点击上方蓝色文字关注我们

今日全球网安资讯摘要

特别关注

中情局“史上最大数据泄密案”内情曝光

全球高级持续性威胁 (APT) 2023年度报告

如何通过 5 个步骤阻止 DDoS 攻击

‍‍

特别关注

中情局“史上最大数据泄密案”内情曝光

标签：数据泄露

美国纽约市曼哈顿区一家联邦法院2月1日宣布对中央情报局前软件工程师乔舒亚·舒尔特的量刑决定。他因向维基揭秘网站泄露媒体口中“最有价值”的中情局黑客工具等罪行，被判处40年监禁。这起案件号称中情局历史上最大的泄密事件。

内情曝光

舒尔特现年35岁，2012年至2016年供职于中情局网络情报中心，该中心主要负责对外国政府和恐怖组织发动网络攻击。舒尔特不仅研发软件，还一度负责管理开发黑客工具的计算机程序套件和服务器。

美国司法部文件显示，舒尔特2016年因与同事关系不和在中情局内部调动工作，相应管理权限也被撤销。但他在权限被撤销前，偷偷创建其中一个服务器的管理员会话。2016年4月20日，舒尔特利用这一秘密身份在中情局内部网络进行一系列操作，恢复他被撤销的管理权限，侵入备份系统，从黑客工具库拷贝文件，而后删除日志文件，将系统恢复到他窃密前的状态。

舒尔特随后在家中使用个人电脑，借助匿名化工具将偷窃到的中情局机密文件传送给维基揭秘网站。传输完成后，他将电脑硬盘格式化。

维基揭秘网2017年曝光这些机密文件，揭露中情局如何侵入海外用户的苹果和安卓智能手机系统，或在网络电视机植入窃听程序，以刺探外国情报。维基揭秘把这些文件命名为“宝库7号”和“宝库8号”。这些黑客工具库据信结合多种计算机病毒、恶意软件、木马程序等，用于侵入并破坏目标电脑和技术系统，是中情局操纵网络战的重要武器。

舒尔特很快被执法部门锁定为嫌疑人。他2018年被捕，受到间谍罪、妨碍公务罪、持有和传输儿童色情影像等多项罪名指控。法院2022年裁定，他所受间谍罪相关指控成立。他涉及的持有和传输儿童色情影像指控2023年被定罪。

损失巨大

曼哈顿联邦法院2月1日宣布的40年刑期中，6年多属于持有和传输儿童色情影像罪量刑，其余30多年为间谍罪和其他罪名刑期。

联邦地区法官杰西·弗曼在宣读判决结果时说：“我们可能永远不会得知（这次泄密事件造成的）损失程度，但毫无疑问损失是巨大的。”

联邦助理检察官戴维·威廉姆·登顿寻求判处舒尔特终身监禁，称这是“美国历史上损失最严重的泄密事件”。

按照弗曼的说法，舒尔特泄密纯粹是为发泄私愤，他因对工作环境的投诉未受重视，对中情局充满怨恨，决定报复。舒尔特在押期间不思悔改，依然试图泄露更多机密材料，继续与美国政府进行“信息战”；他还在个人电脑上创建隐藏文档，继续观看儿童色情影像。

舒尔特在法庭上发言，称判决“不是政府寻求的公正，而是报复行为”。他说，检方曾在案件审判前向他提出一份认罪协议，以要求他放弃上诉为条件换取减刑至10年，他予以拒绝。

据法新社报道，这起泄密事件促使美国政府考虑对维基揭秘网采取严厉打击措施，时任中情局局长、后出任美国国务卿的迈克·蓬佩奥把维基揭秘网定性为“敌对情报机关”。维基揭秘网2010年公开大量美国秘密文件，涉及阿富汗战争、伊拉克战争内幕，引发轰动，惹恼美国政府。后来，美国政府对网站创始人朱利安·阿桑奇提起间谍罪诉讼，后者辗转躲避美国通缉，眼下在英国身陷囹圄。

