圖1：OpSacred

OpSacred——OpIcarus攻擊的第5階段

自推出開始，OpIcarus就非常有組織性，現(xiàn)已演進到第五個階段，即OpSacred。黑客于2017年5月12日在Facebookⁱ上公布了文檔、工具及相關(guān)的Facebook賬戶。在公告中，OpIcarus做出了10個聲明：

• 各國政府需停止一切戰(zhàn)爭。
• 各國政府需將民眾的管理權(quán)歸還給大眾。
• 不得剝削工薪階層。
• 不提倡貪婪和追求物質(zhì)享受。
• 當(dāng)政府無法滿足人民需求時，人民就可以反抗這種暴政。
• 禁止因貪婪和資源開采而污染我們的星球。我們只有一個地球，它是神圣的。
• 政府的資本主義游說是腐敗。
• 所有人都應(yīng)該平等。
• 邊界和國家是虛偽的人造結(jié)構(gòu), 因為我們是一個整體
• 所有的決定都應(yīng)該基于對人類無私的愛。

根據(jù)Facebook發(fā)布的內(nèi)容ⁱⁱ，OpIcarus2017從6月11日開始，并運行到了6月21日。發(fā)布的內(nèi)容中包含一個囊括了前幾個階段多數(shù)目標(biāo)企業(yè)的列表。

圖2：Facebook中的OpIcarus頁面

關(guān)注理由

這一行動得到了更多人的支持，攻擊行動也組織有序。攻擊者也已經(jīng)從建議LOIC轉(zhuǎn)而選擇一系列的腳本化工具以及使用VPN和Tor來掩蓋他們的身份。他們將這些信息整合到了一個集中的位置——GitHub頁面中，使得參與者可以更容易加入到行動中。

與之前的攻擊活動相比，GitHub頁面中有更高級的網(wǎng)絡(luò)攻擊工具。Github文件夾包含幾個大型企業(yè)的信息。在第5階段，攻擊者采用了開源智能工具和掃描器來可視化并分析目標(biāo)網(wǎng)絡(luò)。例如，Zed攻擊代理、用于查找Web應(yīng)用中安全漏洞的Z.A.P.工具。

目標(biāo)

Pastebin中有OpIcarus2017的目標(biāo)列表。目標(biāo)站點包括國際貨幣基金組織、美國聯(lián)邦儲備理事會以及世界各國的央行。請點擊https://pastebin.com/CLeFfFRA查看完整列表。

OpIcarus DDoS攻擊工具

Github頁面中有一組拒絕服務(wù)工具，從基本的GUI工具到由Python、Perl和C語言編寫的腳本。這些工具并不是專為OpIcarus創(chuàng)建的，而是其他黑客和安全專家使用的工具集。

R U Dead Yet (RUDY)——一種慢速HTTP POST(L7)拒絕服務(wù)工具，使用長表單提交字段實現(xiàn)攻擊。R.U.D.Y.可以一次向應(yīng)用POST字段注入一字節(jié)信息，然后等待，從而引發(fā)應(yīng)用線程無止境的等待處理執(zhí)行(此行為的目的是讓W(xué)eb服務(wù)器支持使用較慢連接的用戶)。在等待剩余的HTTP POST請求的同時，R.U.D.Y.還可以通過啟動同步服務(wù)器連接來到導(dǎo)致目標(biāo)Web服務(wù)器掛起，因此，攻擊者最終能夠耗盡服務(wù)器連接表并完成拒絕服務(wù)攻擊。

Tor’s Hammer——可以通過慢速POST攻擊來執(zhí)行DoS攻擊的L7 DoS工具，在相同的會話中，HTML POST字段可以慢速傳輸(實際速率在0.5-3秒之間隨機選擇)。

與R.U.D.Y.類似，慢速POST攻擊也可以引發(fā)Web服務(wù)器應(yīng)用線程無止境地等待，只為了處理這些無窮無盡的請求。這會耗盡Web服務(wù)器資源，并使其進入針對任何合法流量的拒絕服務(wù)狀態(tài)。

