除此之外，根據iThome 2021資安大預測，駭客鎖定製造業發動目標式勒索和DDoS攻擊成常態! 企業不得不注意這些資安問題阿!

DDoS（Distributed Denial of Service）指的是分散式阻斷服務攻擊，為Dos攻擊（denial-of-service attack，阻斷服務攻擊）的延伸版，主要目的是以各種攻擊手法，通常會以Botnet（殭屍網路）進行。大量的殭屍電腦接收攻擊者控制命令，在同時間會對同一目標發動特定類型攻擊，讓企業的網站癱瘓或資源耗盡，無法正常運作進而造成重大損失。

舉個例子:你可以想像成當高速公路塞車，使得正常的車流無法到達想去的目的地! 這樣講應該比較好理解 !

DDoS 攻擊有哪一些的種類？

DDoS 攻擊主要以企業網路結構的第 3、4 層與第 6、7層為攻擊目標，簡單幫大家介紹此有什麼種類攻擊手法：

 DDoS攻擊手法有哪些呢？可以分成兩種形式

寬頻消耗型攻擊

傳送大量無效、惡意放大流量的數據請求，來堵塞被攻擊的伺服器頻寬到飽和狀態，讓正常用戶無法進入，甚至造成網頁當機癱瘓。 而此類型的DDos攻擊包括：

UDP Flood、ICMP Flood（洪水攻擊）

洪水攻擊指的是利用計算機網絡技術向目標機發送大量的無效數據內容，使目標主機忙於處理無效的數據，而無法提供正常服務的網路行為。

TearDrop（淚滴攻擊）

淚滴攻擊指的是向目標機器發送損壞的IP包，諸如重疊的包或過大的包載荷。藉由這些手段，該攻擊可以通過TCP/IP協議棧中分片重組代碼中的漏洞來癱瘓各種不同的作業系統。

Ping of Death

透過送出大型的封包 （長度大於 65535 bytes）讓受害者電腦癱瘓，

是一種向目標電腦發送錯誤封包的或惡意的ping指令的攻擊方式。

資源消耗型攻擊

資源消耗型攻擊指的是讓被攻擊方的伺服器不斷進行反覆的無效運作，導致網頁資源被耗盡，然而無法再響應正常使用者的請求，從而達到拒絕服務的目的。而此類型的攻擊手法包括:

SYN Flood

即對伺服器提出建立TCP連線需求，卻故意阻斷TCP的三次交握，讓伺服器持續發出請求並等待回覆，導致資源消耗，使一般使用者無法使用。

LAND 攻擊手法

又稱為區域網路阻斷服務攻擊， Local Area Network Denial attack

若將 SYN Flood 攻擊中提出請求的IP來源，設定為被攻擊方的位址，就會讓系統不斷的自我答覆，直到資源耗盡。

最後，以耗盡伺服器資源為目標，像是利用大量伺服器對被攻擊方提出模擬HTTP正常請求的CC攻擊、網路殭屍攻擊等等都是。

面臨DDoS攻擊時   捕夢網協助您做DDoS防護策略 攻擊緩解   

DDoS難以預測，攻擊手法也不斷在變化，當遭受 DDoS 攻擊，企業網站不是停擺幾小時就可以解決的! 不怕一萬，只怕萬一，做好最前端的防禦。

透過全球各地的雲端清洗中心隨時備援。有效緩解大量的 DDoS 攻擊，緩解您網站壅塞的狀況。多種方案因應客戶不同需求方案。

與多家DDos流量清洗龍頭品牌合作 多樣選擇符合您的需求

 #Radware  #Akamai  #Incapsula  #灰域  #Cloudflare

提供您最完整 DDoS 安全解決方案

• 全球等級的攻擊緩解能力
• 數個專門的清洗中心，有效分離攻擊流量與清潔流量
• 整合Anti DDoS，IPS，SSL防護機制
• 進階行為模式分析專利技術，此最小誤判模式可有效降低誤報率
• 快速生成即時特徵碼以攔阻 Zero-Day 攻擊
• 進階的用戶回饋偵測機制可精確識別攻擊，對合法流量影響小
• 超越 IP 的封鎖，抵禦多變化動態 IP 與來自 CDN 的攻擊
• 支援自動、手動和可程式設計控制的流量牽引

DDoS攻擊類型多變，防禦方法須依其類型選擇合適的處理方式

• 多層次過濾防護
• 確實執行弱點補強及系統更新
• 服務備援及災難復原機制
• 安全監控及緊急應變程序

協助您緩解DDoS攻擊  了解更多捕夢網DDoS防護清洗服務

詳情請點我了解DDOS防護服務

或是打電話或是來信給捕夢網 電話:02-8226-9123

信箱:service@pumo.com.tw

The post DDoS攻擊是什麼？ 一次搞懂DDoS攻擊手法與防禦 first appeared on 捕夢網 Blog.