英国政府2022年6月批准英方向美国引渡阿桑奇，维基揭秘网方面已经上诉。阿桑奇如果被引渡到美国，可能面临最高175年监禁。

信源：https://www.secrss.com/articles/63515

安全资讯

全球高级持续性威胁 (APT) 2023年度报告

标签：全球高级持续性威胁、APT、威胁雷达、0day、iOS、地缘政治

近日，奇安信威胁情报中心发布《全球高级持续性威胁（APT）2023年度报告》，该报告通过分析奇安信威胁雷达对 2023 年境内的 APT 攻击活动的全方位遥感测绘数据，展示了我国境内 APT 攻击活动及高级持续性威胁发展趋势，并结合开源情报分析了全球范围内高级持续性威胁发展变化及特点，发现同2022年一样，政府部门、国防军事仍是2023年全球APT攻击活动的重灾区。此外，科研教育、信息技术也是2023年APT威胁的主要行业目标。

涉及我国政府机构、科研教育、信息技术、金融商贸、能源行业的高级威胁事件占主要部分，其次为国防军事、新闻媒体、医疗卫生等领域。根据观察，针对中国的攻击组织有的继续沿用以往的攻击模式，而有的攻击手法特点则呈现出一定的变化，但总体来看，鱼叉邮件仍是主要的初始入侵手段，个别APT组织还会通过社工、Web层面的0day/Nday漏洞作为攻击入口。

漏洞利用方面，以浏览器为攻击向量依然是主趋势流，大量以移动端为目标的攻击成为今年APT的首选，网络军火商在其中的参与度愈加提高，这也导致移动端漏洞的地下交易市场价格飙升。攻防两端的角力进入白热化，严重1day漏洞的在野攻击投放速度加快，攻击者能以更快的速度利用最新的漏洞发起攻击。

按照以往惯例，本报告还从地域空间的角度详细介绍了各地区的活跃 APT 组织及热点 APT 攻击事件。

信源：http://ti.qianxin.com/uploads/2024/02/02/dcc93e586f9028c68e7ab34c3326ff31.pdf

如何通过 5 个步骤阻止 DDoS 攻击

标签：DDOS攻击

有效阻止恶意流量的有用提示。

任何网站管理员都努力在流量激增期间保持其网站正常运行。但您如何确定这些流量峰值是合法的？更重要的是，如果情况并非如此，我们应该如何应对？

不幸的是，现实情况是 DDoS 攻击可能对大型和小型网站构成威胁。在本文中，我们将介绍有关如何阻止 DDoS 攻击并防止其将来发生的一些重要基础知识。

什么是分布式拒绝服务？

分布式拒绝服务 (DDoS) 攻击是一种网络攻击，其中特定服务器、服务或网络的正常流量被 Internet 流量中断。这种攻击通常使用多台受感染的计算机或网络资源（包括物联网 (IoT) 设备）发起。

用最简单的术语来说，DDoS 攻击可以比作高速公路上的巨大交通堵塞，阻止普通通勤者（在本例中为网站访问者）到达他们想要的目的地。

DDoS 攻击有哪些类型？

DDoS 攻击有多种不同类型。所有这些都通过向服务器发送虚假请求或超出服务器处理能力的流量来阻止合法用户访问网站。

以下是一些最常见的 DDoS 攻击类型。

容量 DDoS 攻击

此类攻击被认为是 DDoS 中最常见的攻击。他们的目标是使网站带宽过载或导致 CPU 使用问题，从而大幅减少每秒 I/O 操作的数量。如果攻击者能够使目标设备过载，则攻击成功。

容量 DDoS 攻击的一些示例包括：

• UDP flood：是一种攻击者向目标服务器上的随机端口发送大量UDP数据包的攻击。由于 UDP 是无连接的，因此服务器尝试响应每个请求，通常使用端口不可达消息。这会使网络资源过载并可能导致拒绝服务。

• ICMP flood：攻击者向目标机器发送大量ICMP报文（例如ping命令使用的Echo Request报文）的攻击。这里的目标是使目标设备的网络和处理器资源超载，迫使其响应每个请求。

