP網(wǎng)絡(luò)發(fā)現(xiàn)協(xié)議。

　　在Netscout看來，去年常見的其他DDoS攻擊方法包括TCP ACK、TCP SYN、TCP reset、TCP ACK/SYN放大和DNS洪水。

　　DDoS僵尸網(wǎng)絡(luò)誘捕物聯(lián)網(wǎng)和移動設(shè)備

　　由被黑設(shè)備和服務(wù)器組成的僵尸網(wǎng)絡(luò)是DDoS攻擊背后的驅(qū)動力。感染網(wǎng)絡(luò)設(shè)備的Mirai惡意軟件變種仍在2020年主流DDoS僵尸網(wǎng)絡(luò)中占據(jù)顯著位置。這些設(shè)備常被攻擊者通過弱憑證或默認(rèn)憑證入侵，Netscout的觀測結(jié)果表明，相比2019年，Telnet和Secure Shell（SSH）暴力破解攻擊增加了42%。

　　此外，被黑Android移動設(shè)備也被用于發(fā)起DDoS攻擊。2月，中國安全公司奇虎360網(wǎng)絡(luò)安全部門Netlab的研究人員報告了名為Matryosh的新僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)通過Android設(shè)備暴露在互聯(lián)網(wǎng)上的ADB（Android調(diào)試橋）接口入侵設(shè)備。在Netscout的年度云與互聯(lián)網(wǎng)服務(wù)提供商調(diào)查報告中，近四分之一的受訪者表示看到移動設(shè)備被用于發(fā)起DDoS設(shè)備。