佛曰：武功再高，也怕菜刀；穿的再叼，一磚撂倒（真的不是編輯杜撰……）而DDoS攻擊，作為網(wǎng)絡(luò)攻擊中的常青樹，素來有著“網(wǎng)絡(luò)板磚”比喻：唾手可得，送貨到家，一擊致命，屢試不爽。

世界是平的，網(wǎng)絡(luò)世界更是。

你以為出現(xiàn)在各國(guó)新聞媒體上的DDoS攻擊距離我們都很遙遠(yuǎn)嗎？其實(shí)不然。某些暗戳戳存在的 DDoS for-hire 交易平臺(tái)，允許任何想要發(fā)動(dòng)此類攻擊的人買“兇”。

想要搞癱某個(gè)網(wǎng)站？

可以，交了錢，黑客給你盤它，簡(jiǎn)直是網(wǎng)絡(luò)版“雇兇殺人”現(xiàn)場(chǎng)。

夜路走多了，總會(huì)被盯上。

去年四月，全球最大的 DDoS 服務(wù)平臺(tái)（Webstresser.org）被英國(guó)執(zhí)法機(jī)構(gòu)勒令關(guān)閉，該網(wǎng)站管理員也被歐洲當(dāng)局逮捕，當(dāng)時(shí)警察查獲了一臺(tái)包含該網(wǎng)站151000名注冊(cè)用戶信息的服務(wù)器。

在Webstresser.org網(wǎng)站上，即便你沒有實(shí)施分布式拒絕服務(wù)攻擊（DDoS）的技能、或是沒有支持實(shí)施此類攻擊的基礎(chǔ)設(shè)施，都能輕松找到“賣家”展開攻擊，而且每月只需花費(fèi)15歐元。

（有錢能使……）

這還不是結(jié)局，1月29日雷鋒網(wǎng)消息，據(jù)外媒報(bào)道，包含荷蘭、英國(guó)、塞爾維亞、克羅地亞、西班牙、意大利、德國(guó)、澳大利亞、香港、加拿大和美利堅(jiān)合眾國(guó)的執(zhí)法機(jī)構(gòu)聯(lián)合歐洲刑警組織開始追查該網(wǎng)站十多萬的注冊(cè)用戶，并且將對(duì)其采取法律行動(dòng)。

據(jù)歐洲執(zhí)法機(jī)構(gòu)（Europol）估計(jì)，Webstresser.org 網(wǎng)站針對(duì)一系列網(wǎng)站發(fā)起過超過400多萬次DDoS攻擊，受害者包括游戲公司、執(zhí)法機(jī)構(gòu)、以及金融服務(wù)機(jī)構(gòu)等網(wǎng)站。目前，Europol 已經(jīng)展開行動(dòng)，至少有250名網(wǎng)絡(luò)用戶很快面臨應(yīng)有的法律制裁。

步其后塵，xDedic也被關(guān)閉？

無獨(dú)有偶，現(xiàn)在另一家臭名昭著的黑市——xDedic也被執(zhí)法當(dāng)局強(qiáng)制關(guān)閉了。

如果你是一個(gè)不太熟悉暗網(wǎng)和私服的互聯(lián)網(wǎng)小白，可能沒有聽說過 xDedic 交易平臺(tái)。但實(shí)際上，這個(gè)交易平臺(tái)在黑客圈子內(nèi)非常有名，里面販?zhǔn)鄹鞣N被黑的在線服務(wù)器資源——專為有需要的黑客、甚至APT攻擊組織服務(wù)。

現(xiàn)在，美國(guó)和歐洲執(zhí)法機(jī)構(gòu)已經(jīng)對(duì)日益猖獗的黑客活動(dòng)忍無可忍，他們決定強(qiáng)制關(guān)閉xDedic交易平臺(tái)。

為了深入打擊xDedic交易平臺(tái)，來自美國(guó)聯(lián)邦調(diào)查局和美國(guó)國(guó)家稅務(wù)局刑事調(diào)查部門的調(diào)查人員與歐洲刑警組織、以及比利時(shí)和烏克蘭的執(zhí)法當(dāng)局展開了密切合作。EuroJust是一個(gè)歐盟執(zhí)法機(jī)構(gòu)，負(fù)責(zé)處理成員國(guó)之間的刑事案件司法合作。該機(jī)構(gòu)在一份聲明中表示：

