深度解讀OpIcarus 2017攻擊 目標(biāo)全球金融系統(tǒng)

2017-07-06 09:54  出處:其他  作者:佚名   責(zé)任編輯:太平洋科技 

  【PConline 深度】OpIcarus是由Anonymous于2016年2月8日發(fā)起的多階段攻擊活動(dòng),到2017年6月11日已經(jīng)進(jìn)入了第五階段。目的是擊垮全球金融系統(tǒng)網(wǎng)站及相關(guān)服務(wù)。攻擊者指控這些系統(tǒng)存在“舞弊”,意在提高公眾的意識(shí);而不是像網(wǎng)絡(luò)犯罪分子那樣以經(jīng)濟(jì)利益為目的。他們的目標(biāo)是利用持續(xù)性拒絕服務(wù)(DoS)攻擊和數(shù)據(jù)轉(zhuǎn)儲(chǔ)來攻擊這些金融機(jī)構(gòu)。攻擊目標(biāo)包括紐約證券交易所、英格蘭銀行、法國央行、希臘央行、約旦銀行以及韓國銀行等。

OpSacred——OpIcarus攻擊的第5階段

  自推出開始,OpIcarus就非常有組織性,現(xiàn)已演進(jìn)到第五個(gè)階段,即OpSacred。黑客于2017年5月12日在Facebook上公布了文檔、工具及相關(guān)的Facebook賬戶。在公告中,OpIcarus做出了10個(gè)聲明:

  •各國政府需停止一切戰(zhàn)爭。

  •各國政府需將民眾的管理權(quán)歸還給大眾。

  •不得剝削工薪階層。

  •不提倡貪婪和追求物質(zhì)享受。

  •當(dāng)政府無法滿足人民需求時(shí),人民就可以反抗這種暴政。

  •禁止因貪婪和資源開采而污染我們的星球。我們只有一個(gè)地球,它是神圣的。

  •政府的資本主義游說是腐敗。

  •所有人都應(yīng)該平等。

  •邊界和國家是虛偽的人造結(jié)構(gòu), 因?yàn)槲覀兪且粋(gè)整體

  •所有的決定都應(yīng)該基于對(duì)人類無私的愛。

  根據(jù)Facebook發(fā)布的內(nèi)容,OpIcarus2017從6月11日開始,并運(yùn)行到了6月21日。發(fā)布的內(nèi)容中包含一個(gè)囊括了前幾個(gè)階段多數(shù)目標(biāo)企業(yè)的列表。


Facebook中的OpIcarus頁面

關(guān)注理由

  這一行動(dòng)得到了更多人的支持,攻擊行動(dòng)也組織有序。攻擊者也已經(jīng)從建議LOIC轉(zhuǎn)而選擇一系列的腳本化工具以及使用VPN和Tor來掩蓋他們的身份。他們將這些信息整合到了一個(gè)集中的位置——GitHub頁面中,使得參與者可以更容易加入到行動(dòng)中。

  與之前的攻擊活動(dòng)相比,GitHub頁面中有更高級(jí)的網(wǎng)絡(luò)攻擊工具。Github文件夾包含幾個(gè)大型企業(yè)的信息。在第5階段,攻擊者采用了開源智能工具和掃描器來可視化并分析目標(biāo)網(wǎng)絡(luò)。例如,Zed攻擊代理、用于查找Web應(yīng)用中安全漏洞的Z.A.P.工具。

目標(biāo)

  Pastebin中有OpIcarus2017的目標(biāo)列表。目標(biāo)站點(diǎn)包括國際貨幣基金組織、美國聯(lián)邦儲(chǔ)備理事會(huì)以及世界各國的央行。請(qǐng)點(diǎn)擊https://pastebin.com/CLeFfFRA查看完整列表。

OpIcarus DDoS攻擊工具

  Github頁面中有一組拒絕服務(wù)工具,從基本的GUI工具到由Python、Perl和C語言編寫的腳本。這些工具并不是專為OpIcarus創(chuàng)建的,而是其他黑客和安全專家使用的工具集。

  R U Dead Yet (RUDY)——一種慢速HTTP POST(L7)拒絕服務(wù)工具,使用長表單提交字段實(shí)現(xiàn)攻擊。R.U.D.Y.可以一次向應(yīng)用POST字段注入一字節(jié)信息,然后等待,從而引發(fā)應(yīng)用線程無止境的等待處理執(zhí)行(此行為的目的是讓W(xué)eb服務(wù)器支持使用較慢連接的用戶)。在等待剩余的HTTP POST請(qǐng)求的同時(shí),R.U.D.Y.還可以通過啟動(dòng)同步服務(wù)器連接來到導(dǎo)致目標(biāo)Web服務(wù)器掛起,因此,攻擊者最終能夠耗盡服務(wù)器連接表并完成拒絕服務(wù)攻擊。

