究竟是 REvil 死灰复燃?还是他人效尤?
执行摘要
Akamai 研究人员一直在监控针对一家 Akamai 客户发起的分布式拒绝服务 (DDoS) 活动,据称该活动与恶名昭彰的勒索软件即服务 (RaaS) 组织 REvil 有关。
迄今为止,攻击的目标是网站,攻击者会一次性发送大量 HTTP/2 GET 请求,并利用某些缓存清除技术造成网站不堪重负。
这些请求包含嵌入式付款要求、一个比特币钱包以及一些商业/政治要求。
相较于以往声称由 REvil 发起的类似攻击活动,这些攻击的量级似乎要小一些,而且似乎存在与勒索企图相关的政治目的,我们在以往的攻击活动中未观察到这些迹象。
这个比特币钱包迄今为止无任何记录,与 REvil 以往使用的任何已知比特币钱包均无关联。
前言
恶名昭彰的 勒索软件组织 REvil 在安全界广为人知,理由非常充分。他们对 2021 年的 Kaseya 勒索软件攻击负责,并因此成为安全界关注焦点;同年,他们还对 JBS 发起攻击,并造成严重后果。据称,俄罗斯政府已于 2022 年 3 月 端掉了 REvil ,俄罗斯政府针对 REvil 成员采取了一系列行动,包括逮捕一名成员,该成员曾经协助发起针对 Colonial Pipeline的攻击,造成了极其严重的破坏。
上周,Akamai 安全情报响应小组 (SIRT) 收到报告,我们的一家酒店娱乐业客户遭遇第 7 层攻击,攻击者自称 REvil。在本博文中,我们将探讨这次攻击,并将该攻击与先前据称与 REvil 组织有关的攻击进行对比。
攻击概况
2022 年 5 月 12 日,Akamai 的一位客户提醒 SIRT 团队注意,他们遭遇自称与 REvil 有关的组织发起的攻击。我们立即着手分析数据,并交叉参照手头的其他攻击数据,以尝试判断这种说法是否属实。
这次攻击为协调式 DDoS 攻击,流量峰值达到 15 kRps,攻击形式采用简单的 HTTP GET 请求,其中的请求路径包含一条发给攻击目标的消息,内有 554 字节的索要赎金消息。该消息要求这家 Akamai 客户将比特币转入指定比特币钱包地址,以此作为停止攻击的条件。此外还包含一项与特定地理位置有关的要求,要求目标公司全面停止在某个国家境内的业务运营。攻击者威胁称,如果目标公司未能满足攻击者的商业/政治要求,并且未在所要求的时间内支付赎金,则会发起后续攻击,破坏目标公司的全球业务运营。
在这次攻击活动发生之后, Imperva公开报告了一种类似的攻击模式,在发给目标公司运营团队与高管的勒索消息的网址内包含“revil”字符串。
攻击细节和入侵指标
缓存清除
包含勒索要求的请求路径为静态,但末尾处还包含一个随机生成的唯一 8 字符字符串,以及另一个唯一 8 字符查询字符串。这是缓存清除技术的典型特征,其目的是保证所有请求都不重复,从而绕过缓存,由此造成必须从源站 Web 服务器检索请求。
HTTP 标头
此外,“Accept”请求标头包含一个较长的静态列表,其中列出了攻击过程中所有请求的已接受媒体类型。从某种程度上来说,这种组合及其顺序是独特的,可能有助于在攻击事件中识别攻击源指纹。
"Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"
User-Agent 请求标头也值得注意。在整个攻击事件涉及到的所有攻击源中,我们都观察到一个完全相同的 User-Agent 静态字符串:
"User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36"
相较于“典型”模式,HTTP GET 请求标头的顺序也有所不同,这可能表明攻击者使用的是定制开发的 DDoS 攻击工具。这些值在不同攻击活动中可能有所不同,因此从入侵指标 (IoC) 的角度来看,单纯针对这些模式编写签名对于防御者往往并无帮助。
在这次攻击活动涉及到的数千个攻击源中,这些值均保持未变,这代表防御者或许可以在信号与噪声识别、签名编写和/或阻止过程中隔离出类似模式。
代理和路由器
