佛曰：武功再高，也怕菜刀；穿的再叼，一磚撂倒（真的不是編輯杜撰……）而DDoS攻擊，作為網(wǎng)絡攻擊中的常青樹，素來有著“網(wǎng)絡板磚”比喻：唾手可得，送貨到家，一擊致命，屢試不爽。

世界是平的，網(wǎng)絡世界更是。

你以為出現(xiàn)在各國新聞媒體上的DDoS攻擊距離我們都很遙遠嗎？其實不然。某些暗戳戳存在的 DDoS for-hire 交易平臺，允許任何想要發(fā)動此類攻擊的人買“兇”。

想要搞癱某個網(wǎng)站？

可以，交了錢，黑客給你盤它，簡直是網(wǎng)絡版“雇兇殺人”現(xiàn)場。

夜路走多了，總會被盯上。

去年四月，全球最大的 DDoS 服務平臺（Webstresser.org）被英國執(zhí)法機構勒令關閉，該網(wǎng)站管理員也被歐洲當局逮捕，當時警察查獲了一臺包含該網(wǎng)站151000名注冊用戶信息的服務器。

在Webstresser.org網(wǎng)站上，即便你沒有實施分布式拒絕服務攻擊（DDoS）的技能、或是沒有支持實施此類攻擊的基礎設施，都能輕松找到“賣家”展開攻擊，而且每月只需花費15歐元。

（有錢能使……）

這還不是結局，1月29日雷鋒網(wǎng)消息，據(jù)外媒報道，包含荷蘭、英國、塞爾維亞、克羅地亞、西班牙、意大利、德國、澳大利亞、香港、加拿大和美利堅合眾國的執(zhí)法機構聯(lián)合歐洲刑警組織開始追查該網(wǎng)站十多萬的注冊用戶，并且將對其采取法律行動。

據(jù)歐洲執(zhí)法機構（Europol）估計，Webstresser.org 網(wǎng)站針對一系列網(wǎng)站發(fā)起過超過400多萬次DDoS攻擊，受害者包括游戲公司、執(zhí)法機構、以及金融服務機構等網(wǎng)站。目前，Europol 已經(jīng)展開行動，至少有250名網(wǎng)絡用戶很快面臨應有的法律制裁。

步其后塵，xDedic也被關閉？

無獨有偶，現(xiàn)在另一家臭名昭著的黑市——xDedic也被執(zhí)法當局強制關閉了。

如果你是一個不太熟悉暗網(wǎng)和私服的互聯(lián)網(wǎng)小白，可能沒有聽說過 xDedic 交易平臺。但實際上，這個交易平臺在黑客圈子內(nèi)非常有名，里面販售各種被黑的在線服務器資源——專為有需要的黑客、甚至APT攻擊組織服務。

現(xiàn)在，美國和歐洲執(zhí)法機構已經(jīng)對日益猖獗的黑客活動忍無可忍，他們決定強制關閉xDedic交易平臺。

為了深入打擊xDedic交易平臺，來自美國聯(lián)邦調(diào)查局和美國國家稅務局刑事調(diào)查部門的調(diào)查人員與歐洲刑警組織、以及比利時和烏克蘭的執(zhí)法當局展開了密切合作。EuroJust是一個歐盟執(zhí)法機構，負責處理成員國之間的刑事案件司法合作。該機構在一份聲明中表示：

“我們已經(jīng)沒收了xDedic交易平臺的幾個IT系統(tǒng)，而且嚴重懷疑三名烏克蘭犯罪嫌疑人?！?/p>

2016年，當時著名的殺毒軟件開發(fā)公司卡巴斯基實驗室就詳細披露過 xDedic 交易平臺上提供的服務。

犯罪團隊通常利益遠程桌面協(xié)議憑證漏洞訪問超過176000臺獨立服務器，如果你想要獲得這些服務器的訪問權，那么可以按照地理位置、操作系統(tǒng)、甚至價格搜索定位自己希望攻擊的服務器，然后購買xDedic出售的協(xié)議憑證?？ò退够鶎嶒炇冶硎荆I家甚至可以用低至六美元的價格購買一臺黑客服務。之后，網(wǎng)絡安全公司Flashpoint通過分析發(fā)現(xiàn)，在xDedic地下交易平臺上販賣的服務器和個人電腦中有接近三分之二都來自于美國學校和大學。

美國當局估計，xDedic交易平臺上涉及黑客欺詐的交易金額已經(jīng)超過了6800萬美元，而且很多行業(yè)都深受其害。根據(jù)美國佛羅里達州中區(qū)檢察官辦公室對外發(fā)布的一份聲明稱，包括地方、州和聯(lián)邦政府基礎設施、醫(yī)院、911和緊急服務、呼叫中心、主要大城市的交通管理部門、會計和律師事務所、以及養(yǎng)老金基金公司和高校都受到影響。

