金融服務產業成為 Mirai「DNS 水刑攻擊」的目標！

金融服務產業成為 Mirai「DNS 水刑攻擊」的目標！

近年來的 WannaCry 攻擊引起了全球的恐慌，不過對比起勒索軟件，我們更需要注意駭客攻擊的趨勢，以便制定適當的策略進行應對。根據 Akamai Technologies 分佈的 2017 年第一季互聯網現況 – 安全報告顯示，相較於 2016 年第一季，網絡應用程式總攻擊數量的年度增長率為 35%。

從第一季的分析可見，針對互聯網和目標行業的風險依然存在，且愈趨嚴重。像 Mirai 這種殭屍網絡的使用案例不斷進化和變種，攻擊者開始利用物聯網的弱點開發 DDoS 殭屍網路和惡意軟件。不過，若然將 Mirai 視為唯一的威脅，目光未免太過短淺。

隨著原始碼公佈後，Mirai 的任何一部分都可能整合到其他殭屍網絡之中。即使沒有增添 Mirai 功能，也有證據顯示 BillGates、elknot 和 XOR 等各系列殭屍網絡均持續變種，為的就是在日新月異的環境中找到可利用的弱點。

Akamai 2017 年第一季《互聯網現況－安全報告》 的重點包括：

DDoS 攻擊

攻擊者針對 Akamai 在金融服務行業的客戶發動 Mirai DNS 水刑（Water Torture）攻擊，是一種包含於 Mirai 惡意軟件的 DNS 查詢洪水（query flood）攻擊。在攻擊期間，受影響的 DNS 伺服器大多在穩定的速率中收到查詢，唯一例外的是 2017 年 1 月 15 日觀測到的一項攻擊，在三個 DNS 伺服器當中，有一個收到 14 Mbps 的攻擊流量。攻擊者藉由隨機產生的大量網域名稱來佔用目標網域的資源，進而發動阻斷服務攻擊，造成網絡癱瘓。

在 DDoS 攻擊手法之中，仍然以反射型攻擊為最多，佔 2017 年第一季所有已抵禦攻擊中的 57%，其中以簡單服務發現協定（Simple Service Discovery Protocol；SSDP）反射器為最大攻擊來源。

網絡應用程式攻擊

美國仍然是網絡應用程式攻擊的第一大來源國家，攻擊數量的年度增長率仍舊相當顯著——較 2016 年第一季增加 57%；2017 年第一季針對網絡應用程式發動的前三大攻擊手法為 SQLi、LFI 與 XSS；2017 年第一季網絡應用程式攻擊的第二大來源國家為荷蘭，在前一季所佔比例從 17% 降為 13%，但仍然是攻擊流量的主要來源，並以僅 1700 萬的人口包辦極大比例的攻擊。

主要攻擊手法

UDP 分段式攻擊、DNS 及 NTP 仍是前三大 DDoS 攻擊手法，而保留通訊協定洪水（reserved protocol floods）與連線洪水（connection floods）亦在 2017 年第一季的攻擊手法名單之上；2017 年第一季的每週最常見攻擊手法為 ACK、CHARGEN 與 DNS。

另外專家亦發現一種新的反射型攻擊手法，稱為 CLDAP (非連線式輕量型目錄存取通訊協定)，據觀察，該手法可產生與 DNS 反射型攻擊相近的 DDoS 攻擊規模，其中大多數攻擊均超越 1 Gbps。