【IT168 评论】恐怕没有多少人会与全球央行这样的庞然大物进行对抗，可黑客却说自己敢。就在昨天，全球著名的黑客组织“匿名者”向含中国人民银行在内的全球央行“宣战”。在这起被命名为“opicarus”的行动中，“匿名者”声称将通过破坏全球央行的信息系统，来宣扬“正义”。目前，希腊塞浦路斯的中央银行(centralbank.gov.cy)已经成为这起大战的首个“牺牲品”，其银行系统早些时候被DDoS攻击下线至少35分钟。

　　就像是很多暗黑系电影的反派一样，“匿名者”是一个充满着理想主义但行事极端的黑客组织。在这次攻击事件中，有“匿名者”成员透露称：之所以攻击全球央行，是因为银行与各种谋杀、欺诈、阴谋、战争暴利、恐怖分子和贩毒集团洗钱紧密相关，把数以百万计的没有食物或住所的人们赶上街头，还成功的迫使各国政府保持沉默。

▲匿名者攻击列表中包含中国人民银行网站

　　虽然这些理由不值得认真推敲，但是“匿名者”的网络攻击水平还是不容小视的。迄今为止，该黑客组织已经取得了索尼PSN网络崩溃、使中情局网站瘫痪数个小时、盗取美国司法部数据等累累“战果”，导致了被攻击方的严重损失。而且，该黑客组织的攻击目标以引导舆论为第一目标，越是社会影响力大的组织越容易被列入到攻击目标，这让很多大型组织闻“匿名者”而色变。

  对此IT168网络安全频道就此话题，向华为、华三、亚信安全专家进行了请教，实录如下：

　　1、 对于此次事件，华为安全认为匿名者可能采用了哪些技术手段?

　　【华为未然安全实验室研究员杨多】参与此次Operation Icarus 运动的Anonymous成员，使用了LOIC(Low Orbit Ion Cannon,可发起TCP,UDP,HTTP Flood攻击)工具发起DDOS攻击，并利用VPN/proxy做隐藏，此外，Anonymous组织还公布了该类工具的使用教程和Free VPN 地址(CyberGhost)。除此之外，HOIC(High Orbit Ion Cannon), ByteDOS等DDOS工具也被Anonymous组织广泛使用。但也不排除在攻击中会使用其他手段，比如在2015年底，Anonymous组织对土耳其的DDOS攻击就使用了UDP Flood、NTP Flood、DNS反射放大攻击、SSDP flood、SYN Flood、SIP Flood、SYN-ACK Flood、FIN/RST flood、HTTP Get Flood等攻击手段，攻击峰值高达40Gbps。

　　2、对于已经列入攻击目标的银行，华为安全建议应该采取哪些措施?

　　【华为未然安全实验室研究员杨多】针对攻击目标明确、流量大、攻击手段分散的特点， 建议采取分级防御策略：

　　(1)在银行数据中心出口 部署高性能防火墙或NGFW， 以及专业的DDOS防护设备。 在防火墙上可以严格限制非业务流量的访问，可减缓ICMP Flood、UDP Flood等协议层Flood攻击; 专业DDOS设备可以有效防御各种协议层、应用层Flood攻击 。

　　(2)对于超大流量的DDOS攻击， 会导致银行数据中心的整个出口阻塞， 需要借助运营商从城域网的入口等上级节点进行防御。 一些运营商(如中国电信云堤)已经开展专业的DDOS清洗服务 ，并能通过各地云清洗中心联动进行近源清洗。

　　(3)银行要建立快速的DDOS攻击防御和恢复机制， 方便遭受新类型攻击时尽快恢复业务。

　　1、 对于此次事件，华三安全认为匿名者可能采用了哪些技术手段?

　　[HSC答复] 5.5日，黑客组织匿名者(Anonymous)向包括中国人民银行在内的全球央行宣战，并于当日攻陷希腊央行，其主要手段则是采用了DDoS攻击。

　　之前，他们就采用类似手段攻击过土耳其银行以及汇丰银行。加上2014年匿名者发起过的一系列的DDoS攻击，我们有理由猜测这种类型的攻击手段还将会持续。

　　DDoS攻击是一种分布式拒绝服务攻击，如果使用部分协议的放大效果，则更能立竿见影的达到攻陷网站的目的。另外，除了DDoS攻击造成的网络瘫痪，黑客还有可能使用这些手段：比如使用Doxes攻击，通过社会工程

　　获取网站管理员的社交账号及其密码编码偏好，个人住址、喜好等，以及各大主流网站泄露的账号密码信息尝试管理员账号密码猜解，直接获得网站控制权。

　　此外，黑客也可能尝试修改DNS记录，重定向网页达到丑化或宣扬其政治诉求的目的，以及通过传统的SQL注入来获取网站数据库，或向目标发送钓鱼邮件获取密码等敏感信息，

　　也不排除会使用水坑式攻击在管理员经常访问的网站上放置恶意程序。还可能使用到近几年兴起的APT攻击，黑客如果已对攻击目标进行了长时间的渗透和潜伏，则可能在最后一刻一举攻破目标服务器。

　　2、 对于已经列入攻击目标的银行，华三安全建议应该采取哪些措施?

