試探攻擊流量解密！癱瘓臺灣證券下單平臺的DDoS攻擊流量僅800Mbps

冒名Armada Collective的駭客駭客組織，在2月3日針對臺灣多家券商發動DDoS攻擊，經查證，這個模仿犯大部分的攻擊手法和先前的手法類似，多數都是針對L3網路層，以大量的網路封包塞爆業者的網路頻寬手法。和中國網軍慣用的CC（Challenge Collapsar，挑戰黑洞）攻擊手法，利用許多免費代理伺服器，匿名發動DDoS攻擊的手法有極大的不同，儘管先前傳這起攻擊來自中國網軍，資安專家研判，但這次對臺灣證券業者的DDoS攻擊，應該來自國際網路犯罪組織。

這個駭客組織為了取得受駭業者的信任，除了寄送勒索信件之外，也必須實際展現具有足夠的攻擊實力，受駭業者才可能支付贖金，因此，多數受駭券商都有遭受到至少15分鐘的DDoS攻擊，這些券商網路下單系統多數是暫時受到影響，通常只要請ISP業者啟動DDoS流量清洗服務後，系統就可以恢復正常。

800Mbps的DDoS攻擊流量就擊垮臺灣證券業者

在15分鐘內就能癱瘓臺灣券商下單平臺的DDoS攻擊流量大概有多大呢？據了解，先前發動的攻擊流量只有800Mbps。或許因為只是宣示性質，所以駭客組織沒有火力全開，但已讓多數券商系統暫時性受到影響，資安專家表示，只有800Mbps的DDoS攻擊流量，就可以暫時癱瘓臺灣券商的網路下單系統，也可以證明，臺灣金融網路的基礎架構有多麼脆弱。

根據奇虎360旗下的DDoS監控網站資料顯示，這次受駭的證券業者大多是以塞爆流量的方式，以UDP封包加上反射放大攻擊的方式，以大量封包癱瘓證券商的網路下單系統。

目前清查臺灣受駭的證券業者，遭到DDoS攻擊的時間，在今年1月24日臺灣股市封關當天，就已經有一個DDoS受駭者出現，過年期間在1月27日也有1間券商受駭，2月1日有4間券商受駭，2月3日則有3間券商受駭，2月6日則有1間券商受駭，從封關當天迄今的證券業DDoS受駭案件累計有11起。

資安專家表示，除非臺灣證券業者的下單服務採用雲端服務加上好的流量負載平衡（Load Balance）服務，否則，只是單靠本地端的高效能主機提供各種網路下單服務，平均200Mbps～500Mbps就可能會塞爆流量頻寬。這也是為什麼800Mbps就足以癱瘓券商下單系統。

勒索信中宣稱將在2月7日發動Tb級DDoS攻擊，也因此包括政府部門、主管機關以及相關的金融業者都高度戒備，資安專家和部分政府官員都認為，發生攻擊的可能性極高，因為這次DDoS攻擊涵蓋亞太區業者，攻擊對象多，但付贖金的比例非常少，駭客組織為了達到贖金業績，勢必要讓受害者知道他們不是空口說白話而已，加上，先前駭客組織應該已經有用優惠價格購買DDoS攻擊服務，「可預期2月7日會有一波DDoS攻擊，但是，應該不會是Tb級DDoS攻擊，若有幾十Gb的DDoS攻擊流量，就已經很驚人了。」相關人士說道。

冒名Armada Collective，勒索臺灣券商平均7～10個比特幣

許多人對於Armada Collective駭客組織的認識，多是來自於在2015年底，該組織曾經針對3間希臘銀行進行勒索，以DDoS攻擊癱瘓相關銀行的交易系統，並對3間受駭銀行提出2萬個比特幣作為贖金。

Armada Collective這個駭客組織從2015年9月底～10月開始活躍，一般資安研究者都相信，Armada Collective是DD4BC這個從2014年中開始活躍，一旦業者不支付贖金，將會以500Gbps～1Tbps的DDoS攻擊勒索贖金駭客組織的模仿犯。不過，Armada Collective的重要成員已經在2016年1月遭到歐洲刑警組織逮捕，在那之後也傳出許多冒名Armada Collective的模仿犯，寄勒索信的駭客集團都自稱Armada Collective。

最知名的冒名案例就發生在2016年4月，自稱是Armada Collective駭客組織透過電子郵件方式寄送勒索信件，恐嚇收到勒索信的金融業者必須支付10個比特幣贖金，並同時發動15分鐘的DDoS攻擊來證明該組織的攻擊力；如果受駭業者不願意支付贖金，Armada Collective就會在特定日期，再次發動高達1Tbps攻擊流量的DDoS攻擊，屆時贖金也會每天增加20個比特幣。

不過，4月這起事件中，這個Armada Collective模仿犯最終並沒有發動1Tbps的DDoS攻擊，不過，根據比特幣分析公司Chainalysis估計，這群冒名Armada Collective的駭客，光靠恐嚇和威脅手法，便已獲利超過10萬美元。

高喊「狼來了」就可以獲利的實例，間接鼓勵更多冒名駭客組織仿效。這次發動對臺攻擊的駭客也是模仿犯。據了解，勒索信件要求的勒索金額，平均7～10個不等的比特幣（臺幣約22萬～32萬元），而且勒索金額高低，和公司的規模大小並沒有直接關係。

駭客購買DDoS攻擊服務成本低，攻擊1分鐘大約1美元

一般Armada Collective的攻擊模式通常是，發送第一波勒索信件搭配15分鐘～30分鐘DDoS攻擊，要求受駭業者在7天內必須支付第一波要求的贖金，否則7 天後就會發動Tb級DDoS攻擊，屆時贖金還從原本的7～10個比特幣暴增為20個比特幣，並且每天都會增加10個比特幣，一直到受害者支付為止。這次冒名的Armada Collective駭客組織同樣在勒索信中提出上述的勒索要求，強調若不支付，就在寄信7天後（這次是2月7日星期二）發動高達1Tbps的DDoS攻擊。

不過，長期發動DDoS的費用並不便宜，資安專家表示，多數模仿犯會使用購買DDoS攻擊的服務，稱為Booter Service，這類服務業者甚至有推出15分鐘的試用服務，一位資安專家笑說：「這也可能為什麼這些駭客組織展現DDoS武力的方式，大多是15分鐘DDoS攻擊的原因。」

以資安專家提供的不同購買DDoS攻擊服務的價目表來看，大概可以簡化成，針對一個IP位址發動1分鐘DDoS攻擊，大約需要1美元的攻擊成本，對這些模仿犯而言，大致都是購買月租型的DDoS攻擊服務比較划算，這也是為什麼這樣威嚇式的DDoS攻擊時間，多數不會超過60分鐘。

資安專家也表示，針對這類冒名的模仿犯而言，如果支付10～20美元就可以獲得10個～20個比特幣的贖金，是非常具有「利潤」的攻擊手法，初期展示武力的投資，是非常划算的。

從資安專家提供的購買DDoS攻擊服務的價目表來看，1分鐘DDoS攻擊大約只要1美元，價格相當划算。