无锡公安抓获DDoS攻击黑客

2015-11-05 483078人围观 ,发现 41 个不明物体 资讯

黑客落网

今年8月份,中新网发布了一则关于无锡公安人员抓获一名涉嫌DDoS攻击某公司网站的黑客的新闻。

图1 无锡公安侦破黑客攻击案件

相信这条低调的新闻并没有引起太多人的注意。11月4日,无锡警方发布公告,事发的案件详情也随之浮出水面。

2015年7月中旬,因黑客攻击,无锡市惠山区某影视传播有限公司某游戏平台服务器堵塞,引发大量用户投诉。随之一黑客与该公司客服人员联系,以停止攻击为由向该公司实施敲诈,按月收取保护费1888元。该公司立即向当地警方报案。接警后,惠山分局高度重视,迅速成立专案小组,开展案件侦查工作。阿里云安全团队积极配合无锡警方专案组分析和提取了相关材料。犯罪嫌疑人很快落网。

经审问,蒋某供认了使用黑客网络攻击技术攻击他人游戏平台并进行敲诈的犯罪事实。目前,蒋某已因涉嫌破坏计算机信息系统罪被江苏无锡市惠山区人民检察院批准逮捕。

“根据《中华人民共和国刑法》第二百八十六条规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。”

溯源取证

从警方专案组办案过程中,阿里云安全团队协助警方固定了黑客攻击证据,获取了嫌疑人的相关线索。警方据此将蒋某锁定并最终抓获。结果证明,云盾系统溯源精准。

阿里云安全团队负责人表示,网络犯罪是互联网产业的毒瘤,阿里云将积极协助警方打击网络黑色产业链。后续将进一步加强安全研发,并开放云上安全,与更多的安全公司合作,保障云上用户的安全。

攻击分析

经过云盾团队对攻击数据的分析和溯源,我们发现此次攻击者使用的是BillGates木马程序。

根据《2015年第三季度云盾互联网DDoS状态和趋势报告》,BillGates攻击程序作为目前国内最流行的分布式拒绝服务攻击(DDoS)软件之一,被攻击者广泛使用,在DDoS攻击程序中占比高达32.33%。

图2 BillGates攻击程序比例最大

攻击者普遍利用网络上某些服务器存在SSH、TELNET、MySQL、SQL Server弱密码等疏漏,或是利用破壳漏洞,使用工具进行批量扫描并植入BillGates恶意程序。被植入到服务器的恶意程序会从攻击者的中控服务器接收攻击指令,并针对特定的目标发起指令类型的分布式拒绝服务攻击(DDoS)。

BillGates的攻击模式主要有:

●TCP-SYN Flood
●UDP Flood
●DNS Flood
●ICMP Flood
●DNS放大攻击
●CC攻击

BillGates攻击程序采用C/C++语言编写,因相关的程序中分别包含”Bill”和”Gates”而得名。相比其他类型DDoS程序攻击模式,BillGates具备内核模式,使用pktgen,在内核中生成攻击数据包,进而可以避免被传播的抓包或嗅探工具捕获到。

图3 BillGates攻击程序

最后,BillGates之所以如此被攻击者广泛采用,我们认为原因如下:

1) 具有完备的Windows和Linux两个版本,方便攻击者根据肉鸡服务器的操作系统类型植入对应平台的程序;

2) 稳定成熟,操作简单,支持集群,功能齐全,攻击者可以选取TCP-SYN Flood、UDP Flood、CC攻击、DNS放大等多种攻击方式对目标发起攻击。

参考链接:

http://news.cpd.com.cn/n3559/c30927073/content.html

http://www.js.chinanews.com/wx/news/2015/0817/52317.html

https://securelist.com/analysis/publications/64361/versatile-ddos-trojan-for-linux/

* 作者:阿里安全(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

更多精彩
相关推荐

这些评论亮了

  • Rasiel 回复
    说了一堆没用的!这不是白帽子网站,请说一下阿里云跟警方如何抓到黑客的!!我们好知道一下,以后防着点儿
    )23( 亮了
  • lucky0001 (5级) 已经买了电脑,网费已经续到了2020年。 回复
    这些人最多只能算的上是, 黑客边缘人士, 只有一少部分人是属于获利集体, 大部分人的所得都是蝇头小利, 真正对网络有危害的, 危害大的, 恰巧不是这些"黑客", 而是那些网络公司, 安全公司里的, 漏洞出售者, 软件开发者们, 他们才是所有危害的根源, 而这些黑客, 往往要么是和公安人员有合作关系, 要么是近亲属, 要么打不得, 要么不能打, 所以只能拿这些所谓的黑客来表功, 希望警察不是需要抓人了才去抓人, 应该是为了抓人而去抓人。 这样有本质的区别。
    )11( 亮了
  • @ xxl  有时候情况也没有那么复杂。大多数的情况,在程序本身就可以找到很多可用的信息。 病毒名,感觉源这些可以找到非常多的线索。 我利用这些抓到过二伙攻击我网站的人,一伙人态度诚肯成为了好朋友。 另一波态度实在是嚣张,很无奈只好找了几个朋友过去砍了他们。
    )8( 亮了
  • muijj 回复
    阿里云各机房空路由规则(不适用于高防IP)
    杭州机房超过5G会触发黑洞
    青岛服务器流量超过5G会触发黑洞
    北京服务器流量超过1G会触发黑洞
    深圳机房流量超过2G触发黑洞
    香港机房流量超过500M触发黑洞。
    触发黑洞后会对被黑洞的服务器外网限制2.5小时,2.5小时后会进入清洗状态,核实是否还存在攻击。如果继续存在大于5G的攻击,还会继续黑洞处理,如果攻击停止,系统会自动解封,
    )8( 亮了
发表评论

已有 41 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php