Radware深度解讀OpIcarus2017攻擊

　　OpIcarus是由Anonymous于2016年2月8日發(fā)起的多階段攻擊活動(dòng)，到2017年6月11日已經(jīng)進(jìn)入了第五階段。目的是擊垮全球金融系統網(wǎng)站及相關(guān)服務(wù)。攻擊者指控這些系統存在“舞弊”，意在提高公眾的意識；而不是像網(wǎng)絡(luò )犯罪分子那樣以經(jīng)濟利益為目的。他們的目標是利用持續性拒絕服務(wù)（DoS）攻擊和數據轉儲來(lái)攻擊這些金融機構。攻擊目標包括紐約證券交易所、英格蘭銀行、法國央行、希臘央行、約旦銀行以及韓國銀行等。

　　自推出開(kāi)始，OpIcarus就非常有組織性，現已演進(jìn)到第五個(gè)階段，即OpSacred。黑客于2017年5月12日在Facebooki上公布了文檔、工具及相關(guān)的Facebook賬戶(hù)。在公告中，OpIcarus做出了10個(gè)聲明：

　　根據Facebook發(fā)布的內容ii，OpIcarus2017從6月11日開(kāi)始，并運行到了6月21日。發(fā)布的內容中包含一個(gè)囊括了前幾個(gè)階段多數目標企業(yè)的列表。

　　這一行動(dòng)得到了更多人的支持，攻擊行動(dòng)也組織有序。攻擊者也已經(jīng)從建議LOIC轉而選擇一系列的腳本化工具以及使用VPN和Tor來(lái)掩蓋他們的身份。他們將這些信息整合到了一個(gè)集中的位置--GitHub頁(yè)面中，使得參與者可以更容易加入到行動(dòng)中。

　　與之前的攻擊活動(dòng)相比，GitHub頁(yè)面中有更高級的網(wǎng)絡(luò )攻擊工具。Github文件夾包含幾個(gè)大型企業(yè)的信息。在第5階段，攻擊者采用了開(kāi)源智能工具和掃描器來(lái)可視化并分析目標網(wǎng)絡(luò )。例如，Zed攻擊代理、用于查找Web應用中安全漏洞的Z.A.P.工具。

　　Pastebin中有OpIcarus2017的目標列表。目標站點(diǎn)包括國際貨幣基金組織、美國聯(lián)邦儲備理事會(huì )以及世界各國的央行。請點(diǎn)擊https://pastebin.com/CLeFfFRA查看完整列表。

　　Github頁(yè)面中有一組拒絕服務(wù)工具，從基本的GUI工具到由Python、Perl和C語(yǔ)言編寫(xiě)的腳本。這些工具并不是專(zhuān)為OpIcarus創(chuàng )建的，而是其他黑客和安全專(zhuān)家使用的工具集。

　　R U Dead Yet （RUDY）--一種慢速HTTP POST（L7）拒絕服務(wù)工具，使用長(cháng)表單提交字段實(shí)現攻擊。R.U.D.Y.可以一次向應用POST字段注入一字節信息，然后等待，從而引發(fā)應用線(xiàn)程無(wú)止境的等待處理執行（此行為的目的是讓W(xué)eb服務(wù)器支持使用較慢連接的用戶(hù)）。在等待剩余的HTTP POST請求的同時(shí)，R.U.D.Y.還可以通過(guò)啟動(dòng)同步服務(wù)器連接來(lái)到導致目標Web服務(wù)器掛起，因此，攻擊者最終能夠耗盡服務(wù)器連接表并完成拒絕服務(wù)攻擊。

　　Tor’s Hammer--可以通過(guò)慢速POST攻擊來(lái)執行DoS攻擊的L7 DoS工具，在相同的會(huì )話(huà)中，HTML POST字段可以慢速傳輸（實(shí)際速率在0.5-3秒之間隨機選擇）。

　　與R.U.D.Y.類(lèi)似，慢速POST攻擊也可以引發(fā)Web服務(wù)器應用線(xiàn)程無(wú)止境地等待，只為了處理這些無(wú)窮無(wú)盡的請求。這會(huì )耗盡Web服務(wù)器資源，并使其進(jìn)入針對任何合法流量的拒絕服務(wù)狀態(tài)。

　　Tor's Hammer中新增了一項流量匿名功能。DoS攻擊可以通過(guò)Tor網(wǎng)絡(luò )執行，利用的是集成在Tor客戶(hù)端的本地socks代理。因此可以從隨機的源IP地址發(fā)起攻擊，幾乎不可能追蹤到攻擊者。

　　XerXeS--一種非常高效的DoS工具，不需要使用僵尸網(wǎng)絡(luò )也可以發(fā)起多個(gè)針對幾個(gè)目標站點(diǎn)的自動(dòng)化獨立攻擊。

