黑客落网

今年8月份，中新网发布了一则关于无锡公安人员抓获一名涉嫌DDoS攻击某公司网站的黑客的新闻。

图1 无锡公安侦破黑客攻击案件

相信这条低调的新闻并没有引起太多人的注意。

11月4日，无锡警方发布公告，事发的案件详情也随之浮出水面。

2015年7月中旬，因黑客攻击，无锡市惠山区某影视传播有限公司某游戏平台服务器堵塞，引发大量用户投诉。随之一黑客与该公司客服人员联系，以停止攻击为由向该公司实施敲诈，按月收取保护费1888元。该公司立即向当地警方报案。接警后，惠山分局高度重视，迅速成立专案小组，开展案件侦查工作。阿里云安全团队积极配合无锡警方专案组分析和提取了相关材料。犯罪嫌疑人很快落网。

经审问，蒋某供认了使用黑客网络攻击技术攻击他人游戏平台并进行敲诈的犯罪事实。目前，蒋某已因涉嫌破坏计算机信息系统罪被江苏无锡市惠山区人民检察院批准逮捕。

“根据《中华人民共和国刑法》第二百八十六条规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。”

溯源取证

从警方专案组办案过程中，阿里云安全团队协助警方固定了黑客攻击证据，获取了嫌疑人的相关线索。警方据此将蒋某锁定并最终抓获。

当前阿里云用户每天遭受的DDoS攻击超过1000次。为了保护阿里云用户的网络安全，云盾系统会对针对阿里云用户的DDoS攻击行为保留证据。这些证据可以作为警方立案调查时的有力数据。

攻击分析

经过云盾团队对攻击数据的分析和溯源，我们发现此次攻击者使用的是BillGates木马程序。

根据《2015年第三季度云盾互联网DDoS状态和趋势报告》，BillGates攻击程序作为目前国内最流行的分布式拒绝服务攻击（DDoS）软件之一，被攻击者广泛使用，在DDoS攻击程序中占比高达32.33%。

图2 BillGates攻击程序比例最大

攻击者普遍利用网络上某些服务器存在SSH、TELNET、MySQL、SQL Server弱密码等疏漏，或是利用破壳漏洞，使用工具进行批量扫描并植入BillGates恶意程序。被植入到服务器的恶意程序会从攻击者的中控服务器接收攻击指令，并针对特定的目标发起指令类型的分布式拒绝服务攻击（DDoS）。

BillGates的攻击模式主要有：

• TCP-SYN Flood
• UDP Flood
• DNS Flood
• ICMP Flood
• DNS放大攻击
• CC攻击

  BillGates攻击程序采用C/C++语言编写，因相关的程序中分别包含”Bill”和”Gates”而得名。相比其他类型DDoS程序攻击模式，BillGates具备内核模式，使用pktgen，在内核中生成攻击数据包，进而可以避免被传播的抓包或嗅探工具捕获到。

图3 BillGates攻击程序

最后，BillGates之所以如此被攻击者广泛采用，我们认为原因如下：

1） 具有完备的Windows和Linux两个版本，方便攻击者根据肉鸡服务器的操作系统类型植入对应平台的程序；

2） 稳定成熟，操作简单，支持集群，功能齐全，攻击者可以选取TCP-SYN Flood、UDP Flood、CC攻击、DNS放大等多种攻击方式对目标发起攻击。