　　[HSC答复] 从匿名者一贯发起DDoS的行为特征上看，DDoS攻击可能会分成两个阶段，第一波攻击可能较短(几分钟)，但第二波攻击时间很长(大于6小时)，因此，建议做好抗D和IPS产品正确策略部署，

　　提前发现拦截以降低风险。同时密切监控网络流量的异常行为(如华三天机系统)，并根据需要部署WAF和防篡改设备。网管需要定期对这些设备的运行情况和策略生效情况做好检查，并应迅速对全网IT系统开展自检，

　　包括：

　　● 检查并消除弱密码、默认密码甚至空密码，并确保这些密码的编写风格与个人账号密码习惯不同;

　　● 采用多因素认证验证用户身份(有一些双因子认证也存在隐患。如RSA公司曾被入侵过，不排除其产品RSA SecurID可能存在风险);

　　● 检查VPN配置和软件版本;

　　●对来源可疑的邮件不好奇、不查看不点击，必要时引入沙箱运行监测;

　　● 主动进行网站的渗透测试、代码审计、压力测试;

　　● 通域名注册商沟通，约定只能通过书面的形式修改DNS的各项记录;

　　● 关注匿名者的最新动态和发布的攻击名单，甚至使用的技术手段，提前做好针对性应对;

　　● 部署抗D设备、异常流量监测系统。在IPS、WAF产品上开启XSS、SQLi等规则并保持对日志的密切关注;

　　3、目前，DDoS攻击猖狂，无论是“无敌舰队”还是此次的匿名者都是采取了DDoS攻击，那么在抗D方面，华三安全的解决方案是什么?

　　华三防DDos成为“流量清洗解决方案”，偏重于运营商侧防御，通过在城域网旁挂流量清洗中心，在不影响正常业务的同时，对城域网中出现的DDoS攻击流量进行过滤，实现对城域网和大客户网络业务的保护。

　　首先，从运营商的角度来看，通过对城域网中大量的DDoS流量的过滤，可以有效减小城域网自身的负载，为城域网所承载的高价值业务提供有效的质量保障。可以在减小对城域网扩容压力的同时保证高价值客户的网络业务质量，从而保持现有高价值客户的忠诚度，并且吸引新的高价值客户的接入。

　　从城域网中接入的大客户的角度来看，在运营商侧过滤掉针对自身的DDoS攻击流量，可以有效保障大客户对外网络业务的永续运转。在保障大客户经济利益不受损失的同时，还减小了大客户因传统防御DDoS攻击手段所带来的性能扩容的建设成本和运维成本。

　　“流量清洗解决方案”提供的服务包括：网络业务流量监控和分析、安全基线制定、安全事件通告、异常流量过滤、安全事件处理报告等。“流量清洗解决方案”的实施，减轻了来自于DDoS攻击流量对城域网造成的压力，提升带宽利用的有效性;保护用户网络免受来自互联网的攻击，提高网络性能，实现其核心业务的永续，保障其核心竞争力。

  1、对于此次事件，亚新安全认为匿名者可能采用了哪些技术手段?

　　亚信安全技术总经理蔡昇钦：“匿名者的攻击行动往往出于政治性目的，他们通常使用doxes、DNS攻击、丑化、重定向、DDoS攻击、数据库资料泄露等攻击手段，破坏攻击目标的网络及数据。更大的威胁在于，黑客很可能采用缓慢渗透的方式来侵入防护严密的目标，这种高级持续性威胁(APT攻击)不仅防范难度高，而且破坏力更大。”

　　2、对于被列入攻击目标的银行组织，亚信安全建议用户采取以下措施：

　　●加大网络安全监控力度，尤其要关注网络中任何可疑的攻击迹象。

　　●密切关注“匿名者”组织在目标、工具、动机上的变化，及他们发布的新闻动向，这些信息将有利于用户调整防御侧重点。

　　●黑客有可能通过任何方式来对网络进行攻击，所以千万不要只针对某一点来进行防御，而是应该确保所有IT系统(操作系统，应用程序，网站等等)的安全性。

　　●高度关注IT和IT安全系统日志，对任何异常数据进行分析研究。例如，在事前通过亚信安全威胁发现设备(TDA)的启发式侦测与沙盒分析提示，监测出攻击的“蛛丝马迹”，并定制相应的防御策略。