本周的焦点，毫无疑问是“PhantomL0rd”和“DERP”，以及合伙炮制的针对包括EA、暴雪等大型游戏公司在内的DDoS攻击。随着事件及其背后动因不断地被挖掘和曝光，我们看到的则是与当初设想完全不同的、一个令人震惊的“秘密”。

“PhantomL0rd”、“DERP”和他们之间不可告人的秘密

真诚的合作与2B的奉献

    在上周的回顾中，我们提到了悲催的“PhantomL0rd”和偏执狂般发起攻击的“DERP”。在去年12月底上演的针对包括EA、暴雪等大型游戏公司的DDoS攻击事件一度使人们误以为“PhantomL0rd”是被攻击的目标和受害者。然而，随着事件及其背后动因不断地被挖掘和曝光，我们看到的则是另外一幅完全不同和令人震惊的画面。这出一个愿打一个愿挨的大戏，其背后到底隐藏着哪些不可告人的秘密呢？

    在阐述事件的前因后果之前，先简单介绍一下两位主角：“PhantomL0rd”和“DERP”。

     “PhantomL0rd”名叫James Varga，某专业游戏小组的成员，同时是Twitch的知名和资深视频博主。“DERP”也叫“DERP Trolling”，这是一个成立于2011年，比Anonymous还要随性而松散的黑客组织。如果从Anonymous的攻击行动还可以找到漏洞利用、网页篡改和数据窃取等“高技术“含量的行为，那么DERP恐怕就只有DDoS这唯一一种相对”低技术“含量的攻击手段了。

    在上周的回顾中我们提到“PhantomL0rd”被“DERP“所追杀，包括魔兽、英雄年代、FIFA、战地4等无数游戏中枪，但凡”PhantomL0rd”玩的游戏均不同程度地遭到DDoS攻击。然而，这位颇有点“亡命天涯”味道的追杀目标——”PhantomL0rd”并非无辜；恰恰相反，他是整个事件的策划者。

    “PhantomL0rd”经常参加一些网络游戏的对战。但凡对战，只要你不是上帝，就一定互有胜败。问题是“PhantomL0rd”想做上帝。他主动找到“DERP”，提出了一个“不错”的计划：在网游对战中，如果“PhantomL0rd”小组打不过别人，“PhantomL0rd”小组就下线，然后“DERP”登场，发起DDoS攻击游戏服务器让游戏无法继续。这样一来，比赛就没有结果，“PhantomL0rd”就有再次翻盘的机会。这就是“PhantomL0rd”和“DERP”之间的秘密。

    这尼玛是不是有点过于无耻了？打过团战的都应该深有体会，团战打到high的时候，如果突然网络中断了，那连砸电脑的心都有！另一方面，这尼玛用DDoS来左右比赛结果，是不是可以入选“2013年十大技术创新”名单了？

    不过，从技术角度上来看，这群随性的黑客并非想象中的那般菜鸟。从大量的外媒报道来看，DERP是第一个利用NTP服务器进行大规模反射放大攻击的黑客组织。和DNS反射攻击的模式非常类似，攻击者将源地址伪造为游戏服务器，向互联网上的开放NTP服务器发送monlist请求，。NTP服务器上的monlist模块会对这些monlist请求返回最近600个主机IP地址，而这些回应包将发往被攻击目标主机，即游戏服务器。这就是反射。

    攻击的另一个关键技术环节是放大。monlist请求数据包大小为8字节，而响应数据包为468字节，这样一来，响应包是请求包大小的58倍。虽然技术上不算高深，但是“四两拨千斤”颇为有效，竟然真的干翻了EA、Battle.net等诸多大型游戏公司的服务器。

    更令人震精的分析数据来自CloudFlare。CloudFlare在 1月9日的官方博客上对NTP反射放大攻击也进行了分析。NTP反射放大攻击和DNS反射放大攻击有异曲同工之妙，都是基于不需要维护状态的UDP协议。对抗D稍有研究的人都会知道，虽然UDP Flood很简单，但是不是太好防——包括Cookie和CAPTCHA在内的所有客户端验证手段均将失效。CloudFlare提到用MAC终端发出的MON_GETLIST 请求包为234字节，返回包是4460字节（分拆成10个数据包），放大了19倍。

    有朋友会说，19倍毛毛雨啦。事实上，CloudFlare测试的NTP服务器并非一台业务繁忙的服务器，4460字节返回的仅是55台主机的IP地址。在上文提到，一台业务繁忙的服务器会返回600台服务器IP。如果真的返回了600个IP，那么返回的数据包将是4460字节的10余倍。经放大后，将超过200倍！

    OMG，200倍！这个数字你应该非常满意了。

    整个事件中唯一让人稍稍感到有点正能量的是“DERP“的诚信。据称，“Derp“严格兑现自己的承诺：你打不过，我就打DDoS！真诚地“奉献”了针对游戏服务器的若干次DDoS攻击。为啥说“奉献”？因为，“DERP”完全友情赞助，分文不取。

    到这儿，我只想说一句：DERP，你丫真2。

巴基斯坦黑客利用0day入侵openSUSE网站

openSUSE悲催的“二进宫”

    在本周，一个绰号“H4x0r HuSsY”的巴基斯坦黑客，利用vBulletin系统的0day漏洞，通过上传恶意文件成功入侵了openSUSE的数据库，盗取数万用户信息，并篡改了网页。在入侵事件过程中，openSUSE采用的vBulletin系统版本4.2.1。让人感到忐忑的是，据入侵系统的黑客在社会化媒体上的发帖称，最新版本的vBulletin 5.0.5同样存在类似0day。

    事实上，这已经是openSUSE在三个月内第二次发生大规模用户信息泄露了。在去年11月，openSUSE就发生过用户ID和密码的泄露，当时openSUSE对攻击的解释是“非常复杂”。

    防不住就是防不住嘛，还尼玛“非常复杂”，你当是APT啊！现在但凡是攻击，不和APT扯上点关系就不好意思说出来。我看，面对愈加泛滥的APT，Fireeye是不是应该考虑受版权费了？

（完）

参考：

1、Derp(hacker group)，http://en.wikipedia.org/wiki/Derp_(hacker_group)

2、How a ProGamer Actually Made Money From Hackers DDoSing His Server，

http://motherboard.vice.com/blog/how-a-pro-gamer-actually-made-money-from-hackers-ddosing-his-server

3、AttackersWage Network Time Protocol-Based DDoS Attacks，

http://www.darkreading.com/attacks-breaches/attackers-wage-network-time-protocol-bas/240165063

4、Twitchpersonality claims home was raided following DDoS – report [UPDATE]，

http://www.vg247.com/2014/01/04/twitch-personality-has-home-raided-following-ddos-prank-posts-video-explanation/

5、DoSattacks that took down big game sites abused Web’s time-sync protocol，

http://arstechnica.com/security/2014/01/dos-attacks-that-took-down-big-game-sites-abused-webs-time-synch-protocol/

6、Understandingand mitigating NTP-based DDoS attacks，

http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks

7、OpenSUSEforums hacked in ANOTHER vBulletin attack，

http://www.theregister.co.uk/2014/01/08/opensuse_forums_hacked_emails_exposed/

（2014年1月12日，@blackscreen）