　　KillApache--利用了原有的漏洞，因此攻擊者可以向Apache服務(wù)器發(fā)送請求，在大量重疊“字節范圍”或塊中檢索URL內容，從而耗盡服務(wù)器可用內存，引發(fā)拒絕服務(wù)狀態(tài)。

　　OpIcarus：

　　文檔：

　　工具：

　　YouTube頻道：https://youtu.be/rkS2RfPkTkY

　　Nmap--用于網(wǎng)絡(luò )探索和安全審計的安全掃描器。可以以新穎的方式使用原始IP數據包，確定網(wǎng)絡(luò )中哪些主機可用，這些主機可以提供哪些服務(wù)（應用名和版本）。此外，還可以確定正在運行的操作系統（以及操作系統版本）、使用的數據包過(guò)濾器/防火墻類(lèi)型以及其他特性。

　　Zed攻擊代理--OWASP Zed攻擊代理，即ZAP，是一種流行的開(kāi)源安全工具，可以幫助用戶(hù)自動(dòng)掃描并查找Web應用中的安全漏洞。

　　Malrego--一種開(kāi)源的智能取證工具，可以幫助用戶(hù)從開(kāi)放源碼中查找數據，并在圖形中進(jìn)行可視化處理，為數據挖掘和鏈接分析iii提供詳細報告。

　　TCP泛洪--這是一種使用時(shí)間最久但依然非常流行的DoS攻擊。它可以向受害者發(fā)送大量的SYN數據包。在很多情況下，攻擊者會(huì )假冒SRC IP，應答（SYN+ACK數據包）無(wú)法返回，因此會(huì )覆蓋目標服務(wù)器或路徑中網(wǎng)絡(luò )實(shí)體（通常是防火墻）中的會(huì )話(huà)/連接表。服務(wù)器需要為每一個(gè)到達的SYN數據包打開(kāi)一個(gè)狀態(tài)，并將這個(gè)狀態(tài)保存在有大小限制的表中。雖然這個(gè)表可以很大，但是仍然可以輕松發(fā)送足夠填滿(mǎn)這個(gè)表的SYN數據包，而一旦出現這種情況，服務(wù)器就會(huì )開(kāi)始刪除新請求，包括合法請求。防火墻中還可能出現類(lèi)似情況，防火墻也必須處理每個(gè)SYN數據包。不同于那些不需要攻擊者采用真實(shí)IP的其他TCP或應用層攻擊，這類(lèi)攻擊才可能是最強的攻擊。

　　UDP泛洪--攻擊者可以將大的UDP數據包發(fā)送到單個(gè)目標或隨機端口。由于UDP協(xié)議是“無(wú)連接的”，沒(méi)有任何類(lèi)型的握手機制，因此UDP泛洪的主要目的就是堵塞互聯(lián)網(wǎng)管道。在多數情況下，攻擊者會(huì )偽造SRC（源）IP。

　　HTTP/S泛洪--黑客用于攻擊Web服務(wù)器和應用的一種攻擊方法。這些泛洪由發(fā)送給目標Web服務(wù)器的看似合法的基于會(huì )話(huà)的HTTP GET或POST請求集組成。HTTP泛洪不會(huì )采用欺詐、反射技術(shù)或畸形數據包。這些請求是專(zhuān)門(mén)用來(lái)消耗大量服務(wù)器資源的，從而引發(fā)拒絕服務(wù)。這樣的請求通常是經(jīng)過(guò)僵尸網(wǎng)絡(luò )發(fā)送，增加了攻擊的整體強度。由于網(wǎng)絡(luò )安全設備很難區分合法HTTP流量和惡意HTTP流量，因此HTTP和HTTPS泛洪攻擊成為了當前Web服務(wù)器面臨的最嚴重威脅之一。

　　SQL注入--這種技術(shù)利用了效率很低的應用編碼。當應用輸入未被清除時(shí)，就容易遭受攻擊。攻擊者可以修改應用SQL查詢(xún)，獲取對未授權數據的管理員訪(fǎng)問(wèn)權限，在服務(wù)器中運行遠程命令，在數據庫中刪除或創(chuàng )建對象等。

　　為了實(shí)現更進(jìn)一步的安全措施，Radware建議企業(yè)檢查并修復網(wǎng)絡(luò )，以防御風(fēng)險和威脅。

　　遭受攻擊并需要專(zhuān)家級緊急援助Radware可以為您提供所需幫助。

　　Radware提供的服務(wù)可以應對安全突發(fā)事件，降低風(fēng)險并且可以在造成不可挽回的損失之前更好地保護操作安全。如果企業(yè)遭受了DDoS攻擊或惡意軟件爆發(fā)，需要緊急援助，可以立即與Radware聯(lián)系 。

　　Radware （NASDAQ:RDWR）是為虛擬數據中心和云數據中心提供應用交付和應用安全解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬(wàn)家企業(yè)和運營(yíng)商快速應對市場(chǎng)挑戰，保持業(yè)務(wù)的連續性，在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。