1、概述
傳統的DDoS 反射攻擊通常會利用有缺陷的公網服務器實施反射放大攻擊,反射源數量的多少決定了反射流量的大小。然而隨著公共服務的維護方式越來越標準,安全性也越來越高,可被利用的公共服務器也越來越少。2018年初爆發Memcache反射攻擊后,由小蟻云盾平臺監測到的數據表明,上半年發生的Memcache反射攻擊事件中,反射源數量超過1000的攻擊次數高達139次;而到了下半年,反射源數量多的攻擊次數明顯減少,截止到11月底,類似的攻擊次數只有24次。很明顯可被利用的Memcache服務器越來越少了。
但是,從事黑產的DDoS攻擊者從來沒有停止對流量放大攻擊新方式的尋找和嘗試。
小蟻云盾團隊在2018年11月底捕獲到一次利用游戲客戶端運行時開放的UDP服務做反射實施的攻擊。智云盾系統在2秒內識別到攻擊,實時對攻擊流量做了隔離和清洗,保障用戶免遭DDoS的傷害。
2、攻擊研究
智云盾系統檢測到攻擊時,自動對攻擊流量進行采樣,安全分析專家對采樣包及時進行了深層次的分析。
本次事件智云盾平臺采集到6個采樣包文件,涉及到反射源IP 872個。
2.1 攻擊包分析
通過對智云盾的攻擊包分析發現,反射的來源端口是UDP 2303,我們嘗試掃描反射源IP的2303端口,但是無一響應,由此推測該端口不是互聯網的公共服務,下圖是反射端口圖:
圖1 采樣包內攻擊來源端口
數據包中的payload多次重復Arma3的字符串,通過百度搜索,這是一款中文名叫“武裝突襲”的游戲。
圖2 采樣包內攻擊載荷
為了進一步分析,我們下載了Aram3并且對游戲的通信進行抓包,進入游戲之后我們在游戲內部搜尋互聯網上可加入的游戲房間,與此同時觀察抓包信息我們發現了有類似圖1和圖2攻擊數據包的請求,如下圖:
圖3 游戲內采樣包來源端口
圖3顯示為2303端口返回的UDP數據包,從數據包攜帶的payload相比較,與圖2特征一致,下圖為數據包截圖:
圖4 游戲內攻擊載荷
從圖2與圖4的對比中可以確認,這是一次利用了Arma3游戲客戶端作為反射源的DDoS攻擊。
2.2 放大倍數
按照我們前期對反射放大攻擊倍數的研究,采用科學的統計放大倍數時,請求響應的包頭甚至是網絡幀間隙都要考慮在內。詳細的方案可以參閱《Memcached DRDoS攻擊趨勢》一文,詳見鏈接:https://bsi.baidu.com/article/detail/110
由于2303端口服務為游戲自定義服務,通過對此游戲的攻擊復現發現,請求包數據長25字節,響應包數據長184字節,下圖是復現截圖:
圖5
所以計算得到放大倍數為(184+66)/(25+66) = 2.7倍。
2.3 反射源采集
由于該端口是在游戲客戶端運行時才打開,且只響應特定的請求字符串,因此傳統的DDoS反射源的掃描手段在此處并不適用。攻擊者可以登錄游戲查看玩家房間列表并抓包時可獲取大量的反射源IP。
2.4 攻擊原理
反射類型的DDoS攻擊并不會直接攻擊受害者IP,而是以受害者的IP構造UDP數據包,偽造UDP數據包,對反射源發送偽造的數據包,反射源向受害者IP響應的流量遠超過攻擊者偽造UDP流量的數據,DDoS黑客組織依靠此方式對受害者實施DDoS攻擊,反射類型DDoS攻擊如下圖6所示:
圖6 反射攻擊示意圖
圖6中黑客給放大器發送偽造的UDP數據包,經過智云盾團隊對DDoS事件攻擊的復現發現黑客偽造UDP數據包的載荷長度為25個字節的固定字符串,對應的游戲服務器會返回與攻擊事件采樣包相似的攻擊載荷。
UDP發送的固定25字節字符串如下:
xffxffxffxffx54x53x6fx75x72x63x65x20x45x6ex67x69x6ex65x20x51x75x65x72x79x00
