FBI 追踪 DDoS 网络攻击者

在 Black Hat 的一次采访中，FBI 解释了他们如何瞄准并摧毁 DDoS 雇佣网站

2016 年，黑客使用受感染的互联网连接设备网络（易受攻击的安全摄像头和路由器）使一些当时最大的互联网网站离线数小时。Twitter、Reddit、GitHub 和 Spotify当天都间歇性瘫痪，成为当时历史上最大的分布式拒绝服务攻击之一的受害者。

DDoS 是一种网络攻击形式，不良行为者会用恶意流量淹没网站，目的是使网站离线。DDoS 攻击在 2016 年之前就已存在多年，但这一事件导致如此多的主要服务瘫痪，这一事实引起了对网络安全不太了解的人们的注意。

从那时起，再没有任何 DDoS 攻击如此具有新闻价值，但问题并没有消失。2022 年 12 月 15 日，圣诞节前夕（历来是发起 DDoS 攻击的热门时间），FBI 宣布关闭了数十个销售引导程序或压力程序（本质上是 DDoS 出租服务）的网站。这些服务相对便宜，允许黑客技能较低或没有黑客技能的人进行 DDoS 攻击。

同一天，联邦政府还宣布逮捕了七名涉嫌经营这些服务的人员。然后，联邦调查局 (FBI)在 5 月份针对这些服务并取缔了更多启动站点。

最近的所有这些行动，以及对 Mirai（2016 年臭名昭著的攻击中使用的恶意软件）的调查，都是由位于安克雷奇的 FBI 办公室领导的。

周三，领导这些调查的联邦调查局特工之一埃利奥特·彼得森 (Elliott Peterson)在拉斯维加斯举行的黑帽网络安全会议上发表了讲话。彼得森与专门研究网络犯罪的检察官卡梅伦·施罗德 (Cameron Schroeder ) 讨论了导致圣诞节和五月下架的调查背后的工作。

施罗德还透露，是彼得森本人创建了取代被查封网站的醒目页面。

Peterson 十年来一直专注于 DDoS 攻击，他于周四接受 TechCrunch 采访，谈论了他的工作，即追踪这些 DDoS 服务背后的人，并确定要删除哪些服务。他解释了执法部门进行这些调查的目标是什么、这些年来 DDoS 攻击发生了怎样的变化、幕后黑手是谁、

为了简洁和清晰起见，以下文字记录已被编辑。

TechCrunch：您调查 DDoS 攻击多久了？随着时间的推移，DDoS 攻击发生了怎样的变化？

所以可能是九年或十年。而且变化很大。当我开始研究这个问题时，我们真正考虑的是顶级引导者或压力者服务，这是很多市场和很多客户群所在的地方。然后，在对引导者和压力者进行调查的过程中，我们被卷入了僵尸网络世界。因此，这确实是一种在我们认为 DDoS 领域最具威胁的部分之间来回摇摆的情况，然后我们将尝试解决这个问题。然后犯罪分子会对我们的行为和改变做出反应，我们必须重新学习，这种持续的过程持续了大约九到十年。

过去10年你看到的最大变化是什么？

我认为在很多方面只是扩大我们拥有的合作伙伴。当我们刚开始时，我们试图与理解并专注于 DDoS 的人合作，而这只是安全社区的一小部分。我觉得多年来，我们在私营部门、学术界和执法部门有了更多的合作伙伴，我们有很多人对这个问题真正感兴趣。

也许这有点媒体偏见，但我觉得有时会有一种感觉，DDoS 是一个无聊的问题，或者是一个已经解决的问题？

哦，不，不，你一点都没有错。我们一直在对抗它。在某些方面它是真实的。从某些方面来说，这显然是不正确的。但如果你看看某些 DDoS 攻击的短暂性、临时性，就会发现，攻击发生时就是一个问题，攻击停止时可能也是一个问题。

