试探攻击流量解密！瘫痪台湾证券下单平台的DDoS攻击流量仅800Mbps

冒名Armada Collective的骇客骇客组织，在2月3日针对台湾多家券商发动DDoS攻击，经查证，这个模仿犯大部分的攻击手法和先前的手法类似，多数都是针对L3网络层，以大量的网络封包塞爆业者的网络带宽手法。和中国网军惯用的CC（Challenge Collapsar，挑战黑洞）攻击手法，利用许多免费代理服务器，匿名发动DDoS攻击的手法有极大的不同，尽管先前传这起攻击来自中国网军，资安专家研判，但这次对台湾证券业者的DDoS攻击，应该来自国际网络犯罪组织。

这个骇客组织为了取得受骇业者的信任，除了寄送勒索信件之外，也必须实际展现具有足够的攻击实力，受骇业者才可能支付赎金，因此，多数受骇券商都有遭受到至少15分钟的DDoS攻击，这些券商网络下单系统多数是暂时受到影响，通常只要请ISP业者启动DDoS流量清洗服务后，系统就可以恢复正常。

800Mbps的DDoS攻击流量就击垮台湾证券业者

在15分钟内就能瘫痪台湾券商下单平台的DDoS攻击流量大概有多大呢？据了解，先前发动的攻击流量只有800Mbps。或许因为只是宣示性质，所以骇客组织没有火力全开，但已让多数券商系统暂时性受到影响，资安专家表示，只有800Mbps的DDoS攻击流量，就可以暂时瘫痪台湾券商的网络下单系统，也可以证明，台湾金融网络的基础架构有多么脆弱。

根据奇虎360旗下的DDoS监控网站资料显示，这次受骇的证券业者大多是以塞爆流量的方式，以UDP封包加上反射放大攻击的方式，以大量封包瘫痪证券商的网络下单系统。

目前清查台湾受骇的证券业者，遭到DDoS攻击的时间，在今年1月24日台湾股市封关当天，就已经有一个DDoS受骇者出现，过年期间在1月27日也有1间券商受骇，2月1日有4间券商受骇，2月3日则有3间券商受骇，2月6日则有1间券商受骇，从封关当天迄今的证券业DDoS受骇案件累计有11起。

资安专家表示，除非台湾证券业者的下单服务采用云端服务加上好的流量负载平衡（Load Balance）服务，否则，只是单靠本地端的高效能主机提供各种网络下单服务，平均200Mbps～500Mbps就可能会塞爆流量带宽。这也是为什么800Mbps就足以瘫痪券商下单系统。

勒索信中宣称将在2月7日发动Tb级DDoS攻击，也因此包括政府部门、主管机关以及相关的金融业者都高度戒备，资安专家和部分政府官员都认为，发生攻击的可能性极高，因为这次DDoS攻击涵盖亚太区业者，攻击对象多，但付赎金的比例非常少，骇客组织为了达到赎金业绩，势必要让受害者知道他们不是空口说白话而已，加上，先前骇客组织应该已经有用优惠价格购买DDoS攻击服务，“可预期2月7日会有一波DDoS攻击，但是，应该不会是Tb级DDoS攻击，若有几十Gb的DDoS攻击流量，就已经很惊人了。”相关人士说道。

冒名Armada Collective，勒索台湾券商平均7～10个比特币

许多人对于Armada Collective骇客组织的认识，多是来自于在2015年底，该组织曾经针对3间希腊银行进行勒索，以DDoS攻击瘫痪相关银行的交易系统，并对3间受骇银行提出2万个比特币作为赎金。

Armada Collective这个骇客组织从2015年9月底～10月开始活跃，一般资安研究者都相信，Armada Collective是DD4BC这个从2014年中开始活跃，一旦业者不支付赎金，将会以500Gbps～1Tbps的DDoS攻击勒索赎金骇客组织的模仿犯。不过，Armada Collective的重要成员已经在2016年1月遭到欧洲刑警组织逮捕，在那之后也传出许多冒名Armada Collective的模仿犯，寄勒索信的骇客集团都自称Armada Collective。

最知名的冒名案例就发生在2016年4月，自称是Armada Collective骇客组织透过电子邮件方式寄送勒索信件，恐吓收到勒索信的金融业者必须支付10个比特币赎金，并同时发动15分钟的DDoS攻击来证明该组织的攻击力；如果受骇业者不愿意支付赎金，Armada Collective就会在特定日期，再次发动高达1Tbps攻击流量的DDoS攻击，届时赎金也会每天增加20个比特币。

不过，4月这起事件中，这个Armada Collective模仿犯最终并没有发动1Tbps的DDoS攻击，不过，根据比特币分析公司Chainalysis估计，这群冒名Armada Collective的骇客，光靠恐吓和威胁手法，便已获利超过10万美元。

高喊“狼来了”就可以获利的实例，间接鼓励更多冒名骇客组织仿效。这次发动对台攻击的骇客也是模仿犯。据了解，勒索信件要求的勒索金额，平均7～10个不等的比特币（台币约22万～32万元），而且勒索金额高低，和公司的规模大小并没有直接关系。

骇客购买DDoS攻击服务成本低，攻击1分钟大约1美元

一般Armada Collective的攻击模式通常是，发送第一波勒索信件搭配15分钟～30分钟DDoS攻击，要求受骇业者在7天内必须支付第一波要求的赎金，否则7 天后就会发动Tb级DDoS攻击，届时赎金还从原本的7～10个比特币暴增为20个比特币，并且每天都会增加10个比特币，一直到受害者支付为止。这次冒名的Armada Collective骇客组织同样在勒索信中提出上述的勒索要求，强调若不支付，就在寄信7天后（这次是2月7日星期二）发动高达1Tbps的DDoS攻击。

不过，长期发动DDoS的费用并不便宜，资安专家表示，多数模仿犯会使用购买DDoS攻击的服务，称为Booter Service，这类服务业者甚至有推出15分钟的试用服务，一位资安专家笑说：“这也可能为什么这些骇客组织展现DDoS武力的方式，大多是15分钟DDoS攻击的原因。”

以资安专家提供的不同购买DDoS攻击服务的价目表来看，大概可以简化成，针对一个IP地址发动1分钟DDoS攻击，大约需要1美元的攻击成本，对这些模仿犯而言，大致都是购买月租型的DDoS攻击服务比较划算，这也是为什么这样威吓式的DDoS攻击时间，多数不会超过60分钟。

资安专家也表示，针对这类冒名的模仿犯而言，如果支付10～20美元就可以获得10个～20个比特币的赎金，是非常具有“利润”的攻击手法，初期展示武力的投资，是非常划算的。

从资安专家提供的购买DDoS攻击服务的价目表来看，1分钟DDoS攻击大约只要1美元，价格相当划算。