本周的焦点,毫无疑问是“PhantomL0rd”和“DERP”,以及合伙炮制的针对包括EA、暴雪等大型游戏公司在内的DDoS攻击。随着事件及其背后动因不断地被挖掘和曝光,我们看到的则是与当初设想完全不同的、一个令人震惊的“秘密”。
“PhantomL0rd”、“DERP”和他们之间不可告人的秘密
真诚的合作与2B的奉献
在上周的回顾中,我们提到了悲催的“PhantomL0rd”和偏执狂般发起攻击的“DERP”。在去年12月底上演的针对包括EA、暴雪等大型游戏公司的DDoS攻击事件一度使人们误以为“PhantomL0rd”是被攻击的目标和受害者。然而,随着事件及其背后动因不断地被挖掘和曝光,我们看到的则是另外一幅完全不同和令人震惊的画面。这出一个愿打一个愿挨的大戏,其背后到底隐藏着哪些不可告人的秘密呢?
在阐述事件的前因后果之前,先简单介绍一下两位主角:“PhantomL0rd”和“DERP”。
“PhantomL0rd”名叫James Varga,某专业游戏小组的成员,同时是Twitch的知名和资深视频博主。“DERP”也叫“DERP Trolling”,这是一个成立于2011年,比Anonymous还要随性而松散的黑客组织。如果从Anonymous的攻击行动还可以找到漏洞利用、网页篡改和数据窃取等“高技术“含量的行为,那么DERP恐怕就只有DDoS这唯一一种相对”低技术“含量的攻击手段了。
在上周的回顾中我们提到“PhantomL0rd”被“DERP“所追杀,包括魔兽、英雄年代、FIFA、战地4等无数游戏中枪,但凡”PhantomL0rd”玩的游戏均不同程度地遭到DDoS攻击。然而,这位颇有点“亡命天涯”味道的追杀目标——”PhantomL0rd”并非无辜;恰恰相反,他是整个事件的策划者。
“PhantomL0rd”经常参加一些网络游戏的对战。但凡对战,只要你不是上帝,就一定互有胜败。问题是“PhantomL0rd”想做上帝。他主动找到“DERP”,提出了一个“不错”的计划:在网游对战中,如果“PhantomL0rd”小组打不过别人,“PhantomL0rd”小组就下线,然后“DERP”登场,发起DDoS攻击游戏服务器让游戏无法继续。这样一来,比赛就没有结果,“PhantomL0rd”就有再次翻盘的机会。这就是“PhantomL0rd”和“DERP”之间的秘密。
这尼玛是不是有点过于无耻了?打过团战的都应该深有体会,团战打到high的时候,如果突然网络中断了,那连砸电脑的心都有!另一方面,这尼玛用DDoS来左右比赛结果,是不是可以入选“2013年十大技术创新”名单了?
不过,从技术角度上来看,这群随性的黑客并非想象中的那般菜鸟。从大量的外媒报道来看,DERP是第一个利用NTP服务器进行大规模反射放大攻击的黑客组织。和DNS反射攻击的模式非常类似,攻击者将源地址伪造为游戏服务器,向互联网上的开放NTP服务器发送monlist请求,。NTP服务器上的monlist模块会对这些monlist请求返回最近600个主机IP地址,而这些回应包将发往被攻击目标主机,即游戏服务器。这就是反射。
攻击的另一个关键技术环节是放大。monlist请求数据包大小为8字节,而响应数据包为468字节,这样一来,响应包是请求包大小的58倍。虽然技术上不算高深,但是“四两拨千斤”颇为有效,竟然真的干翻了EA、Battle.net等诸多大型游戏公司的服务器。
更令人震精的分析数据来自CloudFlare。CloudFlare在 1月9日的官方博客上对NTP反射放大攻击也进行了分析。NTP反射放大攻击和DNS反射放大攻击有异曲同工之妙,都是基于不需要维护状态的UDP协议。对抗D稍有研究的人都会知道,虽然UDP Flood很简单,但是不是太好防——包括Cookie和CAPTCHA在内的所有客户端验证手段均将失效。CloudFlare提到用MAC终端发出的MON_GETLIST 请求包为234字节,返回包是4460字节(分拆成10个数据包),放大了19倍。
有朋友会说,19倍毛毛雨啦。事实上,CloudFlare测试的NTP服务器并非一台业务繁忙的服务器,4460字节返回的仅是55台主机的IP地址。在上文提到,一台业务繁忙的服务器会返回600台服务器IP。如果真的返回了600个IP,那么返回的数据包将是4460字节的10余倍。经放大后,将超过200倍!