“一般来说，如果你的规模足够大，能够出现在新闻中，你就会开始受到我们的关注。”埃利奥特·彼得森，联邦调查局

如果有人只是想暂时破坏一个网站或一个人，那么在此期间会出现一点问题或很多问题，然后他们可能会忘记或继续前进。现在，达到一定规模或数量的 DDoS 是一个完全不同的问题。因此，许多认为 DDoS 不是问题的人在网站持续瘫痪或者威胁如此之大而没有缓解途径时却哭喊着求救。

我认为联邦调查局安克雷奇一直在做的事情的独特之处在于，我们在整个时期都非常关注这种犯罪类型。当它确实成为一个真正持续存在的问题时，它使我们能够更快地做出反应。但从数量来看，从攻击频率来看，这是最大的网络犯罪问题之一。

就经济损失而言，其规模有多大？

这更难确定。您可能会遇到敲诈勒索或受害者可能支付一定金额的案件。但DDoS有很多间接成本。如果我不断受到 DDoS 攻击，许多受害者可以在攻击者的力量之外付出代价，但这会逐渐增加他们的带宽成本。我认为这对我们来说真的很难捕捉到。但如果你只看一些专门从事 DDoS 缓解的公司的规模，例如，你会发现这些公司非常大，这就是他们的商业模式。所以，我不想给它贴上价格标签。

是的，Cloudflare 是一家大公司……

Akamai 如此，Fastly 亦如此。这样的事有很多。每个 ISP 都会有一些计划，某些客户会被强制执行，因为这可能是远离某些 DDoS 服务的方法。我们认为这是增加互联网上每个人的费用的原因之一，但很难确切知道增加了多少。

那么你如何选择去追求谁呢？这是一个大问题，你如何选择你的战斗？

我认为最令人兴奋的事情之一是我们有选择的能力，我们可以审视它并思考它。一般来说，我们会优先考虑顶级服务。那么，谁发起的攻击最多？谁呆的时间最长？谁的客户最多？谁有能力对引导程序压力服务进行最大规模的攻击？

例如，当我们提出关于如何关注僵尸网络的问题时？这是类似的方法。但一般来说，如果您的规模足够大，可以出现在新闻中，那么您就会开始受到我们的关注。然后我们可能会停下来专注于类似的事情。

就像几年前的Mirai一样。

是的，那是联邦调查局安克雷奇案件。这是一个很好的例子，每个人都说：“DDoS 并不重要。” 然后你终于拥有了像 Mirai 这样的僵尸网络，并且在一段时间内 DDoS 确实很重要。这实际上是我们在安克雷奇从头到尾工作的一个案例，基本上使用了我们学到的有关 booterstresser 服务的所有内容，并转向和处理 Mirai，然后回来处理 booterstresser 服务。

Mirai 非常庞大，我记得有一天网络瘫痪了几个小时，现在想起来都觉得很疯狂。目标是什么？明明是抓罪犯，但这就是威慑吗？是否可以接触到低级别的犯罪分子，以便您可以寻求更大的服务？到底是怎么想的？

我认为，从大局来看，我们的想法是，在尝试减少这些服务的威胁时，我们可以学到什么，并将其应用于其他犯罪类型？在打击这些 DDoS 服务时，我们可以学到什么，既可以使互联网更安全，又可以应用于勒索软件、远程访问木马或其他类型的互联网工具？总的来说，这就是卡梅伦[施罗德]和我试图讨论的内容。但我们认为这是一个人们只在一点点时间关注的问题，我们认为通过一直关注它我们取得了很大的成功。

威慑效果如何？Schroeder 表示，在一次大规模操作之后，DDoS 活动在某个时候下降了 20%。你能多谈谈吗？

我们赋予数字价值。但因为我们可以测量 DDoS，并且因为我们可以准确地查看 DDoS 的位置并跟踪轨迹，所以我们估计，我们上次的操作可能会导致每日攻击量持续净减少 20%。我们见过的其他行动比这少或多。

