當DDoS來到家門口 怎麼辦?
今年7月初,南韓政府及多家重要的銀行、媒體網站遭受到分散式阻斷攻擊,影響約25網站的運作,包括總統官邸、國防部、國會、新韓銀行等,該些網站伺服器受到中斷或連接的障礙,前後共三波攻擊。
此次分散式阻斷攻擊,發現發動攻擊的伺服器共有416台,其中約400台來自全球約74個國家,其餘則來自南韓國內,並且受到惡意程式感染因此受到控制的殭屍電腦高達16.6萬台(註)。而事態更趨嚴重的是,不但針對南韓政府、銀行網站進行阻斷式的攻擊,甚而還有自我毀滅型的惡意程式出現,該惡意程式被設定為刪除電腦上的檔案,包括主啟動磁區,後果是電腦重開機後系統就無法正常運作,不過該程式並未發作,一說是程式有bug,一說是啟動時間可能設定在日後,若為後者,殭屍電腦所造成的惡果恐怕也將在往後發酵。
處理:
事發之後,政府立即組成了「網路安全工作委員會」來處理緊急狀況,主要是由韓國國情院主持召開,由12個政府單位-青瓦臺、總理室、廣播通信委員會、國防部、外交通商部、金融委員會等所組成。主要是針對該起攻擊事件進行事態的現狀、損失的評估、採取措施等等問題進行討論。此後,韓國政府要求韓國電信等ISP業者,阻絕、過濾這些「肉雞」電腦的攻擊,並同時在這些公家機關的網路上導入設備,進行網路的導引分流,然後也在民間網路增設網路設備,藉以疏散網路流量,強化安全防禦。
也有些專家認為這批攻擊共有五波。其實在南韓的攻擊之前,美國政府於美國國慶日7/4就曾遭受到的DDoS攻擊,其實也是同批駭客組織所為,因此可視為同一波的攻擊,其攻擊的網站亦有重複性。(詳見DDoS專題攻防技術篇-以美韓五波攻擊為例)
台灣DDoS攻擊事件近況
今年4月,賽門鐵克的調查報告,光是台北市就有約18.7萬台的殭屍電腦。在全球的botnet排名,台灣去年排名第五,今年則排名第六,去年數量共有100萬台,今年則約有50萬台,看似進步實則不然。專家指出,受到感染的殭屍電腦,有可能只是隱藏著卻沒有被偵測到,計算方式應該是累加,也就是現在應該至少存在150萬台的botnet電腦受到控制。並且多數存在於TANET和HINET,而光是從台北市政府與縣政府內的電腦網路來看,就約有1/3的電腦為潛藏的Botnet電腦,也就是至少有六千台以上。
(表:近年海內外DoS/DDoS攻擊事件列表)
除了前陣子台灣有離職員工竊取資料,而遭到老闆請人攻擊其網站,達到阻斷式攻擊,企圖報復且干擾商業運作之外,而近來twitter、facebook等社交網站遭受到DoS攻擊,根據調查也是出自於政治糾紛的因素,針對單一部落客而發出的報復攻擊。
借刀殺人不難 買賣攻擊手段更容易
由這些事件看來,可看出Dos/DDos雖然已經不是新的攻擊手法,近年來卻因為網路越來越盛行,Botnet「肉雞」電腦的租賃方便、價格便宜,攻擊工具的販賣更盛行。在第一屆台灣區Botnet偵測與防治技術研討會裡,更有專家提出了「Botnet種類演進」,說明Botnet的攻擊種類已經越來越多樣化,早期駭客都是利用IRC協定來操作,但是現在不僅可以透過網頁、MSN、P2P軟體等等,甚至是很紅的社交網站、BBS都能夠發動攻擊,並且透過層層的跳板,而更加難以追查。
而運用範疇也已經從針對特殊行業的勒索,演變成可能發生在任何行業當中的同業競爭、政治鬥爭的手段,也因此,亦有ISP業者也開始提供DoS/DDoS的防禦服務,這也是因為這樣的需求越來越普及的關係。
Novell大型客戶事業資深業務經理李逸凡提到,資安事件的收集,會著重在安全設備,像是IPS或防火牆等記錄收集至SIEM,但其實SIEM的資訊結合網路設備管理,其實是可以看出其行為關聯性,即時判斷出資安攻擊等,例如說在網路中斷前,網路流量可能大量上升等。
其實惡意程式控制電腦的動作都是有些類似的,都是從遠端被控制,然後命令它執行一些動作,像是把資料偷送出去,或者攻擊別人等等。尤其,像是金融單位在閘道端有嚴格的管控,因此即使電腦被控制,或許也不容易將資料送出。因此攻擊者可能會轉變方式,例如說造成內部的阻斷式攻擊,也就是利用企業內部的電腦攻擊其他內部電腦,譬如同一集團的A公司去攻擊B公司,這也是惡意程式在企業內部為惡的一種。不然,只要惡意程式不發作,或未對業務造成影響,有些企業甚至就放任內部botnet電腦常駐,而不願意花費成本去解決。這對政府或是ISP業者來說,其實都是困擾和資源浪費,而來自全球分散的botnet電腦則必須靠大家聯合來去除,才不會互相危害。
也因此,一直被期盼的個人資料保護法,除了可以保護個人資料的安全之外,或許也可促使企業認真的去除掉受控制的botnet電腦吧!
註:新聞數字雖然是16.6萬,但專家預估實際數字應該約為200萬台。
資安人科技網