250名DDoS交易平臺用戶要被逮捕，還要判刑？

佛曰：武功再高，也怕菜刀；穿的再叼，一磚撂倒（真的不是編輯杜撰……）而DDoS攻擊，作為網(wǎng)絡(luò)攻擊中的常青樹，素來有著“網(wǎng)絡(luò)板磚”比喻：唾手可得，送貨到家，一擊致命，屢試不爽。

世界是平的，網(wǎng)絡(luò)世界更是。

你以為出現(xiàn)在各國新聞媒體上的DDoS攻擊距離我們都很遙遠(yuǎn)嗎？其實不然。某些暗戳戳存在的 DDoS for-hire 交易平臺，允許任何想要發(fā)動此類攻擊的人買“兇”。

想要搞癱某個網(wǎng)站？

可以，交了錢，黑客給你盤它，簡直是網(wǎng)絡(luò)版“雇兇殺人”現(xiàn)場。

夜路走多了，總會被盯上。

去年四月，全球最大的 DDoS 服務(wù)平臺（Webstresser.org）被英國執(zhí)法機(jī)構(gòu)勒令關(guān)閉，該網(wǎng)站管理員也被歐洲當(dāng)局逮捕，當(dāng)時警察查獲了一臺包含該網(wǎng)站151000名注冊用戶信息的服務(wù)器。

在Webstresser.org網(wǎng)站上，即便你沒有實施分布式拒絕服務(wù)攻擊（DDoS）的技能、或是沒有支持實施此類攻擊的基礎(chǔ)設(shè)施，都能輕松找到“賣家”展開攻擊，而且每月只需花費(fèi)15歐元。

（有錢能使……）

這還不是結(jié)局，1月29日雷鋒網(wǎng)消息，據(jù)外媒報道，包含荷蘭、英國、塞爾維亞、克羅地亞、西班牙、意大利、德國、澳大利亞、香港、加拿大和美利堅合眾國的執(zhí)法機(jī)構(gòu)聯(lián)合歐洲刑警組織開始追查該網(wǎng)站十多萬的注冊用戶，并且將對其采取法律行動。

據(jù)歐洲執(zhí)法機(jī)構(gòu)（Europol）估計，Webstresser.org 網(wǎng)站針對一系列網(wǎng)站發(fā)起過超過400多萬次DDoS攻擊，受害者包括游戲公司、執(zhí)法機(jī)構(gòu)、以及金融服務(wù)機(jī)構(gòu)等網(wǎng)站。目前，Europol 已經(jīng)展開行動，至少有250名網(wǎng)絡(luò)用戶很快面臨應(yīng)有的法律制裁。

步其后塵，xDedic也被關(guān)閉？

無獨(dú)有偶，現(xiàn)在另一家臭名昭著的黑市——xDedic也被執(zhí)法當(dāng)局強(qiáng)制關(guān)閉了。

如果你是一個不太熟悉暗網(wǎng)和私服的互聯(lián)網(wǎng)小白，可能沒有聽說過 xDedic 交易平臺。但實際上，這個交易平臺在黑客圈子內(nèi)非常有名，里面販?zhǔn)鄹鞣N被黑的在線服務(wù)器資源——專為有需要的黑客、甚至APT攻擊組織服務(wù)。

現(xiàn)在，美國和歐洲執(zhí)法機(jī)構(gòu)已經(jīng)對日益猖獗的黑客活動忍無可忍，他們決定強(qiáng)制關(guān)閉xDedic交易平臺。

為了深入打擊xDedic交易平臺，來自美國聯(lián)邦調(diào)查局和美國國家稅務(wù)局刑事調(diào)查部門的調(diào)查人員與歐洲刑警組織、以及比利時和烏克蘭的執(zhí)法當(dāng)局展開了密切合作。EuroJust是一個歐盟執(zhí)法機(jī)構(gòu)，負(fù)責(zé)處理成員國之間的刑事案件司法合作。該機(jī)構(gòu)在一份聲明中表示：

“我們已經(jīng)沒收了xDedic交易平臺的幾個IT系統(tǒng)，而且嚴(yán)重懷疑三名烏克蘭犯罪嫌疑人?！?/p>

2016年，當(dāng)時著名的殺毒軟件開發(fā)公司卡巴斯基實驗室就詳細(xì)披露過 xDedic 交易平臺上提供的服務(wù)。

犯罪團(tuán)隊通常利益遠(yuǎn)程桌面協(xié)議憑證漏洞訪問超過176000臺獨(dú)立服務(wù)器，如果你想要獲得這些服務(wù)器的訪問權(quán)，那么可以按照地理位置、操作系統(tǒng)、甚至價格搜索定位自己希望攻擊的服務(wù)器，然后購買xDedic出售的協(xié)議憑證。卡巴斯基實驗室表示，買家甚至可以用低至六美元的價格購買一臺黑客服務(wù)。之后，網(wǎng)絡(luò)安全公司Flashpoint通過分析發(fā)現(xiàn)，在xDedic地下交易平臺上販賣的服務(wù)器和個人電腦中有接近三分之二都來自于美國學(xué)校和大學(xué)。

美國當(dāng)局估計，xDedic交易平臺上涉及黑客欺詐的交易金額已經(jīng)超過了6800萬美元，而且很多行業(yè)都深受其害。根據(jù)美國佛羅里達(dá)州中區(qū)檢察官辦公室對外發(fā)布的一份聲明稱，包括地方、州和聯(lián)邦政府基礎(chǔ)設(shè)施、醫(yī)院、911和緊急服務(wù)、呼叫中心、主要大城市的交通管理部門、會計和律師事務(wù)所、以及養(yǎng)老金基金公司和高校都受到影響。