提供網路安全、內容遞送及網域名稱註冊服務的CloudFlare本周揭露一自稱為Armada Collective的駭客詐騙集團，透過電子郵件恐嚇要發動分散式阻斷服務攻擊（DDoS），並向企業勒索10至50個不等的比特幣，但CloudFlare調查後卻發現，該集團從未真正展開攻擊，卻已至少得手10萬美元。

CloudFlare指出，從今年3月起便陸續聽到有關Armada Collective威脅郵件的風聲，除了超過100家的CloudFlare客戶之外，其他DDoS防禦供應商也有客戶收到類似的威脅。

在郵件中，駭客自稱為Armada Collective，要求企業支付10個比特幣作為保護費，否則便要發動DDoS攻擊，之後就會把保護費提高到20個比特幣。駭客還宣稱他們擁有強大的攻擊能力，可創造每秒1Tbps的攻擊流量。

然而，CloudFlare調查後發現，駭客所要求的保護費雖從10~50美元不等，但金額與勒索對象的規模並無關聯，且勒索信件使用了重覆的比特幣帳號，代表駭客根本無從判斷是誰支付了保護費，此外，不論遭到勒索的對象有沒有支付保護費，這群駭客從未發動過任何的攻擊。

Armada Collective在去年底因針對3家希臘銀行展開DDoS攻擊並進行勒索而聲名大噪，當時Armada Collective成功封鎖了相關銀行的交易能力，並向每家銀行提出2萬個比特幣的贖金要求。

CloudFlare認為該犯罪集團應是利用了Armada Collective的名聲來進行勒索，因為Armada Collective的主要成員已被關進歐洲監獄，但仍有不少受害者上當。根據比特幣分析公司Chainalysis的估計，駭客光靠威脅便已從中獲利逾10萬美元。

文章來源:http://www.ithome.com.tw/news/105613

圖片來源:https://pixabay.com/

The post 假攻擊真詐騙，駭客光靠喊著「狼來了」騙走逾10萬美元 first appeared on 捕夢網 Blog.

這篇文章是一個針對惡意軟體"Linux/XOR.DDoS" 感染事件分析，該惡意軟體試圖感染真正的linux伺服器。

原文：http://blog.malwaremustdie.org/2015/06/mmd-0033-2015-linuxxorddos-infection_23.html

事件細節：

攻擊源：通過某種方式監控來到攻擊來源107.182.141.40，可以看到這個ip的一些具體資訊。

"ip": "107.182.141.40",
"hostname": "40-141-182-107-static.reverse.queryfoundry.net",
"city": "Los Angeles",
"region": "California",
"country": "US",
"loc": "34.0530,-118.2642",
"org": "AS62638 Query Foundry, LLC",
"postal": "90017",
"phone": "213"

攻擊者登錄通過ssh密碼登錄一台linux：

[2015-06-23 01:29:42]: New connection: 107.182.141.40:41625
[2015-06-23 01:29:42]: Client version: [SSH-2.0-PUTTY]
[2015-06-23 01:29:43]: Login succeeded [***/***]

然後通過shell執行了如下命令：

然後惡意軟體啟動命令在受感染機器上執行。

攻擊者使用的Web伺服器（域：44ro4.cn）面板截圖，當時採取的攻擊執行步驟。

這個web上的ip資訊：

"ip": "198.15.234.66",
"hostname": "No Hostname",
"city": "Nanjing",
"region": "Jiangsu",
"country": "CN",
"loc": "32.0617,118.7778",
"org": "AS11282 SERVERYOU INC",
"postal": "210004"

通过dig 发现该ip的一些附加域信息：

;; QUESTION SECTION:
;44ro4.cn.                      IN      A

;; ANSWER SECTION:
44ro4.cn.               600     IN      A       23.228.238.131
44ro4.cn.               600     IN      A       198.15.234.66

;; AUTHORITY SECTION:
44ro4.cn.               3596    IN      NS      ns2.51dns.com.
44ro4.cn.               3596    IN      NS      ns1.51dns.com.

