[Technical Report] Operation Ababil 事件分析 1. ”燕子行动”(Operation Ababil) 在 2013 年 1 月 29 号 Izz ad-din Al-Qassam Cyber Fighters（以下简称 Cyber Fighters）发布声明称 将暂停对美国银行的 DDoS 攻击行动后一个月，Cyber Fighters 于 3 月 5 日再次在 Pastebin 上发布通告， 宣布恢复 Operation Ababil，重新开始对美国银行 DDoS 攻击。 这是 Cyber Fighters 对美国银行的第三轮攻击。在去年 7 月，美国人萨姆-巴西利(Sam Bacile)制作 并导演的关于伊斯兰教先知穆罕默德的影片的预告片被放到 YouTube 上，引来了穆斯林世界的强烈抗议。 9 月 18 号，Cyber Fighters 在 Pastebin 网站上发布公告，抗议这部亵渎穆斯林先知的影片，并展开对美 国银行的 DDoS 攻击。攻击被冠以“燕子行动”（Operation Ababil）的代号。 “燕子行动”这个代号引用 自《可兰经》里的安拉派燕群去摧毁一队由也门国王派出攻击麦加的象群的故事。 在 3 月 5 日之前，Cyber Fighters 之前已经有过两轮对美国银行的攻击。第一阶段始于 9 月 18 号，持 续了 5 个星期。第二阶段从 2012 年 12 月 10 号开始，持续 7 个星期。1 月 29 号 Cyber Fighters 曾发布声 明，称由于 YouTube 上观看数最多的争议影片视频的主版本已被移除，将暂停攻击行动。 在过去的两轮攻击中，众多美国金融机构的在线银行业务遭受到了攻击，其中包括美国银行(Bank of America)、花旗集团(Citigroup)、富国银行(Wells Fargo)、美国合众银行(US Bancorp)、PNC 金融服务 集团、第一资本(Capital One)、五三银行(Fifth Third Bank)、BB&T 银行和汇丰银行(HSBC)等。DDoS 攻 击对上述银行网站业务的连续性和可获得性造成了严重的影响，同时也对银行的声誉造成了不可估量的损 失。 2. 攻击过程 2.1 概述 这次事件中的 DDoS 攻击，具有大流量、攻击时间长、手段丰富和攻击面广四个特点。 攻击流量大是由于攻击者使用了具有高带宽资源的服务器作为攻击傀儡机发起 DDoS 攻击，这与一般 的僵尸网络使用个人 PC 作为攻击傀儡机不同，攻击流量可达几十 G，对客户防护的挑战很大。这次事件中 攻击者所能控制的服务器数量之多体现了攻击者的谋划已久，从攻击时间上看，攻击时间长达几个月，呈 NSFOCUS NSFOCUS US NSFOCUS Japan TEL: +86 10 68438880 EMAIL: info@nsfocus.com TEL: +1 408 907 6638 EMAIL: info-us@nsfocus.com TEL: +81 3 6206 8156 EMAIL: info-jp@nsfocus.com [Technical Report] 现出 APT 的特点。此外，由于攻击者所控制的服务器数量让人印象如此深刻，使人惊叹攻击者开始打造“攻 击云”，从而也引发关于这次攻击事件背后是否具有国家/组织支持的争论。从攻击类型上看，包括传统 的流量型攻击，如 TCP /UDP /ICMP flood 网络层攻击，同时还有 HTTP Flood 和 DNS Flood 应用层攻击。 最后，这次 DDoS 攻击的攻击面之广也是让人印象深刻的一方面，在攻击过程中，攻击者不仅采用 DDoS 攻击了几十家金融机构的在线服务，同时也以网络服务商(Internet Service providers)作为攻击对象， 这样一来，要做到有效防护就不仅仅是某一个公司的防护改进的问题了。 2.2 步骤 DDoS 攻击包括了如下步骤： （1）入侵大量具有高带宽资源的 web 服务器； （2）使用多层次的攻击模式，即部分 web 服务器作为控制傀儡机，其余作为攻击傀儡机； PHP DDoS 工具 上传到攻击傀儡机； （3）攻击傀儡机向目标发起 DDoS 攻击； 攻击模型如下图所示 图 1：多层次攻击模型 NSFOCUS NSFOCUS US NSFOCUS Japan TEL: +86 10 68438880 EMAIL: info@nsfocus.com TEL: +1 408 907 6638 EMAIL: info-us@nsfocus.com TEL: +81 3 6206 8156 EMAIL: info-jp@nsfocus.com [Technical Report] 从上图可见，在攻击过程中，利用了大量傀儡机。在本次攻击事件中，与传统僵尸网络攻击很大的不 同是傀儡机多为服务器。这部分服务器被攻击者入侵而被做为攻击傀儡机，一般是由于管理员的疏忽(弱 管理口令、没有及时更新软件漏洞补丁等)或未知的软件漏洞所造成。 一些已知的被作为攻击傀儡机的服务器包括了使用了低版本的 TimThumb 插件的 WordPress 站点、使 用了 Joomla 的站点以及使用了弱管理口令的站点 3. 