“我們已經(jīng)沒收了xDedic交易平臺(tái)的幾個(gè)IT系統(tǒng)，而且嚴(yán)重懷疑三名烏克蘭犯罪嫌疑人?！?/p>

2016年，當(dāng)時(shí)著名的殺毒軟件開發(fā)公司卡巴斯基實(shí)驗(yàn)室就詳細(xì)披露過 xDedic 交易平臺(tái)上提供的服務(wù)。

犯罪團(tuán)隊(duì)通常利益遠(yuǎn)程桌面協(xié)議憑證漏洞訪問超過176000臺(tái)獨(dú)立服務(wù)器，如果你想要獲得這些服務(wù)器的訪問權(quán)，那么可以按照地理位置、操作系統(tǒng)、甚至價(jià)格搜索定位自己希望攻擊的服務(wù)器，然后購買xDedic出售的協(xié)議憑證?？ò退够鶎?shí)驗(yàn)室表示，買家甚至可以用低至六美元的價(jià)格購買一臺(tái)黑客服務(wù)。之后，網(wǎng)絡(luò)安全公司Flashpoint通過分析發(fā)現(xiàn)，在xDedic地下交易平臺(tái)上販賣的服務(wù)器和個(gè)人電腦中有接近三分之二都來自于美國(guó)學(xué)校和大學(xué)。

美國(guó)當(dāng)局估計(jì)，xDedic交易平臺(tái)上涉及黑客欺詐的交易金額已經(jīng)超過了6800萬美元，而且很多行業(yè)都深受其害。根據(jù)美國(guó)佛羅里達(dá)州中區(qū)檢察官辦公室對(duì)外發(fā)布的一份聲明稱，包括地方、州和聯(lián)邦政府基礎(chǔ)設(shè)施、醫(yī)院、911和緊急服務(wù)、呼叫中心、主要大城市的交通管理部門、會(huì)計(jì)和律師事務(wù)所、以及養(yǎng)老金基金公司和高校都受到影響。

與xDedic相關(guān)的互聯(lián)網(wǎng)域名已經(jīng)在1月24日被查封，美國(guó)政府希望利用這種方式有效阻止該網(wǎng)站的運(yùn)營(yíng)。現(xiàn)在，試圖訪問xDedic網(wǎng)站的用戶會(huì)被重新定向到一個(gè)網(wǎng)頁，該頁面中解釋了xDedic交易平臺(tái)已經(jīng)下線。

另據(jù)卡巴斯基實(shí)驗(yàn)室披露的信息稱，雖然xDedic交易平臺(tái)從2014年就開始運(yùn)營(yíng)，但其實(shí)他們?cè)?016年被關(guān)閉過一段時(shí)間。可是不久之后，該平臺(tái)又重新上線并做出一些變化，比如要求會(huì)員必須首先支付50美元才能在網(wǎng)站上進(jìn)行買賣交易。該交易平臺(tái)依靠Tor網(wǎng)絡(luò)來保護(hù)運(yùn)營(yíng)商及其底層服務(wù)器的位置，使其免受安全研究人員和執(zhí)法調(diào)查人員的檢查。不僅如此，他們還使用虛擬貨幣比特幣來幫助買家和賣家實(shí)現(xiàn)匿名交易。

保護(hù)遠(yuǎn)程桌面協(xié)議（RDP）端點(diǎn)

在 xDedic 交易平臺(tái)上會(huì)出售大量受感染的服務(wù)器信息和訪問憑證，這個(gè)問題讓不少企業(yè)感到非常頭疼，因?yàn)閼{借這些訪問平局，攻擊者可以輕松在企業(yè)網(wǎng)絡(luò)內(nèi)部建立“立足點(diǎn)”，然后就能延伸攻擊、危及其他服務(wù)器。不僅如此，黑客還可能會(huì)創(chuàng)造新賬戶、或是竊取其他憑據(jù)，這樣即使那些受到破壞的憑據(jù)被企業(yè)撤銷，他們?nèi)匀豢梢岳^續(xù)維持自己的訪問權(quán)限?？ò退够鶎?shí)驗(yàn)室最初發(fā)布有關(guān)xDedic安全報(bào)告的時(shí)候，就警告企業(yè)需要更好地保護(hù)遠(yuǎn)程桌面協(xié)議端點(diǎn)。