下邊是更多的證據：

0x02 感染的方法，偽裝和總結

通過進一步研究惡意軟體，該軟體看起來像是ZIP壓縮檔的惡意軟體，從檔案格式上看出像是一個shell腳本的惡意軟體安裝程式見下圖：

這是Linux/XorDDOSs，這種惡意軟體的感染後使作為BOT被感染的機器，遠端控制的惡意程式，配置，拒絕IP，程式和配置。他們使用的是XOR'ed加密通信，發送預先與MD5編碼過程。該惡意軟體的精靈的主要功能是為一個隱形的DDoS攻擊的僵屍網路。

這一事件的重要亮點和惡意軟體使用：

1.  我們使用用於此惡意軟體感染的基礎設施 (攻擊者的IP來自美國主機，一個IP用於感染)

2.  總在Linux/XorDDOSs，多個主機的使用：四數控系統。三的人建議是硬編碼在主機名稱（有相關的領域），從被感染的機器接收回檔，而其中的主機充當下載伺服器被感染的機器要求後門下載可疑的惡意檔。

3.  異或加密功能是用現在解密滴，讀取設定檔從遠端主機下載（是的，它似乎被下載的設定檔），並發送通信資料。

這裡是poc：

這些是cnc 與kernel的交互資訊，這裡用到了調試神器strace.

通過惡意軟體交互分析到的dns請求：

tcpdump中的timestamp時間戳記。

08:21:20.078878 IP mmd.bangs.xorddos.40274 > 8.8.8.8: 27458+ A? aa.hostasa.org. (32)
08:21:20.080602 IP mmd.bangs.xorddos.38988 > 8.8.8.8: 44387+ A? ns4.hostasa.org. (33)
08:21:25.092061 IP mmd.bangs.xorddos.45477 > 8.8.8.8: 58191+ A? ns3.hostasa.org. (33)
08:21:25.269790 IP mmd.bangs.xorddos.51687 > 8.8.8.8: 22201+ A? ns2.hostasa.org. (33)

和cnc(hostasa.org)建立連接，注意它使用google dns的方式：

cnc（hostasa.org）回檔都是加密的，這是在2個獨立的地方初步回檔。

通過解密它的請求，這裡記錄了一些解密圖：

這裡是代碼中通訊二進位編碼部分：

下載者：

這裡是下載函數硬編碼在二進位裡

也有確鑿的證據在wireshark抓包通信中，如圖：

0x03 有趣的事實

這些都是用惡意軟體專案的原始程式碼檔，它是Linux/xor.ddos集編譯設置（在C語言中，沒有"+"。）作者很無恥的收藏了，這裡我幫他翻譯下。

惡意軟體的腳本在二進位中編碼，這是通用的很多惡意軟體在中國製造。

發現XOR加密運行安裝程式和"據說"用於解密的配置資料，在樣本我破解的關鍵是BB2FA36AAA9541F0

這是自我複製的惡意軟體的安裝檔，使用逆向工具追蹤代碼，可以看到這裡：

和這裡：

acl功能，拒絕訪問的ip，來保護受感染的主機。

0x04 對於惡意軟體作者追蹤

通過逆向分析得到的資料，cnc使用的dns記錄在下邊：

;; ANSWER SECTION:
aa.hostasa.org. 300 IN  A   23.234.60.143
ns2.hostasa.org.300 IN  A   103.240.140.152
ns3.hostasa.org.300 IN  A   103.240.141.54
ns4.hostasa.org.300 IN  A   192.126.126.64

;; AUTHORITY SECTION:
hostasa.org.3600IN  NS  ns4lny.domain-resolution.net.
hostasa.org.3600IN  NS  ns1cnb.domain-resolution.net.
hostasa.org.3600IN  NS  ns3cna.domain-resolution.net.
hostasa.org.3600IN  NS  ns2dky.domain-resolution.net.

;; ADDITIONAL SECTION:
ns3cna.domain-resolution.net. 2669 IN   A   98.124.246.2
ns2dky.domain-resolution.net. 649 INA   98.124.246.1
ns1cnb.domain-resolution.net. 159 INA   50.23.84.77
ns4lny.domain-resolution.net. 2772 IN   A   98.124.217.1

經過分析，活著的cnc（hostasa.org）伺服器在美國。

"ip": "23.234.60.143",
"hostname": "No Hostname",
"city": "Newark",
"region": "Delaware",
"country": "US",
"loc": "39.7151,-75.7306",
"org": "AS26484 HOSTSPACE NETWORKS LLC",
"postal": "19711"