工具分析 3.1 工具类型 攻击者所使用的攻击工具包括了 itsoknoproblembro、KamiKaze 和 AMOS，其中 itsoknoproblembro 用 的最多。这些工具使用 php 语言编写，实现了包括 HTTP Get Flood、HTTP Post Flood、TCP Flood、UDP Flood、 DNS Flood 在内的多个 DDoS 攻击手段。攻击类型和说明如下： 工具 攻击类型 说明 itsoknoproblembro TCP flood 目标地址和端口可控，数据域为特定字符 UDP flood 目标地址、端口和数据域大小可控，数据域为特定字符 HTTP get flood 两个 HTTP get flood 的实现，其中一个实现使用了 cURL 库，HTTP 头部 只有 Host 和 Accept 域； 另外一种实现支持代理模式。 Kamikaze HTTP post flood 支持代理模式。 HTTP Get flood HTTP Get flood，Get 请求的 URI 域和 User-Agent 域随机变化，若 cURL 库安装则支持 ssl get flood Amos HTTP Post flood 与 Kamikaze 类似，不同在于它是 post 请求且 User-Agent 域固定 表 1 攻击工具类型 NSFOCUS NSFOCUS US NSFOCUS Japan TEL: +86 10 68438880 EMAIL: info@nsfocus.com TEL: +1 408 907 6638 EMAIL: info-us@nsfocus.com TEL: +81 3 6206 8156 EMAIL: info-jp@nsfocus.com [Technical Report] 3.2 样本分析 以在本次攻击中使用最为广泛的 itsoknoproblembro 为例，进行样本分析。 Itsoknoproblembro 工具共由 3 个 php 文件组成。各脚本文件功能描述如下： （1）主页面（confgic.php） 根据 URL 请求中 action 参数进行响应： "upload"——上传文件到当前目录下。注：该行为实际上已废止，转而通过下面介绍的上传页面实现。 "stop"——停止上一个版本运行的特定攻击命令，并删除已作废脚本文件 "ust"——发送一个 UDP 数据包 目标地址：由 URL 请求中的 ip 参数指定 目标端口：固定为 11 包载荷：当前页面的完整 URL 包数量：1 个 "ab"——调用系统的 ab 命令（ApacheBench） 目标 URL：由 URL 请求中的 url 参数指定 并发请求数：由 URL 请求中的 c 参数指定 总请求数：由 URL 请求中的 n 参数指定 其他——显示伪造的 404 错误页面（实际上 HTTP 响应码仍为 200） （2）上传页面（error.php） 首先进行验证，即检查 URL 请求中 pass 参数的三次 MD5 值是否和脚本中的固定值是否相等： 如果不等，则返回伪造的 404 错误页面。 如果相等，则验证通过，显示文件上传表单，并将上传文件保存到脚本当前目录下。 （3）webshell 页面（imeg.php） 和上传页面类似，首先进行身份验证，即检查 URL 请求中 p 参数的两次 MD5 值是否和脚本中的固定值 是否相等： 如果不等，则返回伪造的 404 错误页面。 如果相等，则验证通过，调用 eval 函数执行 URL 请求中 m 参数指定的代码。 NSFOCUS NSFOCUS US NSFOCUS Japan TEL: +86 10 68438880 EMAIL: info@nsfocus.com TEL: +1 408 907 6638 EMAIL: info-us@nsfocus.com TEL: +81 3 6206 8156 EMAIL: info-jp@nsfocus.com [Technical Report] 根据上述样本功能分析，能够进行 DDoS 攻击的只有主页面的“ab”功能——即利用 Linux 系统的 ab 程序制造大并发的 URL 请求。因此整个攻击过程其实非常简单：首先控制大量 WEB 网站，然后上传 itsoknoproblembro 工具，最后由攻击者向这些 bot 发送“ab”指令，由此制造海量并发的 URL 请求淹没 目标网站。 最后，需要强调的是，这些攻击工具的代码在“燕子行动”期间被多次更改，并且攻击者在同一次攻 击过程中多次变换他们的攻击方式，这在某种意义上体现了当前 DDoS 攻击对抗的实质在于攻击者与防护 者之间的对抗。在 DDoS 的“攻防战”中，防护者要面对的并不是一堆 DDoS 攻击的报文，也不是 DDoS 攻 击工具，而是那些操纵 DDoS 攻击的人。 4. 防护之道 如前所述，这次攻击事件的一个特点在于攻击流量非常大。那么，对于大流量的 DDoS，应该怎么防护 呢？这里以绿盟科技的抗拒绝服务系统 ADS6020 为例说明。 目前单台 ADS6020 的 DDoS 攻击清洗能力为 10Gbps，可以通过使用 ADS 的集群方案来弹性扩展防护容 量。 图