OMG,200倍!这个数字你应该非常满意了。
整个事件中唯一让人稍稍感到有点正能量的是“DERP“的诚信。据称,“Derp“严格兑现自己的承诺:你打不过,我就打DDoS!真诚地“奉献”了针对游戏服务器的若干次DDoS攻击。为啥说“奉献”?因为,“DERP”完全友情赞助,分文不取。
到这儿,我只想说一句:DERP,你丫真2。
巴基斯坦黑客利用0day入侵openSUSE网站
openSUSE悲催的“二进宫”
在本周,一个绰号“H4x0r HuSsY”的巴基斯坦黑客,利用vBulletin系统的0day漏洞,通过上传恶意文件成功入侵了openSUSE的数据库,盗取数万用户信息,并篡改了网页。在入侵事件过程中,openSUSE采用的vBulletin系统版本4.2.1。让人感到忐忑的是,据入侵系统的黑客在社会化媒体上的发帖称,最新版本的vBulletin 5.0.5同样存在类似0day。
事实上,这已经是openSUSE在三个月内第二次发生大规模用户信息泄露了。在去年11月,openSUSE就发生过用户ID和密码的泄露,当时openSUSE对攻击的解释是“非常复杂”。
防不住就是防不住嘛,还尼玛“非常复杂”,你当是APT啊!现在但凡是攻击,不和APT扯上点关系就不好意思说出来。我看,面对愈加泛滥的APT,Fireeye是不是应该考虑受版权费了?
(完)
参考:
1、Derp(hacker group),http://en.wikipedia.org/wiki/Derp_(hacker_group)
2、How a ProGamer Actually Made Money From Hackers DDoSing His Server,
http://motherboard.vice.com/blog/how-a-pro-gamer-actually-made-money-from-hackers-ddosing-his-server
3、AttackersWage Network Time Protocol-Based DDoS Attacks,
http://www.darkreading.com/attacks-breaches/attackers-wage-network-time-protocol-bas/240165063
4、Twitchpersonality claims home was raided following DDoS – report [UPDATE],
5、DoSattacks that took down big game sites abused Web’s time-sync protocol,
6、Understandingand mitigating NTP-based DDoS attacks,
http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks
7、OpenSUSEforums hacked in ANOTHER vBulletin attack,
http://www.theregister.co.uk/2014/01/08/opensuse_forums_hacked_emails_exposed/
(2014年1月12日,@blackscreen)
11月 上海
CIS 2019首席信息安全官闭门高峰论坛11月
CIS 2019议题抢先看10月
公开课双十一活动9月 上海
CIS 2019官网上线,早鸟票同步开售
已有 8 条评论
最喜欢看一周事件了
和DNS反射攻击的模式非常类似,攻击者将源地址伪造为游戏服务器,向互联网上的开放NTP服务器发送monlist请求,。NTP服务器上的monlist模块会对这些monlist请求返回最近600个主机IP地址,而这些回应包将发往被攻击目标主机,即游戏服务器。这就是反射。
现在伪造源地址还有效果? 不是在经过节点路由的时候会被丢弃么?
@ltes UDP 123
@xtxtxt
UDP就可以伪造源地址? 似乎不行吧
我记得以前测试过
向dns服务器发送伪造的源地址包, 但是源地址服务器并未收到dns发来的查询结果包
而且很多边界路由会检测包的合法性 通常只有在局域网才有效果
vBulletin系统版本4.2.1 自行修改的话,即使不知道问题在哪里,审计也是可以做的~
大家看看就明白了~
至于“非常复杂”嘛~ 唉~
你们是把别人喝咖啡的时间用来喝啤酒了吧~
DDos玩家的ip岂不是更有创新- -
是有点2。 DERP不图钱啊
[求红包]
[img]http://t2.gstatic.com/images?q=tbn:ANd9GcS7CgPUp3jMft6gQAQ2ACTe9xJ2-HYLFC2uEqGU9TJpoPyaXtLV[/img]
还以为是大狸子