最近,2018年3月初,GitHub遭遇1.35Tbps的DDoS攻擊,相隔幾天,一家美國服務供應商又遭到1.7 Tbps的DDoS攻擊,再次刷新紀錄。這波攻擊,都是濫用Memcached伺服器的漏洞,採用反射和放大流量的攻擊手法,顯然,DDoS攻擊規模不僅越來越大,而且TB級攻擊也越來越多見。

而在月中舉行的2018臺灣資安大會上,網路安全監控公司Arbor Networks亞太區技術總監張泰興,剛好也報告了最新IoT殭屍網路與DDoS攻擊的發展態勢,讓我們看到更多正在醞釀的威脅。

物聯網僵屍網路新用途,當成代理伺服器或用於挖礦

提到IoT殭屍網路,近年最早的大規模案例,就是2016年的Mirai殭屍網路。該惡意程式專門感染無線攝影機、路由器與監視器等非傳統運算裝置,利用已知或未公開的安全漏洞,入侵並控制這些裝置,操控了數十萬臺的IoT裝置,執行DDoS攻擊。其中一次攻擊最受關注,因為是鎖定DNS服務供應商Dyn,導致Twitter、Amazon等使用該公司服務的公司遭波及。

張泰興表示,雖然2017年大規模IoT Botnet攻擊較少,但他們已經觀察到不少值得注意的現象。

簡單來說,不僅是新型殭屍網路越來越多,感染裝置的數量、類型持續增加,而且挾持的裝置不僅用來DDoS攻擊,也能用於當作代理伺服器(Proxy Server),甚至是挖礦。

他舉例,2017年的Mirai變種Reaper殭屍網路,已感染100萬個物聯網裝置,綁架數量比Mirai更多,儘管到現在還沒有發動攻擊,但已經是個警訊;另一個WireX殭屍網路,則是藉由感染Android裝置以發動DDoS攻擊,儘管隨後Google也與網路業者聯手打擊防範,但這也突顯出殭屍網路入侵手機平臺,不能等閒視之。

到了2018年,出現了名為JenX的新型殭屍網路,同樣是感染物聯網設備,並以提供服務供駭客租用為主,聲稱可發動300Gbps的攻擊流量。另外,最新的例子還包括HNS(Hide 'n Seek),感染裝置數還不算多,目前只有3.3萬臺。

值得注意的是,駭客挾持這些IoT裝置,不只可以用來發動DDoS攻擊,現在IoT殭屍網路也出現新的使用方式。張泰興指出,例如新型Mirai變種OMG,能在感染物聯網與網路設備後,將裝置變成代理伺服器,以轉發惡意流量,同時也可將服務轉租給駭客,以便隱藏上網IP位址;而另一款惡意程式Satori殭屍網路,則是能被用於挖礦。

隨著IoT裝置的高速成長,張泰興認為,IoT殭屍網路將是駭客優先利用的攻擊平臺。像是根據市調機構IHS對於IoT裝置的預測,在2017年全球將有270億臺IoT裝置,而到2030年時,預估會有1,250億臺,若有一定比例被植入惡意程式而成為殭屍電腦,將嚴重造成威脅。因此,網站公司、企業必須要意識到,DDoS攻擊的規模只會越來越大。

DDoS攻擊手法複雜化,多型態混合讓企業更不易防禦

從DDoS攻擊的現況來看,張泰興提到,早期手法是攻擊網路協定的網路層(L3)、傳輸層(L4),近年更著重於攻擊應用層(L7),像是在他們的統計數據中,2017年的攻擊比例,比上一年度增加3成。

多型態的DDoS攻擊手法,也值得企業多加留意。像是他們發現的案例中,駭客第一段攻擊前10分鐘是用UDP協定發動洪水攻擊,接著是HTTP,然後又換成ICMP,從單一攻擊到混合攻擊,其實也意味著,攻擊手段變得更複雜,而不僅是攻擊流量規模變大。相對而言,企業防禦也就更不容易,因為要面對不同協議、不同資源的攻擊,來分析、反應與處理。

對於企業遭遇DDoS攻擊的情形,張泰興也公布他們的調查與統計數據來說明。像是,在2017年有60%的客戶表示,一年內會受到1至10次的DDoS攻擊。而從DDoS攻擊目標的行業別來看,以金融業、雲端服務與政府部門受害比例最高,而這些領域各有4成左右企業、單位遭受攻擊,另外,在網路遊戲、教育與電商領域,也各有3成左右比例受害。

同時,張泰興也提到,調查中有51%的企業承認,利用IPS與防火牆等設備來防禦DDoS攻擊,並不是很有效。主要原因在於,傳統解決方案中,像是防火牆和IPS設備存在網路連線數的限制,而DDoS攻擊則耗盡這些設備的狀態表(State Table),可使之失去作用。

造成網站服務癱瘓之外,也會搭配勒索與APT

最後,張泰興提醒,當企業環境受到DDoS攻擊,通常有3個地方容易出問題。首先,就是上游電信業務網路頻寬被塞爆,第二種是耗盡防火牆或IPS的狀態表(State Table),讓設備失去作用,至於最後一種則是攻擊後端的服務器。因此,張泰興認為,全面的DDoS防護策略是透過多層次防禦,例如一個是在本地端的資料中心裡面,另一個則是在雲端,才能做到完整的防護。

而在上述這些攻擊手法的變化之外,企業並要留意DDoS攻擊的目的,因為,駭客不只可用來干擾企業的網路服務,搭配勒索及APT針對性攻擊,將帶來更多威脅性。

例如,駭客用DDoS攻擊來勒索,宣稱不付錢給他們,就發動攻擊;另一種方式則是當作APT攻擊的掩護手法,如同煙霧彈一般,讓企業在搶修防火牆等設備來應付龐大流量之餘,他們再偷偷將APT惡意程式利用後門植入到企業內網,或是在將竊取到的資料趁機送出。

近期,DDoS攻擊不僅再度寫下新紀錄,最大攻擊流達1.7Tbps,更讓人憂心的是,近年每隔一段時間,攻擊規模就有2倍以上的增長,已經呈現等比級數快速上升的趨勢。而在2012年之前,最大規模才只有到100Gbps。

另外,Arbor Networks亞太區技術總監張泰興現場也展示了,臺灣企業受到DDoS攻擊的統計數據,他說,在過去一年中,臺灣企業平均每月也會受到10到15Gbps攻擊流量的DDoS攻擊。


Advertisement

更多 iThome相關內容