發送該固定字符串UDP請求之后,服務端返回數據包長度180-260不等。
通過檢索UDP發送的固定25個字節的載荷我們發現該查詢請求是steam平臺提供的A2S_INFO服務查詢規范。
3、A2S_INFO協議
A2S_INFO是steam給游戲廠商提供了一系列服務查詢規范之一,主要是對聯機游戲中玩家公網服務器的信息定義。
steam平臺目前是全球最大的綜合性數字發行平臺之一,玩家可以在里面購買,分享,討論,下載游戲和軟件。
參考steam百度百科鏈接:
https://baike.baidu.com/item/steam/10092959?fr=aladdin
3.1 A2S_INFO規范缺陷
steam平臺為了使各個玩家之間聯機對戰,采用了p2p通信技術實現客戶端之間的通信,玩家在新建了房間之后,游戲將玩家的主機地址轉換成公網地址,端口號不變。Steam提供A2S_INFO規范,允許其他地區的玩家采用UDP/IP協議按照A2S_INFO規范查詢房間信息。具體的A2S_INFO標準如下圖7所示:
圖7
Steam wiki鏈接:https://developer.valvesoftware.com/wiki/Server_queries
圖7中,玩家通過符合規范的請求,從服務器獲取到玩家服務器名稱,游戲文件夾名稱等信息。可見A2S_INFO標準包發送請求數據是25個字節,但是返回的數據字段較多,根據不同的服務器返回內容不同,總之是遠超請求數據的長度。
黑客正是利用了A2S_INFO的這一特點利用做DRDoS的攻擊載荷。
反射源隨著玩家參與游戲數量的變化而變化,反射放大比例一般維持在2.7左右,也不排除steam平臺上有其他游戲更大的反射比例存在。
此種反射攻擊成因可以分為兩部分。
1. 玩家之間采用p2p通信方式,聯機類游戲服務很看重網絡傳輸效率,所以會使用大量udp的服務,將玩家客戶端地址映射在公網,導致被攻擊者利用。
2. A2S_INFO查詢協議本身規范存在漏洞,發送數據字段過少,返回字段較多,導致可以被利用為反射協議。
3.2 A2S_INFO應用范圍
A2S_INFO作為聯機游戲的服務查詢規范,應用范圍十分之廣,目前平臺上比較流行的Dota2、反恐精英系列、求生之路系列、Aram系列等聯機游戲的玩家都可能會被黑客用作反射源進行攻擊。
4、其他游戲平臺延伸對比
由于本次攻擊利用了游戲平臺對聯機游戲為了保持網絡傳輸效率選擇UDP實現內網通信,采用P2P通信,我們對多家類似平臺做了調研,發現在玩家聯機時會出現部分UDP請求存在放大現象。
圖8是針對某游戲平臺抓包,截取到可被利用放大的UDP服務圖:
圖8 存在放大現象的UDP請求
與傳統的DDOS反射服務尋找反射源在公網掃描有缺陷的公共服務,本次攻擊選用了steam平臺上UDP的服務端口,反射源根據游戲在線玩家的數量而變化。
DDoS攻擊團隊在尋找反射方式上,已經從傳統的公共服務往訂制化的服務上探索,而游戲平臺玩家聯機的特點將會成為被利用打DDoS的重災區。
5、DDoS反射攻擊趨勢
此次攻擊是steam平臺的A2S_INFO規范存在被利用的漏洞,并且可以將steam平臺上所有聯機游戲的玩家客戶端作為反射源,攻擊倍數雖然不高但是反射來源數量眾多。與傳統的DDoS反射相比,此類型攻擊涉及反射源數量眾多,并且不依賴某一種公共服務,不依賴某一特定端口,攻擊靈活性很高。