  Tor’s Hammer——可以通過慢速POST攻擊來執(zhí)行DoS攻擊的L7 DoS工具,在相同的會(huì)話中,HTML POST字段可以慢速傳輸(實(shí)際速率在0.5-3秒之間隨機(jī)選擇)。

  與R.U.D.Y.類似,慢速POST攻擊也可以引發(fā)Web服務(wù)器應(yīng)用線程無止境地等待,只為了處理這些無窮無盡的請(qǐng)求。這會(huì)耗盡Web服務(wù)器資源,并使其進(jìn)入針對(duì)任何合法流量的拒絕服務(wù)狀態(tài)。

  Tor's Hammer中新增了一項(xiàng)流量匿名功能。DoS攻擊可以通過Tor網(wǎng)絡(luò)執(zhí)行,利用的是集成在Tor客戶端的本地socks代理。因此可以從隨機(jī)的源IP地址發(fā)起攻擊,幾乎不可能追蹤到攻擊者。

  XerXeS——一種非常高效的DoS工具,不需要使用僵尸網(wǎng)絡(luò)也可以發(fā)起多個(gè)針對(duì)幾個(gè)目標(biāo)站點(diǎn)的自動(dòng)化獨(dú)立攻擊。

  KillApache——利用了原有的漏洞,因此攻擊者可以向Apache服務(wù)器發(fā)送請(qǐng)求,在大量重疊“字節(jié)范圍”或塊中檢索URL內(nèi)容,從而耗盡服務(wù)器可用內(nèi)存,引發(fā)拒絕服務(wù)狀態(tài)。

其它的DDoS攻擊工具包括:

  •BlackHorizon

  •CescentMoon

  •ChiHULK

  •GoldenEye

  •HellSec

  •IrcAbuse

  •MasterK3Y

  •OpIcarusBot

  •PentaDos

  •Purple

  •Saddam

  •Saphyra

  •Asundos

  •Asundos2

  •B0wS3rDdos

  •Blacknurse

  •Botnet

  •Clover

  •D4rk

  •Finder

  •Getrekt

  •L7

  •M60

  •wso


面向OpIcarus的L7攻擊工具OpIcarus

OpIcarus網(wǎng)站頁面

  OpIcarus:https://github.com/opicaruscollective/OpIcarus/

  文檔:https://github.com/opicaruscollective/OpIcarus/tree/Documentation

  工具:https://github.com/opicaruscollective/OpIcarus/tree/Tools

  YouTube頻道:https://youtu.be/rkS2RfPkTkY

攻擊向量

  Nmap——用于網(wǎng)絡(luò)探索和安全審計(jì)的安全掃描器?梢砸孕路f的方式使用原始IP數(shù)據(jù)包,確定網(wǎng)絡(luò)中哪些主機(jī)可用,這些主機(jī)可以提供哪些服務(wù)(應(yīng)用名和版本)。此外,還可以確定正在運(yùn)行的操作系統(tǒng)(以及操作系統(tǒng)版本)、使用的數(shù)據(jù)包過濾器/防火墻類型以及其他特性。

  Zed攻擊代理——OWASP Zed攻擊代理,即ZAP,是一種流行的開源安全工具,可以幫助用戶自動(dòng)掃描并查找Web應(yīng)用中的安全漏洞。

  Malrego——一種開源的智能取證工具,可以幫助用戶從開放源碼中查找數(shù)據(jù),并在圖形中進(jìn)行可視化處理,為數(shù)據(jù)挖掘和鏈接分析提供詳細(xì)報(bào)告。

  TCP泛洪——這是一種使用時(shí)間最久但依然非常流行的DoS攻擊。它可以向受害者發(fā)送大量的SYN數(shù)據(jù)包。在很多情況下,攻擊者會(huì)假冒SRC IP,應(yīng)答(SYN+ACK數(shù)據(jù)包)無法返回,因此會(huì)覆蓋目標(biāo)服務(wù)器或路徑中網(wǎng)絡(luò)實(shí)體(通常是防火墻)中的會(huì)話/連接表。服務(wù)器需要為每一個(gè)到達(dá)的SYN數(shù)據(jù)包打開一個(gè)狀態(tài),并將這個(gè)狀態(tài)保存在有大小限制的表中。雖然這個(gè)表可以很大,但是仍然可以輕松發(fā)送足夠填滿這個(gè)表的SYN數(shù)據(jù)包,而一旦出現(xiàn)這種情況,服務(wù)器就會(huì)開始刪除新請(qǐng)求,包括合法請(qǐng)求。防火墻中還可能出現(xiàn)類似情況,防火墻也必須處理每個(gè)SYN數(shù)據(jù)包。不同于那些不需要攻擊者采用真實(shí)IP的其他TCP或應(yīng)用層攻擊,這類攻擊才可能是最強(qiáng)的攻擊。

