Radware深度解讀OpIcarus2017攻擊

OpIcarus是由Anonymous於2016年2月8日發起的多階段攻擊活動，到2017年6月11日已經進入了第五階段。目的是擊垮全球金融系統網站及相關服務。攻擊者指控這些系統存在「舞弊」，意在提高公眾的意識；而不是像網路犯罪分子那樣以經濟利益為目的。他們的目標是利用持續性拒絕服務(DoS)攻擊和數據轉儲來攻擊這些金融機構。攻擊目標包括紐約證券交易所、英格蘭銀行、法國央行、希臘央行、約旦銀行以及韓國銀行等。

圖1 OpSacred

OpSacred——OpIcarus攻擊的第5階段

自推出開始，OpIcarus就非常有組織性，現已演進到第五個階段，即OpSacred。黑客於2017年5月12日在Facebook

上公布了文檔、工具及相關的Facebook賬戶。在公告中，OpIcarus做出了10個聲明：

• 各國政府需停止一切戰爭。

• 各國政府需將民眾的管理權歸還給大眾。

• 不得剝削工薪階層。

• 不提倡貪婪和追求物質享受。

• 當政府無法滿足人民需求時，人民就可以反抗這種暴政。

• 禁止因貪婪和資源開採而污染我們的星球。我們只有一個地球，它是神聖的。

• 政府的資本主義遊說是腐敗。

• 所有人都應該平等。

• 邊界和國家是虛偽的人造結構, 因為我們是一個整體

• 所有的決定都應該基於對人類無私的愛。

根據Facebook發布的內容

，OpIcarus2017從6月11日開始，並運行到了6月21日。發布的內容中包含一個囊括了前幾個階段多數目標企業的列表。

圖2 Facebook中的OpIcarus頁面

關注理由

這一行動得到了更多人的支持，攻擊行動也組織有序。攻擊者也已經從建議LOIC轉而選擇一系列的腳本化工具以及使用VPN和Tor來掩蓋他們的身份。他們將這些信息整合到了一個集中的位置——GitHub頁面中，使得參與者可以更容易加入到行動中。

與之前的攻擊活動相比，GitHub頁面中有更高級的網路攻擊工具。Github文件夾包含幾個大型企業的信息。在第5階段，攻擊者採用了開源智能工具和掃描器來可視化並分析目標網路。例如，Zed攻擊代理、用於查找Web應用中安全漏洞的Z.A.P.工具。

目標

Pastebin中有OpIcarus2017的目標列表。目標站點包括國際貨幣基金組織、美國聯邦儲備理事會以及世界各國的央行。請點擊查看完整列表。

OpIcarus DDoS攻擊工具

Github頁面中有一組拒絕服務工具，從基本的GUI工具到由Python、Perl和C語言編寫的腳本。這些工具並不是專為OpIcarus創建的，而是其他黑客和安全專家使用的工具集。

R U Dead Yet (RUDY)——一種慢速HTTP POST(L7)拒絕服務工具，使用長表單提交欄位實現攻擊。R.U.D.Y.可以一次嚮應用POST欄位注入一位元組信息，然後等待，從而引發應用線程無止境的等待處理執行(此行為的目的是讓Web伺服器支持使用較慢連接的用戶)。在等待剩餘的HTTP POST請求的同時，R.U.D.Y.還可以通過啟動同步伺服器連接來到導致目標Web伺服器掛起，因此，攻擊者最終能夠耗盡伺服器連接表並完成拒絕服務攻擊。

Tor』s Hammer——可以通過慢速POST攻擊來執行DoS攻擊的L7 DoS工具，在相同的會話中，HTML POST欄位可以慢速傳輸(實際速率在0.5-3秒之間隨機選擇)。

與R.U.D.Y.類似，慢速POST攻擊也可以引發Web伺服器應用線程無止境地等待，只為了處理這些無窮無盡的請求。這會耗盡Web伺服器資源，並使其進入針對任何合法流量的拒絕服務狀態。

Tor』s Hammer中新增了一項流量匿名功能。DoS攻擊可以通過Tor網路執行，利用的是集成在Tor客戶端的本地socks代理。因此可以從隨機的源IP地址發起攻擊，幾乎不可能追蹤到攻擊者。

XerXeS——一種非常高效的DoS工具，不需要使用殭屍網路也可以發起多個針對幾個目標站點的自動化獨立攻擊。

KillApache——利用了原有的漏洞，因此攻擊者可以向Apache伺服器發送請求，在大量重疊「位元組範圍」或塊中檢索URL內容，從而耗盡伺服器可用內存，引發拒絕服務狀態。