• Ping flood：这是一种 ICMP 洪水，攻击者向目标系统发送批量 ping 请求。如果系统配置为响应每个此类请求，则可能会很快耗尽其网络和计算资源。

基于协议的 DDoS 攻击

基于协议的DDoS攻击的目的是利用三层、四层协议栈的弱点，攻击服务器或网络设备资源，导致服务失败。

如果攻击者占用的带宽超过网络端口可以处理的带宽，或者超过服务器可以处理的数据包，则攻击成功。

基于协议的 DDoS 攻击的一些示例包括：

• Ping of death：此类攻击涉及发送特制的 ping 数据包，该数据包大于允许的最大 IP 数据包大小（65,535 字节）。此类数据包可能会导致缓冲区溢出或其他系统故障，从而导致系统不稳定或崩溃。

• SYN flood：在该攻击中，攻击者向目标服务器发送大量SYN数据包（建立TCP连接的初始阶段），而没有完成连接建立过程。这会耗尽可用于新连接的服务器资源池，从而无法处理合法的连接请求。

应用层DDoS攻击

应用程序级攻击的目标是攻击集中在 Web 应用程序级的 CPU、内存或资源，包括影响 Web 服务器、运行 PHP 脚本或访问数据库以仅加载一个网页。

应用程序级 DDoS 攻击的一些示例包括：

• 针对 DNS 服务器的攻击：此类 DDoS 攻击的目的是通过大量请求使域名系统 (DNS) 服务器过载。这会导致服务器无法处理合法请求，从而无法访问其 DNS 记录由受攻击服务器维护的网站和在线服务。

• 缓存绕过：攻击者尝试以无法使用缓存处理的方式发送请求。这些可能是需要服务器处理的独特请求，例如具有独特查询字符串或标头的请求。此类攻击会增加服务器的负载，因为它无法使用缓存的响应，并且必须单独处理每个请求。

• HTTP flood：在这里，攻击者会生成大量 HTTP 请求，以使 Web 服务器或其背后的应用程序过载。与针对网络基础设施的低级攻击不同，HTTP 泛洪针对的是应用程序，迫使服务器浪费资源来处理每个请求。这些攻击可以伪装成合法流量，使其难以检测和阻止。

DDoS 的影响和后果

如果未能做好应对 DDoS 攻击的准备，最好的情况是导致无限期的流量损失，最坏的情况是导致声誉和销售损失。此类后果可能会对公司的业务产生最大的影响。

以下是有关 DDoS 攻击的一些需要了解的事项，突出了其影响：

• 对于犯罪分子/攻击者来说，购买为期一周的 DDoS 攻击的容量仅需 150 美元；

• 一次小型的有针对性的 DDoS 攻击可能会让攻击者损失低至 10 美元；

• 全球每天发生超过2000起DDoS攻击；

• 成功的 DDoS 攻击可能会给受害公司带来巨大的经济损失。

如何检查 DDoS 攻击

定期监控网站的流量峰值以快速发现任何明显的异常情况非常重要。

正如我们之前讨论过的，最常见的 DDoS 攻击被认为是使用大量流量的容量攻击，但并非所有 DDoS 攻击都是容量攻击。

流量急剧增加直接表明存在潜在的 DDoS 攻击。需要提前设置并定期检查用于监控网站活动的工具，以便有一天您发现您的网站已关闭数小时或数天时不会感到惊讶。此类工具的优点是，它们可以在显着超过峰值请求阈值的情况下设置警报。

以下一些指标也可能表明该网站可能存在恶意活动：

• 一天中请求激增的时间；

• 这些请求的发起地点；

• 它们发生的时间。

您预计凌晨 2 点您网站的访问量是否会激增？您是否期待来自其他国家的游客涌入？或者，您可能正在销售一些季节性商品，例如新年烟花 – 那么冬季活动的急剧增加将是合理的。

一般来说，你首先需要仔细思考一下请求数量增加的可能原因，如果肯定没有这样的原因，你就可以仔细考虑是否要拦截这个可疑流量。

Googlebot 可能会频繁重复向您的网站发出请求，乍一看这似乎很可疑。然而，Googlebot 和其他搜索引擎抓取工具都以这种方式工作，以确保网站在搜索结果中正确排名。相应地，此类流量也需要用专门的分析工具来衡量，不要与恶意流量混淆，更不能在任何情况下进行拦截。