  UDP泛洪——攻擊者可以將大的UDP數(shù)據(jù)包發(fā)送到單個(gè)目標(biāo)或隨機(jī)端口。由于UDP協(xié)議是“無連接的”,沒有任何類型的握手機(jī)制,因此UDP泛洪的主要目的就是堵塞互聯(lián)網(wǎng)管道。在多數(shù)情況下,攻擊者會(huì)偽造SRC(源)IP。

  HTTP/S泛洪——黑客用于攻擊Web服務(wù)器和應(yīng)用的一種攻擊方法。這些泛洪由發(fā)送給目標(biāo)Web服務(wù)器的看似合法的基于會(huì)話的HTTP GET或POST請(qǐng)求集組成。HTTP泛洪不會(huì)采用欺詐、反射技術(shù)或畸形數(shù)據(jù)包。這些請(qǐng)求是專門用來消耗大量服務(wù)器資源的,從而引發(fā)拒絕服務(wù)。這樣的請(qǐng)求通常是經(jīng)過僵尸網(wǎng)絡(luò)發(fā)送,增加了攻擊的整體強(qiáng)度。由于網(wǎng)絡(luò)安全設(shè)備很難區(qū)分合法HTTP流量和惡意HTTP流量,因此HTTP和HTTPS泛洪攻擊成為了當(dāng)前Web服務(wù)器面臨的最嚴(yán)重威脅之一。

  SQL注入——這種技術(shù)利用了效率很低的應(yīng)用編碼。當(dāng)應(yīng)用輸入未被清除時(shí),就容易遭受攻擊。攻擊者可以修改應(yīng)用SQL查詢,獲取對(duì)未授權(quán)數(shù)據(jù)的管理員訪問權(quán)限,在服務(wù)器中運(yùn)行遠(yuǎn)程命令,在數(shù)據(jù)庫中刪除或創(chuàng)建對(duì)象等。

高效DDoS防護(hù)措施的要素

  •混合DDoS防護(hù)——(本地+云端),可以實(shí)現(xiàn)實(shí)時(shí)的DDoS攻擊防護(hù),應(yīng)對(duì)大流量攻擊并防止管道擁塞

  •基于行為分析的檢測措施——可以快速精確地識(shí)別并攔截異常,只允許合法流量通過

  •實(shí)時(shí)特征碼生成——及時(shí)防御未知威脅和零日攻擊

  •網(wǎng)絡(luò)安全緊急響應(yīng)計(jì)劃——包括專門的專家緊急團(tuán)隊(duì),他們有物聯(lián)網(wǎng)相關(guān)經(jīng)驗(yàn),可以處理物聯(lián)網(wǎng)爆發(fā)

高效Web應(yīng)用安全的要素

  •全面覆蓋OWASP十大應(yīng)用漏洞——防范數(shù)據(jù)破壞,注入等。

  •低誤報(bào)率——利用被動(dòng)和主動(dòng)安全模型來實(shí)現(xiàn)最大的精確度

  •自動(dòng)策略生成功能可以以最少的操作實(shí)現(xiàn)最廣泛的覆蓋范圍

  •機(jī)器人程序防護(hù)和設(shè)備指紋識(shí)別功能可以應(yīng)對(duì)動(dòng)態(tài)IP攻擊,改善機(jī)器人程序檢測和攔截

  •通過過濾路徑保護(hù)API,了解用于執(zhí)行的XML和JSON模式以及活動(dòng)追蹤機(jī)制來追蹤機(jī)器人程序并保護(hù)內(nèi)部資源

  •靈活的部署選項(xiàng)——本地部署、旁路部署、虛擬或云端部署

  為了實(shí)現(xiàn)更進(jìn)一步的安全措施,Radware建議企業(yè)檢查并修復(fù)網(wǎng)絡(luò),以防御風(fēng)險(xiǎn)和威脅。如遭受攻擊并需要專家級(jí)緊急援助,Radware提供的服務(wù)可以應(yīng)對(duì)安全突發(fā)事件,降低風(fēng)險(xiǎn)并且可以在造成不可挽回的損失之前更好地保護(hù)操作安全。如果企業(yè)遭受了DDoS攻擊或惡意軟件爆發(fā),需要緊急援助,可以立即與Radware聯(lián)系。