其它的DDoS攻擊工具包括：

• BlackHorizon

• CescentMoon

• ChiHULK

• GoldenEye

• HellSec

• IrcAbuse

• MasterK3Y

• OpIcarusBot

• PentaDos

• Purple

• Saddam

• Saphyra

• Asundos

• Asundos2

• B0wS3rDdos

• Blacknurse

• Botnet

• Clover

• D4rk

• Finder

• Getrekt

• L7

• M60

• wso

圖3 面向OpIcarus的L7攻擊工具OpIcarusBot

OpIcarus網站頁面

OpIcarus：

文檔：

工具：

YouTube頻道：

攻擊向量

Nmap——用於網路探索和安全審計的安全掃描器。可以以新穎的方式使用原始IP數據包，確定網路中哪些主機可用，這些主機可以提供哪些服務(應用名和版本)。此外，還可以確定正在運行的操作系統(以及操作系統版本)、使用的數據包過濾器/防火牆類型以及其他特性。

Zed攻擊代理——OWASP Zed攻擊代理，即ZAP，是一種流行的開源安全工具，可以幫助用戶自動掃描並查找Web應用中的安全漏洞。

——一種開源的智能取證工具，可以幫助用戶從開放源碼中查找數據，並在圖形中進行可視化處理，為數據挖掘和鏈接分析

提供詳細報告。

TCP泛洪——這是一種使用時間最久但依然非常流行的DoS攻擊。它可以向受害者發送大量的SYN數據包。在很多情況下，攻擊者會假冒SRC IP，應答(SYN+ACK數據包)無法返回，因此會覆蓋目標伺服器或路徑中網路實體(通常是防火牆)中的會話/連接表。伺服器需要為每一個到達的SYN數據包打開一個狀態，並將這個狀態保存在有大小限制的表中。雖然這個表可以很大，但是仍然可以輕鬆發送足夠填滿這個表的SYN數據包，而一旦出現這種情況，伺服器就會開始刪除新請求，包括合法請求。防火牆中還可能出現類似情況，防火牆也必須處理每個SYN數據包。不同於那些不需要攻擊者採用真實IP的其他TCP或應用層攻擊，這類攻擊才可能是最強的攻擊。

UDP泛洪——攻擊者可以將大的UDP數據包發送到單個目標或隨機埠。由於UDP協議是「無連接的」，沒有任何類型的握手機制，因此UDP泛洪的主要目的就是堵塞互聯網管道。在多數情況下，攻擊者會偽造SRC(源)IP。

HTTP/S泛洪——黑客用於攻擊Web伺服器和應用的一種攻擊方法。這些泛洪由發送給目標Web伺服器的看似合法的基於會話的HTTP GET或POST請求集組成。HTTP泛洪不會採用欺詐、反射技術或畸形數據包。這些請求是專門用來消耗大量伺服器資源的，從而引發拒絕服務。這樣的請求通常是經過殭屍網路發送，增加了攻擊的整體強度。由於網路安全設備很難區分合法HTTP流量和惡意HTTP流量，因此HTTP和HTTPS泛洪攻擊成為了當前Web伺服器面臨的最嚴重威脅之一。

SQL注入——這種技術利用了效率很低的應用編碼。當應用輸入未被清除時，就容易遭受攻擊。攻擊者可以修改應用SQL查詢，獲取對未授權數據的管理員訪問許可權，在伺服器中運行遠程命令，在資料庫中刪除或創建對象等。

圖4 這些工具可以在GitHub中查找：https://github.com/opicaruscollective/OpIcarus/tree/Tools

高效DDoS防護措施的要素

• 混合DDoS防護——(本地+雲端)，可以實現實時的DDoS攻擊防護，應對大流量攻擊並防止管道擁塞

• 基於行為分析的檢測措施——可以快速精確地識別並攔截異常，只允許合法流量通過

• 實時特徵碼生成——及時防禦未知威脅和零日攻擊

• 網路安全緊急響應計劃——包括專門的專家緊急團隊，他們有物聯網相關經驗，可以處理物聯網爆發

高效Web應用安全的要素

• 全面覆蓋OWASP十大應用漏洞——防範數據破壞，注入等。

• 低誤報率——利用被動和主動安全模型來實現最大的精確度

• 自動策略生成功能可以以最少的操作實現最廣泛的覆蓋範圍

• 機器人程序防護和設備指紋識別功能可以應對動態IP攻擊，改善機器人程序檢測和攔截

• 通過過濾路徑保護API，了解用於執行的XML和JSON模式以及活動追蹤機制來追蹤機器人程序並保護內部資源

• 靈活的部署選項——本地部署、旁路部署、虛擬或雲端部署

為了實現更進一步的安全措施，Radware建議企業檢查並修復網路，以防禦風險和威脅。

遭受攻擊並需要專家級緊急援助？Radware可以為您提供所需幫助。

Radware提供的服務可以應對安全突發事件，降低風險並且可以在造成不可挽回的損失之前更好地保護操作安全。如果企業遭受了DDoS攻擊或惡意軟體爆發，需要緊急援助，可以立即與Radware聯繫。