这次的优点是至少看起来它是持续的。也许部分客户群可能会转移。这确实是我们的目标：教育人们这是犯罪行为，追究人们的责任，并努力避免让年轻男性和一些年轻女性在成长过程中习惯于使用这些工具。因为当你能够获得每月 20 美元就能获得的火力时——顺便说一句，如果你想要那种带宽，在家里你每月需要支付 250-350 美元或更多——我们看到人们已经习惯了这种服务，所以他们只是继续使用这些服务。我们真的很想向人们解释这是犯罪行为，他们不应该这样做，这样我们就可以专注于其他犯罪问题。

你说最后下降了20%。那是三月行动还是圣诞节行动？

那是圣诞节和三月。圣诞节后出现了一系列的操作。我们发现攻击量总体减少了约 20%。但我们希望尽快获得更好的数据，因为其中一些大学正在研究这一点。

追捕引导者是否也试图瓦解他们背后的僵尸网络？

对我来说，它们在功能上是非常不同的，除了我们有将自己绑定到僵尸网络或添加僵尸网络功能的启动服务。但是，如果我们将僵尸网络受害者设备视为僵尸网络受害者设备，那么这些设备通常会进行所谓的第7 层或基于 TCP 的攻击，并且它们可能非常强大，因为您可以使构成僵尸网络的受感染受害者本质上与预期目标进行交互。受害者。而大多数时候，引导程序都会进行这些巧妙的攻击，放大数据。但归根结底，这都是未请求的 UDP。这只是纯粹的带宽，它可以被过滤，它可以被丢弃。

一般来说，僵尸网络更具挑战性。我们将它们视为不同的威胁。但我们知道它们存在于同一个犯罪经济中。不同之处在于僵尸网络往往要昂贵得多。有些人有更大的犯罪经济目标，他们经常使用僵尸网络，或者你有其他情况，引导服务往往便宜得多并且有不同的客户。

我想可以公平地说，也许僵尸网络不适合那些想要破坏游戏的孩子？

它们可以，但一般来说，僵尸网络是您用来破坏整个游戏服务的东西，因为机器人的数量以及这些机器人的峰值可用容量并不总是大于您在僵尸网络中看到的情况。引导程序，但通常是这样。用例变得有点不同。我们经常看到僵尸网络成功的地方是它们可能会摧毁整个游戏服务，而不仅仅是将某人踢出游戏。

现在我们正在谈论它，我记得几年前，当整个 PlayStation Network 瘫痪时，那是圣诞节或圣诞节后的第二天。

“我们的希望不是逮捕所有人，我们的希望是逮捕问题最严重的人，并让其他人相信这不是一条好路。”埃利奥特·彼得森，联邦调查局

那就是星际巡逻队，还有一些其他的名字，比如蜥蜴小队。那是在 Mirai 起飞之前。

一个非常有趣且很长的故事（我们没有时间讲）是，Mirai 的开发部分是由竞争驱动的，因为发动圣诞节攻击的组织拥有一个非常有效的[物联网]僵尸网络。

他们都意识到了同样的漏洞。无论谁控制了该漏洞，谁就控制了数十万台设备。他们实际上是在互相争斗，看看谁能够控制所有这些设备。这实际上是推动 Mirai 如此有效的许多进步的原因。

有时，您会在 DDoS 攻击更为普遍的时间安排您的操作时间，例如 2022 年的圣诞节。这样做的动机是什么？

正是你所描述的。由于多种原因，圣诞节是最繁忙的 DDoS 时期，这是历史趋势。我们已经开始尝试使操作时间一致；在我们 12 月份的打击活动所造成的真空中，DDoS 攻击变得更加困难，因为没有被捕的运营商将不得不返回并重新设置他们的东西。每个人通常都会对下一只鞋子会掉下来的东西感到有点惊慌。这就是我们安排时间的原因。在某些方面，我们正在与最激烈的 DDoS 时期进行竞争。我们可以选择不同的时间，也许会看到更多的减少，但这就是原因。圣诞节前后，银行和其他行业可能会变得非常紧张。这稍微改变了这种情况。