"ip": "192.126.126.64",
"hostname": "No Hostname",
"city": "Los Angeles",
"region": "California",
"country": "US",
"loc": "34.0530,-118.2642",
"org": "AS26484 HOSTSPACE NETWORKS LLC",
"postal": "90017"

其他的cnc（hostasa.org）伺服器在香港。

"ip": "103.240.140.152",
"hostname": "No Hostname",
"city": "Central District",
"country": "HK",
"loc": "22.2833,114.1500",
"org": "AS62466 ClearDDoS Technologies"

"ip": "103.240.141.54",
"hostname": "No Hostname",
"city": "Central District",
"country": "HK",
"loc": "22.2833,114.1500",
"org": "AS62466 ClearDDoS Technologies"

功能變數名稱hostasa.org無法證明是用於惡意目的的懷疑，3台主機看起來像一個DNS伺服器，下面是註冊的資料來自Name.com那裡註冊.org，與隱私保護：

Domain Name:"HOSTASA.ORG"
Domain ID: 2D175880649-LROR"
"Creation Date: 2015-03-31T06:56:01Z
Updated Date: 2015-05-31T03:45:36Z"
Registry Expiry Date: 2016-03-31T06:56:01Z
Sponsoring Registrar:"Name.com, LLC (R1288-LROR)"
Sponsoring Registrar IANA ID: 625
WHOIS Server:
Referral URL:
Domain Status: clientTransferProhibited -- http://www.icann.org/epp#clientTransferProhibited
Registrant ID:necwp72276k4nva0
Registrant Name:Whois Agent
Registrant Organization:Whois Privacy Protection Service, Inc.
Registrant Street: PO Box 639
Registrant City:Kirkland
Registrant State/Province:WA
Registrant Postal Code:98083
Registrant Country:US
Registrant Phone:+1.4252740657
Registrant Phone Ext:
Registrant Fax: +1.4259744730
Registrant Fax Ext:
Registrant Email:hostasa.org@protecteddomainservices.com
Tech Email:hostasa.org@protecteddomainservices.com
Name Server:NS3CNA.DOMAIN-RESOLUTION.NET
Name Server:NS1CNB.DOMAIN-RESOLUTION.NET
Name Server:NS2DKY.DOMAIN-RESOLUTION.NET
Name Server:NS4LNY.DOMAIN-RESOLUTION.NET
DNSSEC:Unsigned

此外，所使用的44ro4.cn域，這是DNS指向惡意的payload的Web頁面，這不是巧合，這是註冊在下面的QQ ID和名稱（可能是假的）：

Domain Name: 44ro4.cn
ROID: 20141229s10001s73492202-cn
Domain Status: ok
Registrant ID: ji27ikgt6kc203
Registrant: "蔡厚泉 (Cai Hou Sien/Quan)"
Registrant Contact Email: "2511916764@qq.com"
Sponsoring Registrar: 北京新網數碼資訊技術有限公司
Name Server: ns1.51dns.com
Name Server: ns2.51dns.com
Registration Time: 2014-12-29 10:13:43
Expiration Time: 2015-12-29 10:13:43
DNSSEC: unsigned

PS：CNNIC有更多這樣的註冊資訊，我把自由查詢他們找到這個騙子用的和其他身份的幾個可憐的cn功能變數名稱，相同和不同的名字下，在同一個QQ：

Domain   RegistrantID     Name
------------------------------
n1o9n.cn ej55v35357p95m   沈濤
u7ju0.cn ej55v35357p95m   沈濤
568b5.cn ej55v35357p95m   沈濤
93t9i.cn ej55v35357p95m   沈濤
5ntdu.cn ej55v35357p95m   沈濤
v90b8.cn ej55v35357p95m   沈濤
av732.cn ej55v35357p95m   沈濤
iqny7.cn ej55v35357p95m   沈濤
ewkp7.cn ej55v35357p95m   沈濤
8vu55.cn ji27ikgt6kc203   蔡厚泉
tj17e.cn ej55v35357p95m   沈濤
o88pn.cn ji27ikgt6kc203   蔡厚泉

通過進一步的分析，發現如下資訊和功能變數名稱所有者資訊相吻合。

看起來這個功能變數名稱所有者是住在，住在附近的潭溪公交站在三元里街頭，白雲區，廣州地區，中華人民共和國，按照該地圖描述：

文章來源:http://drops.wooyun.org/tips/6711

圖片來源:https://pixabay.com/

The post linux ddos惡意軟體分析 first appeared on 捕夢網 Blog.