在大多數(shù)情況下，企業(yè)遠(yuǎn)程桌面協(xié)議端點(diǎn)不能在公共IP地址上被訪問，因此最好的辦法之一就是掃描并關(guān)閉面向公眾的遠(yuǎn)程桌面協(xié)議和SSH端口。此外，有效的賬戶管理和密碼保護(hù)也是保護(hù)遠(yuǎn)程桌面協(xié)議端點(diǎn)的好辦法，比如對(duì)遠(yuǎn)程訪問強(qiáng)制進(jìn)行雙因素身份驗(yàn)證、采用強(qiáng)密碼保護(hù)策略、限制特權(quán)訪問、以及監(jiān)控異常賬戶行為。

即使現(xiàn)在xDedic交易平臺(tái)被關(guān)閉了，企業(yè)仍然不能掉以輕心，上述提及的安全措施仍然是當(dāng)前需要重視的任務(wù)，因?yàn)榧幢銢]有xDedic，也有其他犯罪份子會(huì)嘗試類似的攻擊。此外，xDedic交易平臺(tái)下線也不代表其他人不會(huì)繼續(xù)販賣被盜的服務(wù)器憑證，他們可能會(huì)轉(zhuǎn)移到其他論壇、暗網(wǎng)，繼續(xù)自己的犯罪活動(dòng)。

美國(guó)執(zhí)法機(jī)構(gòu)沒有對(duì)外披露三名犯罪嫌疑人被逮捕的具體地點(diǎn)，因此xDedic交易平臺(tái)很有可能重新使用不同的域名和新的服務(wù)器基礎(chǔ)設(shè)施。

對(duì)于企業(yè)而言，現(xiàn)在最需要做的一件事就是撤銷受感染的服務(wù)器憑據(jù)，并采取安全保護(hù)措施。

下一步，徹查誰是xDedic的客戶？

執(zhí)法機(jī)構(gòu)現(xiàn)在已經(jīng)控制了幾個(gè)xDedic交易平臺(tái)的基礎(chǔ)設(shè)施，因此也有了訪問注冊(cè)用戶列表的權(quán)限，這意味著執(zhí)法機(jī)構(gòu)現(xiàn)在的工作重點(diǎn)可能要轉(zhuǎn)移到深入調(diào)查xDedic交易平臺(tái)客戶上，因?yàn)樵谶@個(gè)交易平臺(tái)上進(jìn)行的買賣交易都會(huì)被視作為犯罪行為。

這種執(zhí)法手段其實(shí)是比較合理的，因?yàn)闅W洲執(zhí)法部門去年調(diào)查Webstresser.org黑客平臺(tái)時(shí)，也深入挖掘了該平臺(tái)的客戶信息。英國(guó)國(guó)際刑警組織去年曾發(fā)表聲明稱，將針對(duì)該國(guó)大約400名Webstresser.org網(wǎng)站用戶展開調(diào)查。實(shí)際上，該網(wǎng)站的四名核心管理人員已經(jīng)分別在加拿大、克羅地亞、塞爾維亞和英國(guó)被逮捕，同時(shí)他們?cè)O(shè)在德國(guó)和美國(guó)的服務(wù)器基礎(chǔ)設(shè)施也都被查封了。

當(dāng)然，英國(guó)警方也在Webstresser.org網(wǎng)站查獲了60多個(gè)涉案電子設(shè)備。

在過去的一年中，美國(guó)和歐洲執(zhí)法機(jī)構(gòu)已經(jīng)關(guān)閉了好幾個(gè) DDoS 服務(wù)平臺(tái)，比如Downthem和Quantum Stresser，而且還獲得了這些交易平臺(tái)的用戶信息。

歐洲刑警組織強(qiáng)調(diào)稱：

“我們不會(huì)按照攻擊規(guī)模區(qū)分對(duì)待。無論你是一個(gè)游戲玩家，還是企業(yè)高層出于商業(yè)目的和經(jīng)濟(jì)利益實(shí)施 DDoS 攻擊，所有級(jí)別的用戶都在執(zhí)法范圍之下，”

說明啥？掏了錢的用戶們一個(gè)別想逃。

雷鋒網(wǎng) VIA duo 雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。