與xDedic相關(guān)的互聯(lián)網(wǎng)域名已經(jīng)在1月24日被查封，美國政府希望利用這種方式有效阻止該網(wǎng)站的運(yùn)營?，F(xiàn)在，試圖訪問xDedic網(wǎng)站的用戶會被重新定向到一個網(wǎng)頁，該頁面中解釋了xDedic交易平臺已經(jīng)下線。

另據(jù)卡巴斯基實驗室披露的信息稱，雖然xDedic交易平臺從2014年就開始運(yùn)營，但其實他們曾在2016年被關(guān)閉過一段時間。可是不久之后，該平臺又重新上線并做出一些變化，比如要求會員必須首先支付50美元才能在網(wǎng)站上進(jìn)行買賣交易。該交易平臺依靠Tor網(wǎng)絡(luò)來保護(hù)運(yùn)營商及其底層服務(wù)器的位置，使其免受安全研究人員和執(zhí)法調(diào)查人員的檢查。不僅如此，他們還使用虛擬貨幣比特幣來幫助買家和賣家實現(xiàn)匿名交易。

保護(hù)遠(yuǎn)程桌面協(xié)議（RDP）端點(diǎn)

在 xDedic 交易平臺上會出售大量受感染的服務(wù)器信息和訪問憑證，這個問題讓不少企業(yè)感到非常頭疼，因為憑借這些訪問平局，攻擊者可以輕松在企業(yè)網(wǎng)絡(luò)內(nèi)部建立“立足點(diǎn)”，然后就能延伸攻擊、危及其他服務(wù)器。不僅如此，黑客還可能會創(chuàng)造新賬戶、或是竊取其他憑據(jù)，這樣即使那些受到破壞的憑據(jù)被企業(yè)撤銷，他們?nèi)匀豢梢岳^續(xù)維持自己的訪問權(quán)限?？ò退够鶎嶒炇易畛醢l(fā)布有關(guān)xDedic安全報告的時候，就警告企業(yè)需要更好地保護(hù)遠(yuǎn)程桌面協(xié)議端點(diǎn)。

在大多數(shù)情況下，企業(yè)遠(yuǎn)程桌面協(xié)議端點(diǎn)不能在公共IP地址上被訪問，因此最好的辦法之一就是掃描并關(guān)閉面向公眾的遠(yuǎn)程桌面協(xié)議和SSH端口。此外，有效的賬戶管理和密碼保護(hù)也是保護(hù)遠(yuǎn)程桌面協(xié)議端點(diǎn)的好辦法，比如對遠(yuǎn)程訪問強(qiáng)制進(jìn)行雙因素身份驗證、采用強(qiáng)密碼保護(hù)策略、限制特權(quán)訪問、以及監(jiān)控異常賬戶行為。

即使現(xiàn)在xDedic交易平臺被關(guān)閉了，企業(yè)仍然不能掉以輕心，上述提及的安全措施仍然是當(dāng)前需要重視的任務(wù)，因為即便沒有xDedic，也有其他犯罪份子會嘗試類似的攻擊。此外，xDedic交易平臺下線也不代表其他人不會繼續(xù)販賣被盜的服務(wù)器憑證，他們可能會轉(zhuǎn)移到其他論壇、暗網(wǎng)，繼續(xù)自己的犯罪活動。

美國執(zhí)法機(jī)構(gòu)沒有對外披露三名犯罪嫌疑人被逮捕的具體地點(diǎn)，因此xDedic交易平臺很有可能重新使用不同的域名和新的服務(wù)器基礎(chǔ)設(shè)施。

對于企業(yè)而言，現(xiàn)在最需要做的一件事就是撤銷受感染的服務(wù)器憑據(jù)，并采取安全保護(hù)措施。

下一步，徹查誰是xDedic的客戶？

執(zhí)法機(jī)構(gòu)現(xiàn)在已經(jīng)控制了幾個xDedic交易平臺的基礎(chǔ)設(shè)施，因此也有了訪問注冊用戶列表的權(quán)限，這意味著執(zhí)法機(jī)構(gòu)現(xiàn)在的工作重點(diǎn)可能要轉(zhuǎn)移到深入調(diào)查xDedic交易平臺客戶上，因為在這個交易平臺上進(jìn)行的買賣交易都會被視作為犯罪行為。

這種執(zhí)法手段其實是比較合理的，因為歐洲執(zhí)法部門去年調(diào)查Webstresser.org黑客平臺時，也深入挖掘了該平臺的客戶信息。英國國際刑警組織去年曾發(fā)表聲明稱，將針對該國大約400名Webstresser.org網(wǎng)站用戶展開調(diào)查。實際上，該網(wǎng)站的四名核心管理人員已經(jīng)分別在加拿大、克羅地亞、塞爾維亞和英國被逮捕，同時他們設(shè)在德國和美國的服務(wù)器基礎(chǔ)設(shè)施也都被查封了。

當(dāng)然，英國警方也在Webstresser.org網(wǎng)站查獲了60多個涉案電子設(shè)備。

在過去的一年中，美國和歐洲執(zhí)法機(jī)構(gòu)已經(jīng)關(guān)閉了好幾個 DDoS 服務(wù)平臺，比如Downthem和Quantum Stresser，而且還獲得了這些交易平臺的用戶信息。

歐洲刑警組織強(qiáng)調(diào)稱：

“我們不會按照攻擊規(guī)模區(qū)分對待。無論你是一個游戲玩家，還是企業(yè)高層出于商業(yè)目的和經(jīng)濟(jì)利益實施 DDoS 攻擊，所有級別的用戶都在執(zhí)法范圍之下，”

說明啥？掏了錢的用戶們一個別想逃。

雷鋒網(wǎng) VIA duo 雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。