Tor’s Hammer中新增了一項流量匿名功能。DoS攻擊可以通過Tor網(wǎng)絡(luò)執(zhí)行，利用的是集成在Tor客戶端的本地socks代理。因此可以從隨機的源IP地址發(fā)起攻擊，幾乎不可能追蹤到攻擊者。

XerXeS——一種非常高效的DoS工具，不需要使用僵尸網(wǎng)絡(luò)也可以發(fā)起多個針對幾個目標(biāo)站點的自動化獨立攻擊。

KillApache——利用了原有的漏洞，因此攻擊者可以向Apache服務(wù)器發(fā)送請求，在大量重疊“字節(jié)范圍”或塊中檢索URL內(nèi)容，從而耗盡服務(wù)器可用內(nèi)存，引發(fā)拒絕服務(wù)狀態(tài)。

其它的DDoS攻擊工具包括：

• BlackHorizon
• CescentMoon
• ChiHULK
• GoldenEye
• HellSec
• IrcAbuse
• MasterK3Y
• OpIcarusBot
• PentaDos
• Purple
• Saddam
• Saphyra
• Asundos
• Asundos2
• B0wS3rDdos
• Blacknurse
• Botnet
• Clover
• D4rk
• Finder
• Getrekt
• L7
• M60
• wso

圖3：面向OpIcarus的L7攻擊工具OpIcarusBot

OpIcarus網(wǎng)站頁面

OpIcarus：https://github.com/opicaruscollective/OpIcarus/

文檔：https://github.com/opicaruscollective/OpIcarus/tree/Documentation

工具：https://github.com/opicaruscollective/OpIcarus/tree/Tools

YouTube頻道：https://youtu.be/rkS2RfPkTkY

攻擊向量

Nmap——用于網(wǎng)絡(luò)探索和安全審計的安全掃描器?？梢砸孕路f的方式使用原始IP數(shù)據(jù)包，確定網(wǎng)絡(luò)中哪些主機可用，這些主機可以提供哪些服務(wù)(應(yīng)用名和版本)。此外，還可以確定正在運行的操作系統(tǒng)(以及操作系統(tǒng)版本)、使用的數(shù)據(jù)包過濾器/防火墻類型以及其他特性。

Zed攻擊代理——OWASP Zed攻擊代理，即ZAP，是一種流行的開源安全工具，可以幫助用戶自動掃描并查找Web應(yīng)用中的安全漏洞。

Malrego——一種開源的智能取證工具，可以幫助用戶從開放源碼中查找數(shù)據(jù)，并在圖形中進行可視化處理，為數(shù)據(jù)挖掘和鏈接分析ⁱⁱⁱ提供詳細(xì)報告。

TCP泛洪——這是一種使用時間最久但依然非常流行的DoS攻擊。它可以向受害者發(fā)送大量的SYN數(shù)據(jù)包。在很多情況下，攻擊者會假冒SRC IP，應(yīng)答(SYN+ACK數(shù)據(jù)包)無法返回，因此會覆蓋目標(biāo)服務(wù)器或路徑中網(wǎng)絡(luò)實體(通常是防火墻)中的會話/連接表。服務(wù)器需要為每一個到達的SYN數(shù)據(jù)包打開一個狀態(tài)，并將這個狀態(tài)保存在有大小限制的表中。雖然這個表可以很大，但是仍然可以輕松發(fā)送足夠填滿這個表的SYN數(shù)據(jù)包，而一旦出現(xiàn)這種情況，服務(wù)器就會開始刪除新請求，包括合法請求。防火墻中還可能出現(xiàn)類似情況，防火墻也必須處理每個SYN數(shù)據(jù)包。不同于那些不需要攻擊者采用真實IP的其他TCP或應(yīng)用層攻擊，這類攻擊才可能是最強的攻擊。

