其他
鹅鸭杀停服DDoS攻击事件见证
1. 概况
奇安信威胁情报中心僵尸网络威胁监测系统显示,鹅鸭杀服务器资产 172.65.210.216 在2023年1月5日的确被 Mirai 家族的僵尸网络 C&C 下发了攻击指令,除此之外监控数据还显示鹅鸭杀服务器在2022年11月份也曾被Mirai家族下发过攻击指令。
2. 攻击详情
有趣的是,本次下发攻击指令的C&C 地址与前几天攻击 Navicat 中文官网的相同,都为 "xin.badplayer.net:59666",所以我们可以确定的是这两次的DDoS始作俑者都使用了同一个第三方 DDoS 攻击租赁平台。
攻击者本次DDoS攻击中使用了多种攻击方式,分别包含了udp_flood、tcp stomp、syn_flood、tcp_ack_flood、udp_plain_flood,以此来提高攻击成功率。而在2022年11月份针对鹅鸭杀的DDoS攻击事件中,攻击指令在北京时间 2022-11-13 02:50:30 左右下发,攻击者所针对的资产不同与本次不同,目标服务器为 172.65.248.161 。下发指令的 Mirai 僵尸网络的 C&C 地址为 "78.135.85.160:9506",在这一次的攻击中攻击者仅使用了单一的UDP flood攻击。按照上述分析,同时根据我们对这两个 C&C 域名的长期监控数据,本次2023年1月份针对鹅鸭杀的DDoS攻击与去年监控到针对鹅鸭杀的DDoS攻击并未使用相同的第三方 DDoS 攻击租赁平台,同时由攻击时间及受害资产推测,很可能不是同一发起者,结合攻击手法和最后结果也可以知道到本次的攻击更具破坏性。
3. 业务影响
在对本次事件的分析中,还有另一款游戏引起了我的注意,这款游戏名为 Among Us ,中文名《太空狼人杀》,与鹅鸭杀有着相同玩法的这款游戏于2018年6月15日发布,在2020年9月拥有6000万位活跃玩家,该游戏在运营过程中后同样遭受了DDoS攻击导致服务器关闭(奇安信威胁情报中心僵尸网络威胁监测系统已监测,攻击者为 Moobot 家族僵尸网络):
而 Among Us 的多次攻击事件导致的服务器卡顿甚至关闭也将其部分玩家引流到了 Goose Goose Duck ,也就是现在的鹅鸭杀:
4. IoCs
78.135.85.160:9506
xin.badplayer.net:59666
点击阅读原文至ALPHA 5.0
即刻助力威胁研判