如何正确抵御DDoS攻击？

乍一看，解决方案很明显 – 阻止他们的来源！然而，即使在这里，也有几个关键点最好检查一下，以免意外把事情搞砸。

• 安全系统清单。提前制定需要在网络基础设施中实施的资产和工具的全面列表，以确保正确检测和防止 DDoS 攻击。

• 制定明确的应对计划。提前定义安全团队关键成员的职责，以确保对攻击进行有组织的响应。

• 确定替代方法或解决方案。确保您的团队成员确切知道如果攻击超出合理限制且无法使用标准方法处理，应联系谁。

• 报告预计停机时间。如果您有经常使用您网站的客户，您应该提前关注紧急通知他们网站暂时不可用或性能下降的问题。

如何阻止 DDoS 攻击

接下来，我们将了解在 DDoS 攻击影响您的网站及其流量之前帮助阻止它的具体步骤。

1. 识别 DDoS 攻击

及早检测 DDoS 攻击可显着减少网站的影响和停机时间。如果您使用自己的 Web 服务器，请确保您有适当的服务来帮助您及时检测 DDoS 攻击。

2. 保持足够的带宽和资源

您的网络服务器应该已经配置为能够处理流量的意外增加，特别是当您不时投放广告、活动或特别优惠时。这些额外的资源可以让您在站点资源完全被淹没之前有几分钟的时间来响应 DDoS 攻击。

3. 保护您的网络边界

如果您拥有自己的 Web 服务器，则可以采取几个步骤来减轻 DDoS 攻击的影响。例如，您可以限制 Web 服务器随时间推移接受的请求数量、添加过滤器以丢弃数据包，或设置较低的 ICMP、SYN 和 UDP 泛洪级别。

4.使用Web应用程序防火墙

Web 应用程序防火墙 (WAF) 可以帮助抵御 DDoS 和 DoS 攻击、第 7 层威胁、恶意机器人，甚至可以及时修补已知的网站漏洞。WAF 本质上是位于网站与其接收的流量之间的一层保护。

有多种 WAF 解决方案可提供自动 DDoS 缓解，但确定哪种 WAF 最适合您的产品的最佳方法之一是分析保护的有效性、它是否符合您的预算以及您的团队是否可以正确配置它。

5.启用区域锁定

国家一级的封锁通常可以非常有效地降低风险。它还可以帮助执行某些旨在阻止黑客的组织策略。以下是一些需要注意的事项：

• 物理位置对计算机来说并不重要；它总是可以伪造的。反过来，网站防火墙只能看到 IP 地址，其位置由特殊的大型表确定，其中的数据可能会随着时间的推移而过时。

• 对于攻击者来说，绕过区域封锁系统非常容易。使用一种或另一种形式的匿名代理或在被阻止的国家/地区列表之外配置代理就足够了。

这并不意味着区域封锁无助于防止 DDoS 威胁，但重要的是要了解这不是万能药，您不应该为了想象中的安全而封锁来自除本国以外的任何国家的流量。

目前，大多数僵尸网络由数千个被黑客入侵的网站、受损的视频监控系统、受感染的计算机和其他物联网设备组成。这些攻击正在世界各地蔓延，全国范围内的封锁实际上可以阻止数千个盲目的机器人发送垃圾邮件。因此，这种方法绝对有它的优点。

结论

DDoS 攻击对网站和在线服务的所有者构成非常严重的威胁。虽然此类攻击无法完全避免，但可以通过一系列战略和技术措施有效遏制。

及早发现攻击、保持足够的带宽以及实施 Web 应用程序防火墙和区域阻止等保护系统，可以显着降低此类攻击的风险和影响。正确配置的监控系统和明确制定的事件响应计划将提供额外的保护，并有助于在发生攻击时保持业务连续性。

信源：http://www.anquanke.com/post/id/293121

原文始发于微信公众号（网络盾牌）：0205-中情局“史上最大数据泄密案”内情曝光-全球高级持续性威胁 (APT) 报告-5 个步骤阻止 DDoS 攻击