A2S_INFO DDoS反射攻擊以一種全新的攻擊思路來尋找反射源,以往的黑客組織追求反射協議的反射比例越大越好,本次攻擊的特點反射源分布極廣。A2S_INFO的服務查詢依靠了p2p通信技術的實現,p2p的技術特點決定了一旦客戶端有可被利用的UDP服務,每一臺使用該UDP服務的主機都將成為反射源。
小蟻云盾團隊預測,在接下來一段時間內,還將會出現更多利用A2S_INFO規范或者其他類似的UDP服務發起攻擊。
6、防范建議
1) 對互聯網服務
a) 禁用UDP,不能禁用時,確保請求與響應不要有倍數關系
b) 啟用授權驗證
2) 對企業用戶
a) 如果沒有UDP相關業務,可以在上層或者本機防火墻過濾掉UDP包。
b) 可以尋求運營商提供UDP黑洞的IP網段做對外網站服務
c) 可以選擇接入DDoS云防安全服務
數字游戲平臺服務不僅簡化了游戲本身的銷售,還為開發商提供了額外的盈利手段。例如,游戲中的皮膚、設備和角色增強元素,都可以獲得大量的收益。用戶自己也可以互相推銷商品,最稀有的可以賣到幾千美元。
哪里有錢,哪里就有欺詐。騙子們試圖獲得登錄信息,以“剝離”受害者的角色,并以豐厚的價格出售他們辛苦得來的物品。
其中一個最受歡迎的平臺:Steam,自六月以來,針對該平臺的攻擊變得更加頻繁,更為復雜。
攻擊分析
騙局是基于網絡釣魚實施的,攻擊者將用戶引誘到假冒的在線商店(在本例中,是與STEAM鏈接的商店)網站,這些網站出售游戲內物品。假冒網站質量很高,有時很難直接辨別網站真偽。網站具有以下特征:
1、假冒網站會對真網站的每一個細節進行仿造
2、有安全證書并支持https
3、發出使用cookies的警告
4、提供一些到原始網站的鏈接(單擊時這些鏈接不起作用)
用戶在網站上花費的時間越長,就越有可能發現一些奇怪的東西。因此,騙子不想讓用戶停留太久,在釣魚網站點擊任何鏈接,用戶都會立即有窗口詢問steam登錄名和密碼。Steam帳戶可以用于登錄第三方交易平臺,以獲得受害者擁有的物品數據。
假登錄/密碼窗口與真實窗口非常相似:地址欄包含Steam門戶的正確URL,頁面具有自適應布局,如果用戶使用不同的界面語言在另一個瀏覽器中打開鏈接,則假頁面的內容和標題將根據新的“區域設置”進行更改。
但是,右鍵單擊此窗口的標題(或控件元素)會顯示網頁的菜單,選擇“查看代碼”會看到當前為假冒窗口,使用的html和css實現:
在樣本中,用戶名和密碼使用post方法通過另一個域上的api進行傳輸。
通過使用原始服務對輸入的數據進行驗證,輸入錯誤的登錄名和密碼時,會向用戶顯示一條錯誤消息:
當輸入有效的登錄和密碼時,系統請求通過輸入在電子郵件中或在Steam Guard應用程序中生成的授權代碼。輸入的代碼也會轉發給騙子,從而獲得對帳戶的完全控制:
其他方式
除了使用html和css創建登錄窗口外,攻擊者還采用了一種古老的技巧:在單獨的窗口中使用一個假的表單,但地址值為空。雖然窗口顯示方式不同,但工作原理同上,表單驗證輸入的數據,如果登錄名和密碼匹配,則提示受害者輸入雙因素授權碼。
如何防范
防范此類詐騙的主要方法與識別釣魚網站的方法沒有本質區別。
1、仔細查看地址欄及其內容的顯示,觀察它是否包含了正確的url,例如,網站地址可能與商店名稱不匹配,或者顯示“about:blank”字樣。
2、密切關注“外部”資源的登錄表單。在包含窗體的窗口標題欄上單擊鼠標右鍵,或者嘗試將其拖到主瀏覽器窗口之外,以確保它不是假的。
4、如果懷疑登錄窗口不是真的,請在新的瀏覽器窗口中打開STEAM主頁,然后從那里登到帳戶。然后返回可疑登錄網站并刷新頁面。如果是真的,會顯示賬戶已經登錄。
5、如果一切看起來正常,但仍有可疑之處,請使用WHOIS檢查域名注冊信息,真正的公司不會在短時間內注冊域名,也不會隱藏他們的聯系方式。
