无锡公安抓获DDoS攻击黑客
黑客落网
今年8月份,中新网发布了一则关于无锡公安人员抓获一名涉嫌DDoS攻击某公司网站的黑客的新闻。
图1 无锡公安侦破黑客攻击案件
相信这条低调的新闻并没有引起太多人的注意。11月4日,无锡警方发布公告,事发的案件详情也随之浮出水面。
2015年7月中旬,因黑客攻击,无锡市惠山区某影视传播有限公司某游戏平台服务器堵塞,引发大量用户投诉。随之一黑客与该公司客服人员联系,以停止攻击为由向该公司实施敲诈,按月收取保护费1888元。该公司立即向当地警方报案。接警后,惠山分局高度重视,迅速成立专案小组,开展案件侦查工作。阿里云安全团队积极配合无锡警方专案组分析和提取了相关材料。犯罪嫌疑人很快落网。
经审问,蒋某供认了使用黑客网络攻击技术攻击他人游戏平台并进行敲诈的犯罪事实。目前,蒋某已因涉嫌破坏计算机信息系统罪被江苏无锡市惠山区人民检察院批准逮捕。
“根据《中华人民共和国刑法》第二百八十六条规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。”
溯源取证
从警方专案组办案过程中,阿里云安全团队协助警方固定了黑客攻击证据,获取了嫌疑人的相关线索。警方据此将蒋某锁定并最终抓获。结果证明,云盾系统溯源精准。
阿里云安全团队负责人表示,网络犯罪是互联网产业的毒瘤,阿里云将积极协助警方打击网络黑色产业链。后续将进一步加强安全研发,并开放云上安全,与更多的安全公司合作,保障云上用户的安全。
攻击分析
经过云盾团队对攻击数据的分析和溯源,我们发现此次攻击者使用的是BillGates木马程序。
根据《2015年第三季度云盾互联网DDoS状态和趋势报告》,BillGates攻击程序作为目前国内最流行的分布式拒绝服务攻击(DDoS)软件之一,被攻击者广泛使用,在DDoS攻击程序中占比高达32.33%。
图2 BillGates攻击程序比例最大
攻击者普遍利用网络上某些服务器存在SSH、TELNET、MySQL、SQL Server弱密码等疏漏,或是利用破壳漏洞,使用工具进行批量扫描并植入BillGates恶意程序。被植入到服务器的恶意程序会从攻击者的中控服务器接收攻击指令,并针对特定的目标发起指令类型的分布式拒绝服务攻击(DDoS)。
BillGates的攻击模式主要有:
●TCP-SYN Flood ●UDP Flood ●DNS Flood ●ICMP Flood ●DNS放大攻击 ●CC攻击
BillGates攻击程序采用C/C++语言编写,因相关的程序中分别包含”Bill”和”Gates”而得名。相比其他类型DDoS程序攻击模式,BillGates具备内核模式,使用pktgen,在内核中生成攻击数据包,进而可以避免被传播的抓包或嗅探工具捕获到。
图3 BillGates攻击程序
最后,BillGates之所以如此被攻击者广泛采用,我们认为原因如下:
1) 具有完备的Windows和Linux两个版本,方便攻击者根据肉鸡服务器的操作系统类型植入对应平台的程序;
2) 稳定成熟,操作简单,支持集群,功能齐全,攻击者可以选取TCP-SYN Flood、UDP Flood、CC攻击、DNS放大等多种攻击方式对目标发起攻击。
参考链接:
http://news.cpd.com.cn/n3559/c30927073/content.html
http://www.js.chinanews.com/wx/news/2015/0817/52317.html
https://securelist.com/analysis/publications/64361/versatile-ddos-trojan-for-linux/
* 作者:阿里安全(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
正文到此结束
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
