一周海外安全事件回顾(2014.01.06 – 2014.01.11)

2014-01-12 +10 210924人围观 ,发现 9 个不明物体 头条

    本周的焦点,毫无疑问是“PhantomL0rd”和“DERP”,以及合伙炮制的针对包括EA、暴雪等大型游戏公司在内的DDoS攻击。随着事件及其背后动因不断地被挖掘和曝光,我们看到的则是与当初设想完全不同的、一个令人震惊的“秘密”。

“PhantomL0rd”、“DERP”和他们之间不可告人的秘密

真诚的合作与2B的奉献

    在上周的回顾中,我们提到了悲催的“PhantomL0rd”和偏执狂般发起攻击的“DERP”。在去年12月底上演的针对包括EA、暴雪等大型游戏公司的DDoS攻击事件一度使人们误以为“PhantomL0rd”是被攻击的目标和受害者。然而,随着事件及其背后动因不断地被挖掘和曝光,我们看到的则是另外一幅完全不同和令人震惊的画面。这出一个愿打一个愿挨的大戏,其背后到底隐藏着哪些不可告人的秘密呢?

    在阐述事件的前因后果之前,先简单介绍一下两位主角:“PhantomL0rd”和“DERP”。

     “PhantomL0rd”名叫James Varga,某专业游戏小组的成员,同时是Twitch的知名和资深视频博主。“DERP”也叫“DERP Trolling”,这是一个成立于2011年,比Anonymous还要随性而松散的黑客组织。如果从Anonymous的攻击行动还可以找到漏洞利用、网页篡改和数据窃取等“高技术“含量的行为,那么DERP恐怕就只有DDoS这唯一一种相对”低技术“含量的攻击手段了。

    在上周的回顾中我们提到“PhantomL0rd”被“DERP“所追杀,包括魔兽、英雄年代、FIFA、战地4等无数游戏中枪,但凡”PhantomL0rd”玩的游戏均不同程度地遭到DDoS攻击。然而,这位颇有点“亡命天涯”味道的追杀目标——”PhantomL0rd”并非无辜;恰恰相反,他是整个事件的策划者。

    “PhantomL0rd”经常参加一些网络游戏的对战。但凡对战,只要你不是上帝,就一定互有胜败。问题是“PhantomL0rd”想做上帝。他主动找到“DERP”,提出了一个“不错”的计划:在网游对战中,如果“PhantomL0rd”小组打不过别人,“PhantomL0rd”小组就下线,然后“DERP”登场,发起DDoS攻击游戏服务器让游戏无法继续。这样一来,比赛就没有结果,“PhantomL0rd”就有再次翻盘的机会。这就是“PhantomL0rd”和“DERP”之间的秘密。

    这尼玛是不是有点过于无耻了?打过团战的都应该深有体会,团战打到high的时候,如果突然网络中断了,那连砸电脑的心都有!另一方面,这尼玛用DDoS来左右比赛结果,是不是可以入选“2013年十大技术创新”名单了?

    不过,从技术角度上来看,这群随性的黑客并非想象中的那般菜鸟。从大量的外媒报道来看,DERP是第一个利用NTP服务器进行大规模反射放大攻击的黑客组织。和DNS反射攻击的模式非常类似,攻击者将源地址伪造为游戏服务器,向互联网上的开放NTP服务器发送monlist请求,。NTP服务器上的monlist模块会对这些monlist请求返回最近600个主机IP地址,而这些回应包将发往被攻击目标主机,即游戏服务器。这就是反射。

    攻击的另一个关键技术环节是放大。monlist请求数据包大小为8字节,而响应数据包为468字节,这样一来,响应包是请求包大小的58倍。虽然技术上不算高深,但是“四两拨千斤”颇为有效,竟然真的干翻了EA、Battle.net等诸多大型游戏公司的服务器。

    更令人震精的分析数据来自CloudFlare。CloudFlare在 1月9日的官方博客上对NTP反射放大攻击也进行了分析。NTP反射放大攻击和DNS反射放大攻击有异曲同工之妙,都是基于不需要维护状态的UDP协议。对抗D稍有研究的人都会知道,虽然UDP Flood很简单,但是不是太好防——包括Cookie和CAPTCHA在内的所有客户端验证手段均将失效。CloudFlare提到用MAC终端发出的MON_GETLIST 请求包为234字节,返回包是4460字节(分拆成10个数据包),放大了19倍。

    有朋友会说,19倍毛毛雨啦。事实上,CloudFlare测试的NTP服务器并非一台业务繁忙的服务器,4460字节返回的仅是55台主机的IP地址。在上文提到,一台业务繁忙的服务器会返回600台服务器IP。如果真的返回了600个IP,那么返回的数据包将是4460字节的10余倍。经放大后,将超过200倍!

    OMG,200倍!这个数字你应该非常满意了。

    整个事件中唯一让人稍稍感到有点正能量的是“DERP“的诚信。据称,“Derp“严格兑现自己的承诺:你打不过,我就打DDoS!真诚地“奉献”了针对游戏服务器的若干次DDoS攻击。为啥说“奉献”?因为,“DERP”完全友情赞助,分文不取。

    到这儿,我只想说一句:DERP,你丫真2。

巴基斯坦黑客利用0day入侵openSUSE网站

openSUSE悲催的“二进宫”

    在本周,一个绰号“H4x0r HuSsY”的巴基斯坦黑客,利用vBulletin系统的0day漏洞,通过上传恶意文件成功入侵了openSUSE的数据库,盗取数万用户信息,并篡改了网页。在入侵事件过程中,openSUSE采用的vBulletin系统版本4.2.1。让人感到忐忑的是,据入侵系统的黑客在社会化媒体上的发帖称,最新版本的vBulletin 5.0.5同样存在类似0day。

    事实上,这已经是openSUSE在三个月内第二次发生大规模用户信息泄露了。在去年11月,openSUSE就发生过用户ID和密码的泄露,当时openSUSE对攻击的解释是“非常复杂”。

    防不住就是防不住嘛,还尼玛“非常复杂”,你当是APT啊!现在但凡是攻击,不和APT扯上点关系就不好意思说出来。我看,面对愈加泛滥的APT,Fireeye是不是应该考虑受版权费了?

(完)

参考:

1、Derp(hacker group),http://en.wikipedia.org/wiki/Derp_(hacker_group)

2、How a ProGamer Actually Made Money From Hackers DDoSing His Server,

http://motherboard.vice.com/blog/how-a-pro-gamer-actually-made-money-from-hackers-ddosing-his-server

3、AttackersWage Network Time Protocol-Based DDoS Attacks,

http://www.darkreading.com/attacks-breaches/attackers-wage-network-time-protocol-bas/240165063

4、Twitchpersonality claims home was raided following DDoS – report [UPDATE],

http://www.vg247.com/2014/01/04/twitch-personality-has-home-raided-following-ddos-prank-posts-video-explanation/

5、DoSattacks that took down big game sites abused Web’s time-sync protocol,

http://arstechnica.com/security/2014/01/dos-attacks-that-took-down-big-game-sites-abused-webs-time-synch-protocol/

6、Understandingand mitigating NTP-based DDoS attacks,

http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks

7、OpenSUSEforums hacked in ANOTHER vBulletin attack,

http://www.theregister.co.uk/2014/01/08/opensuse_forums_hacked_emails_exposed/

(2014年1月12日,@blackscreen)

发表评论

已有 8 条评论

取消
Loading...
css.php