这是否也向犯罪分子本身发出了信息？

理想情况下，我们要做的就是发出广泛的威慑信息。我们的希望不是逮捕所有人，我们的希望是逮捕最有问题的人，并让其他人相信这不是一条好路。

谈到网络犯罪分子，您昨天说对他们存在一些错误的假设，无论是在谁使用这些服务还是谁运行这些服务方面？

是的，DDoS 对我来说具有非常独特的网络犯罪特征。一般来说，您会在北美或西欧派驻人员。他们通常会在游戏中进行交流，他们通常是年轻的成年男性，他们可能会从事其他类型的网络犯罪，但通常 DDoS 可能是最流行的类型之一。他们通常在某种程度上与游戏相邻，他们每年的收入通常为 30,000 美元至 50,000 美元到 100,000 美元，具体取决于他们的服务规模。他们通常在 16 岁到 19 岁之间开始工作，当他们成为顶级服务人员时（我们追上了他们），从个人资料来看，他们通常在 19 岁到 25 岁之间。

对于那个年纪来说，这钱不差。

这就是问题所在，对吧？这就是我们一直试图弄清楚的，犯罪类型的经济驱动力在哪里，它使得人们更难离开该服务。

它们有多复杂？因为你表明他们犯了一些非常严重的 OPSEC 错误。

我想说的是，由于犯罪类型以及他们的客户是谁，我想说他们通常不像您认为的一些更传统的网络参与者那么复杂。但这并不完全公平，因为提供服务的犯罪分子往往比使用服务的犯罪分子更加老练。如果我观察运营 DDoS 服务的人，他们通常在技术上比他们的客户复杂得多。

但他们可能并不落后于制造远程访问木马或做其他事情的人，因为总的来说，他们使用的工具已经放在网上。因此，他们往往需要一点网络开发和大量的客户服务经验才能取得成功。如果这些人想赚钱，就必须愿意与客户进行很多来回的交流。

FBI 在拉斯维加斯举行的黑帽网络安全会议上讨论 DDoS 出租网站。图片来源：  FBI（提供）

您昨天提到有些人甚至不使用 VPN。您能多谈谈吗？

很多人不使用 VPN。我认为，在网络犯罪领域，所有这些参与者都在使用 VPN 确实是一种误解。幸运的是，即使他们使用 VPN，许多参与者仍然不了解我们经常必须通过 VPN 的方式。

在引导程序领域，对我来说，VPN 的使用情况可能比较罕见。但这对于人们认为自己不会被抓获的其他犯罪类型来说并非不正确。因为犯罪分子正在使用这种犯罪服务，并且他被告知犯罪分子没有保存任何日志，所以他不一定觉得需要使用 VPN，因为他可能会尝试从银行或其他地方套现凭据。

我认为其中一些是，他们存在于一个他们认为已经得到一些保护的地方。

因此，一旦您确定了要追捕的人，您要寻找的证据是什么，以及如何收集这些证据？

这取决于我们是在寻找客户还是在寻找运营商。对于运营商来说，正如我们在演示中所阐述的那样，我们想要确定的是他们的服务是否有效，因为我们希望将时间集中在那些真正促进 DDoS 的人们身上？如果他们的服务有效，那么我们将询问是谁启动了该服务，一旦我们开始确定这一点，我们通常会询问有关他们的通信帐户的问题。他们在使用什么？他们如何沟通？大多数时候，我们需要花几个月的时间才能知道我们认为某人的位置，然后我们去请求法官许可，基本上去他们那里取证，并采访他们。这开始了这个过程，我将收集所有积累的证据，