與xDedic相關的互聯(lián)網(wǎng)域名已經(jīng)在1月24日被查封，美國政府希望利用這種方式有效阻止該網(wǎng)站的運營?，F(xiàn)在，試圖訪問xDedic網(wǎng)站的用戶會被重新定向到一個網(wǎng)頁，該頁面中解釋了xDedic交易平臺已經(jīng)下線。

另據(jù)卡巴斯基實驗室披露的信息稱，雖然xDedic交易平臺從2014年就開始運營，但其實他們曾在2016年被關閉過一段時間?？墒遣痪弥螅撈脚_又重新上線并做出一些變化，比如要求會員必須首先支付50美元才能在網(wǎng)站上進行買賣交易。該交易平臺依靠Tor網(wǎng)絡來保護運營商及其底層服務器的位置，使其免受安全研究人員和執(zhí)法調(diào)查人員的檢查。不僅如此，他們還使用虛擬貨幣比特幣來幫助買家和賣家實現(xiàn)匿名交易。

保護遠程桌面協(xié)議（RDP）端點

在 xDedic 交易平臺上會出售大量受感染的服務器信息和訪問憑證，這個問題讓不少企業(yè)感到非常頭疼，因為憑借這些訪問平局，攻擊者可以輕松在企業(yè)網(wǎng)絡內(nèi)部建立“立足點”，然后就能延伸攻擊、危及其他服務器。不僅如此，黑客還可能會創(chuàng)造新賬戶、或是竊取其他憑據(jù)，這樣即使那些受到破壞的憑據(jù)被企業(yè)撤銷，他們?nèi)匀豢梢岳^續(xù)維持自己的訪問權限?？ò退够鶎嶒炇易畛醢l(fā)布有關xDedic安全報告的時候，就警告企業(yè)需要更好地保護遠程桌面協(xié)議端點。

在大多數(shù)情況下，企業(yè)遠程桌面協(xié)議端點不能在公共IP地址上被訪問，因此最好的辦法之一就是掃描并關閉面向公眾的遠程桌面協(xié)議和SSH端口。此外，有效的賬戶管理和密碼保護也是保護遠程桌面協(xié)議端點的好辦法，比如對遠程訪問強制進行雙因素身份驗證、采用強密碼保護策略、限制特權訪問、以及監(jiān)控異常賬戶行為。

即使現(xiàn)在xDedic交易平臺被關閉了，企業(yè)仍然不能掉以輕心，上述提及的安全措施仍然是當前需要重視的任務，因為即便沒有xDedic，也有其他犯罪份子會嘗試類似的攻擊。此外，xDedic交易平臺下線也不代表其他人不會繼續(xù)販賣被盜的服務器憑證，他們可能會轉(zhuǎn)移到其他論壇、暗網(wǎng)，繼續(xù)自己的犯罪活動。

美國執(zhí)法機構沒有對外披露三名犯罪嫌疑人被逮捕的具體地點，因此xDedic交易平臺很有可能重新使用不同的域名和新的服務器基礎設施。

對于企業(yè)而言，現(xiàn)在最需要做的一件事就是撤銷受感染的服務器憑據(jù)，并采取安全保護措施。

下一步，徹查誰是xDedic的客戶？

執(zhí)法機構現(xiàn)在已經(jīng)控制了幾個xDedic交易平臺的基礎設施，因此也有了訪問注冊用戶列表的權限，這意味著執(zhí)法機構現(xiàn)在的工作重點可能要轉(zhuǎn)移到深入調(diào)查xDedic交易平臺客戶上，因為在這個交易平臺上進行的買賣交易都會被視作為犯罪行為。

這種執(zhí)法手段其實是比較合理的，因為歐洲執(zhí)法部門去年調(diào)查Webstresser.org黑客平臺時，也深入挖掘了該平臺的客戶信息。英國國際刑警組織去年曾發(fā)表聲明稱，將針對該國大約400名Webstresser.org網(wǎng)站用戶展開調(diào)查。實際上，該網(wǎng)站的四名核心管理人員已經(jīng)分別在加拿大、克羅地亞、塞爾維亞和英國被逮捕，同時他們設在德國和美國的服務器基礎設施也都被查封了。

當然，英國警方也在Webstresser.org網(wǎng)站查獲了60多個涉案電子設備。

在過去的一年中，美國和歐洲執(zhí)法機構已經(jīng)關閉了好幾個 DDoS 服務平臺，比如Downthem和Quantum Stresser，而且還獲得了這些交易平臺的用戶信息。

歐洲刑警組織強調(diào)稱：

“我們不會按照攻擊規(guī)模區(qū)分對待。無論你是一個游戲玩家，還是企業(yè)高層出于商業(yè)目的和經(jīng)濟利益實施 DDoS 攻擊，所有級別的用戶都在執(zhí)法范圍之下，”

說明啥？掏了錢的用戶們一個別想逃。

雷鋒網(wǎng) VIA duo 雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。