黑客
世界黑客大師賽在京開戰(zhàn) 中日美俄等十國戰(zhàn)隊(duì)角逐冠軍
世界黑客大師賽在京開戰(zhàn) 中日美俄等十國戰(zhàn)隊(duì)角逐冠軍

6月27日,第二屆世界黑客大師賽WCTF 2017在北京正式開戰(zhàn)。作為全球獎(jiǎng)金最豐厚、參賽隊(duì)伍級(jí)別最高的“奪旗類”黑客大賽,本屆大賽吸引了來自中國、美國、俄羅斯、法國、瑞士、波蘭、烏...

佚名 2017-06-27 評(píng)論: 0 標(biāo)簽: 黑客  

一年過半“戰(zhàn)事不斷” 重大網(wǎng)絡(luò)安全事件盤點(diǎn)
一年過半“戰(zhàn)事不斷” 重大網(wǎng)絡(luò)安全事件盤點(diǎn)

為了實(shí)現(xiàn)資源共享我們建立了網(wǎng)絡(luò)。然而,當(dāng)全世界實(shí)現(xiàn)聯(lián)網(wǎng)后,網(wǎng)絡(luò)安全卻成了發(fā)展道路上的一塊絆腳石。在網(wǎng)絡(luò)這個(gè)虛擬世界中,你不知道何時(shí)何地會(huì)發(fā)生何種網(wǎng)絡(luò)攻擊,數(shù)據(jù)泄露、勒索軟...

佚名 2017-06-22 評(píng)論: 4 標(biāo)簽: 黑客  

全球頂級(jí)安全公司黑客大咖亮相BlackHat&DEFCON
全球頂級(jí)安全公司黑客大咖亮相BlackHat&DEFCON

7月22日,被稱為黑客“世界杯”與“奧斯卡”的美國黑帽技術(shù)大會(huì)BlackHat和世界黑客大會(huì)DEFCON將在美國賭城拉斯維加斯召開。全球頂級(jí)的安全公司和黑客大咖將展示網(wǎng)絡(luò)安全方面的最新科...

佚名 2017-06-09 評(píng)論: 0 標(biāo)簽: 黑客  

江湖過招:黑客的這些“茬架”用語你可懂?
江湖過招:黑客的這些“茬架”用語你可懂?

看過《老炮兒》的朋友,想必對(duì)劇中的一串串北京土話,留有深刻印象。例如,茬架、局氣、嗅蜜、扛雷、炸貓等等,雖然聽著很爽,但有些生僻的土話也不是完全能懂。同樣,黑客之間過招也...

佚名 2017-06-06 評(píng)論: 7 標(biāo)簽: 黑客  

會(huì)有新的勒索病毒嗎?NSA新一批黑客工具將流出
會(huì)有新的勒索病毒嗎?NSA新一批黑客工具將流出

不久前Wannacry勒索病毒令很多電腦的數(shù)據(jù)都遭到了毀滅性的打擊,Wannacry病毒所利用的漏洞來自于美國國安局NSA,F(xiàn)在,又要有新一批來自NSA的黑客工具流出了,這可能導(dǎo)致更多利用漏洞...

PConline 2017-05-31 評(píng)論: 0 標(biāo)簽: 黑客   病毒  

加勒比海盜5樣片被黑客盜!現(xiàn)已放出BT下載
加勒比海盜5樣片被黑客盜!現(xiàn)已放出BT下載

黑客最近憑借勒索病毒大出風(fēng)頭,但黑客的勒索行為不僅僅只是通過病毒!有黑客盜取了未上映的《加勒比海盜5》樣片,勒索迪士尼支付贖金,勒索的也是比特幣,F(xiàn)在,《加勒比海盜5》的片...

PConline 2017-05-17 評(píng)論: 8 標(biāo)簽: IT花邊   黑客  

黑客因破解POS機(jī)被判27年 黑客入獄史排第一
黑客因破解POS機(jī)被判27年 黑客入獄史排第一

近日,一位名為Roman Seleznev的27歲俄羅斯黑客因破解POS機(jī),將盜取的支付數(shù)據(jù)進(jìn)行販賣,造成1.69億美元損失,被判入獄27年,也算是黑客史上最長的一次入獄時(shí)間了。...

佚名 2017-04-25 評(píng)論: 2 標(biāo)簽: 黑客  

查看更多