所以这是站在人民一边的。您什么时候决定扣押并关闭服务？那么你为什么决定这样做呢？

这个案例的有趣之处在于，我们试图同时做很多事情，我们会将事情分批处理。就像我的调查一样，我可能会批量询问一些演员的问题，但显然我通常不能在同一天拜访所有人。我们可能会将所有搜索分散在一两个月的时间内。但我们通常会选择一个日期，不仅是和我们自己，还有我们的合作伙伴。

有时你达不到那个日期。这就是这个领域真正复杂的地方。要让这么多事情同时发生，就像我们已经能够做到的那样，我们必须经常在几个月后承诺约会，每个人都会扮演不同的角色，这增加了很大的压力。我们通常在该日期之前做好的一件事是我们已经准备好，我们知道我们想要向谁收费。但拿走服务的机制确实很复杂。有人可能会在我们这样做之前一周更换主办方，或者其他事情可能会改变我们正在争先恐后的情况。

私营部门在抵御 DDoS 攻击方面发挥什么作用？

从很多方面来说，他们都是前线人员。他们是真正专注于此的托管公司或 DDoS 防御公司。他们做了令人难以置信的工作，确保我们了解跟上这一趋势所需的科学和技术。

如果有新的攻击技术或新服务，我们通常首先会听到它们。他们为我们提供做出更好决策所需的信息，这就是我们由他们担任的大部分角色。他们通过向我们提供他们认为有效或无效的反馈来帮助我们制定策略。这不一定是一个关于要追求哪种服务的问题，或者我们应该在采访中对这些演员说些什么的问题，而更像是：我们应该在圣诞节这样做吗？我们应该优先考虑哪些协议来测试这些服务？我们怎样才能测试这些服务而不造成太大的伤害？

那么这真的像一项团队运动吗？

非常喜欢，是的。

您会向 DDoS 受害者发送什么信息？

让我们知道。我们在安克雷奇为 DDoS 受害者提供了大量咨询，尤其是遭受攻击的大型平台。

有办法举报的。我们不一定要做技术修复，但我们会尽力帮助受害者了解这是短期攻击吗？这是长期攻击吗？您了解攻击者的动机吗？因为如果您知道攻击者的动机是什么，并且知道他们如何攻击您，我们还可以帮助他们了解攻击者可能为此付出了多少代价。这可能很重要，因为攻击者对某项业务非常愤怒，以至于他们可以花费数千美元，这使他们处于与在启动服务上使用廉价计划的攻击者完全不同的风险类别。

我们鼓励受害者向我们伸出援手。如果他们是 DDoS 攻击的受害者，如果他们损失了钱。如果发生大量攻击，我们很想了解并与他们交谈。

你昨天说你还没有让黑客的生活变得足够艰难。未来正在做什么或将要做什么不同的事情？

我们的希望是继续学习如何进行更有效的运营，这可能意味着更大、更动人的作品和更多的合作伙伴。我们的下一阶段是认真审视其中一些客户，他们可能认为我们没有我们所拥有的数据，并转向包括更多客户，并基本上让他们对自己的攻击负责。

最后，您能告诉我您为扣押通知制作徽标的经历吗？

我们从一些合作伙伴那里得到了反馈，特别是国际执法部门，他们在这些取缔和扣押方面拥有丰富的经验。所以他们说，“嘿，我们正在做这些非常平滑的蓝色癫痫页面。” 就像，‘不，它必须是红色的，你必须发自内心地向他们传达停止的想法。’ 这看起来很简单，但是如何获得每个人都同意的背景，其徽标在哪里，有多大，以及所有这些您不希望必须处理的有趣的事情，而我们被要求做？因为我们并没有真正的图形支持部门来帮助我们完成很多工作。

你把圣诞帽放在标志上了吗？

不，研究人员就是这样做的。老实说，我输掉了一场战斗。下次我尝试使用它作为我们的官方徽标，但我被告知不能，因为我认为这确实是一个有趣的手势。

这篇好文章是转载于：学新通技术网