虽然在此次攻击期间,HTTP 标头保持不变,但参与攻击的 IP 高度分散化。深入探究攻击源时,我们发现许多相关 IP 似乎都是 MikroTik 设备或使用代理服务的服务器。在观察代理节点时,我们发现它们似乎已被锁定,因为至少需要提供一套用户名和密码才能使用其代理功能。这些代理并不是在互联网上公开提供、可供某人轻松找到并随意利用的那类代理;攻击者和代理系统之间需要有一定程度的协调,攻击者很有可能利用了现有代理僵尸网络,并且很可能是通过付费获得使用此类网络的权限。
Meris 僵尸网络
由于在攻击源中发现了许多 MikroTik 设备,有一种假设是,这次攻击很可能由基于 MikroTik 的 Meris 僵尸网络支持。这不失为一种可能性,但很难根据攻击期间搜集到的信息确定这一说法是否属实。此外,非 MikroTik 攻击源似乎使用了代理服务,在攻击活动的展开过程中,其保护自身安全的方式与我们以往观察到的 Meris 运营者所用方式相似。
Meris 以往一直与创下惊人纪录的 DDoS 攻击能力有关。以往的攻击曾利用 HTTP 管道和更复杂的技术,达到 2 Tbps 以上的泛洪流量,每秒请求数高达 2 mRps 以上。相比之下,这次攻击活动的峰值约为 15 kRps(相当于报告的峰值 rps 的 0.6% 左右),而且复杂度似乎很低。
但这不能改变一个事实:许多攻击源是为攻击流量提供代理的 MikroTik 设备,而要通过这种方式利用它们,就必须事先知道适用于代理服务的用户名和密码。可能的原因是,Meris 僵尸网络目前可以付费使用;这并不是第一个在地下市场中销售的恶意代理网络。这也有可能是一种“自带僵尸网络”交易。如果是这样,我们目前看到的攻击可能由 Meris 提供支持,但攻击发起者使用的是某种复杂性不高或者范围不打的工具。
REvil 的典型攻击手法
为了讨论究竟是 REvil 死灰复燃,还是有人效尤,我们必须要研究已知的 REvil 运作方式,并比较这两种情况。
REvil 以往一直作为 RaaS 组织的形式运作,出租攻击包工具包和专业技术,以供他人对各种目标企业实施成功的勒索软件攻击。这与我们在 上一篇博客中详细讨论过的勒索软件集团 Conti 极为相似。
此次攻击似乎是该组织的一次“全新”类型的行动。尽管 REvil 有利用 DDoS 作为三重勒索方法的 先例 ,但这次攻击的手法与其常规手段不同。REvil 集团属于 RaaS 提供者,但此次攻击事件中没有出现勒索软件。通常情况下,他们会入侵目标网络或企业,加密或窃取敏感数据,并要求攻击目标支付赎金以解密数据,或者避免其将信息泄露给出价最高者;或是以公开披露敏感信息或能够造成损害的信息相要挟。
此外,此次攻击似乎存在政治动机,与近期有关目标公司业务模式的一项司法裁定有关。过去,REvil 曾公开宣称其单纯追求利益:其攻击升级的性质包括破坏数据,或按照威胁公开可能给企业造成损失的敏感信息,借此要挟攻击目标遵照其要求行事并付款。在以往报告的其他任何攻击中,我们均未看到过 REvil 与政治活动有关。
此次攻击有可能是 REvil 在尝试能否将 DDoS 勒索作为一种有利可图的业务模式,但我们认为更有可能的是,他人在重复利用与先前的 DDoS 勒索攻击活动相关的恐吓手段,发起新一轮的攻击活动。恐吓手段是 DDoS 勒索的重要元素,而要让业内企业高管和安全团队心生恐惧并乖乖付钱,还有什么方法比打着著名攻击组织的旗号发出威胁效果更好呢,从 DD4BC 、 Fancy Lazarus 到现在的 REvil 都不乏效尤者。
结论
如果一个威胁组织改变了攻击手法,原因可能是其改用了一种新的业务模式、技能组合发生了巨大的变化、组织内部发生分歧,也可能是与其无关的效尤者尝试打着该组织的名号,以便更容易地从短视且冲动的受害者处获利。此次攻击事件究竟是何种情况,目前还不甚明朗,但我们希望帮助其他有可能成为此类攻击手法和攻击活动受害者的企业加强认知,尤其是考虑到“REvil 或已死灰复燃”已成为过去一个月中的大新闻。
Akamai SIRT 致力于跟踪、检测、记录和发布全新发现,以保护 Akamai、Akamai 客户以及整个互联网的安全性和稳定性。我们将继续监测这些攻击,并相应地更新本博客。