UDP泛洪——攻擊者可以將大的UDP數(shù)據(jù)包發(fā)送到單個目標(biāo)或隨機端口。由于UDP協(xié)議是“無連接的”，沒有任何類型的握手機制，因此UDP泛洪的主要目的就是堵塞互聯(lián)網(wǎng)管道。在多數(shù)情況下，攻擊者會偽造SRC(源)IP。

HTTP/S泛洪——黑客用于攻擊Web服務(wù)器和應(yīng)用的一種攻擊方法。這些泛洪由發(fā)送給目標(biāo)Web服務(wù)器的看似合法的基于會話的HTTP GET或POST請求集組成。HTTP泛洪不會采用欺詐、反射技術(shù)或畸形數(shù)據(jù)包。這些請求是專門用來消耗大量服務(wù)器資源的，從而引發(fā)拒絕服務(wù)。這樣的請求通常是經(jīng)過僵尸網(wǎng)絡(luò)發(fā)送，增加了攻擊的整體強度。由于網(wǎng)絡(luò)安全設(shè)備很難區(qū)分合法HTTP流量和惡意HTTP流量，因此HTTP和HTTPS泛洪攻擊成為了當(dāng)前Web服務(wù)器面臨的最嚴(yán)重威脅之一。

SQL注入——這種技術(shù)利用了效率很低的應(yīng)用編碼。當(dāng)應(yīng)用輸入未被清除時，就容易遭受攻擊。攻擊者可以修改應(yīng)用SQL查詢，獲取對未授權(quán)數(shù)據(jù)的管理員訪問權(quán)限，在服務(wù)器中運行遠(yuǎn)程命令，在數(shù)據(jù)庫中刪除或創(chuàng)建對象等。

圖4：這些工具可以在GitHub中查找：https://github.com/opicaruscollective/OpIcarus/tree/Tools

高效DDoS防護措施的要素

• 混合DDoS防護——(本地+云端)，可以實現(xiàn)實時的DDoS攻擊防護，應(yīng)對大流量攻擊并防止管道擁塞
• 基于行為分析的檢測措施——可以快速精確地識別并攔截異常，只允許合法流量通過
• 實時特征碼生成——及時防御未知威脅和零日攻擊
• 網(wǎng)絡(luò)安全緊急響應(yīng)計劃——包括專門的專家緊急團隊，他們有物聯(lián)網(wǎng)相關(guān)經(jīng)驗，可以處理物聯(lián)網(wǎng)爆發(fā)

高效Web應(yīng)用安全的要素

• 全面覆蓋OWASP十大應(yīng)用漏洞——防范數(shù)據(jù)破壞，注入等。
• 低誤報率——利用被動和主動安全模型來實現(xiàn)最大的精確度
• 自動策略生成功能可以以最少的操作實現(xiàn)最廣泛的覆蓋范圍
• 機器人程序防護和設(shè)備指紋識別功能可以應(yīng)對動態(tài)IP攻擊，改善機器人程序檢測和攔截
• 通過過濾路徑保護API，了解用于執(zhí)行的XML和JSON模式以及活動追蹤機制來追蹤機器人程序并保護內(nèi)部資源
• 靈活的部署選項——本地部署、旁路部署、虛擬或云端部署

為了實現(xiàn)更進一步的安全措施，Radware建議企業(yè)檢查并修復(fù)網(wǎng)絡(luò)，以防御風(fēng)險和威脅。

遭受攻擊并需要專家級緊急援助？Radware可以為您提供所需幫助。

Radware提供的服務(wù)可以應(yīng)對安全突發(fā)事件，降低風(fēng)險并且可以在造成不可挽回的損失之前更好地保護操作安全。如果企業(yè)遭受了DDoS攻擊或惡意軟件爆發(fā)，需要緊急援助，可以立即與Radware聯(lián)系。

zhupb