1. 概況
2023.1.10 日上午,鵝鴨殺官方於Steam論壇上發佈了公告,公開其伺服器自2022年12月14日以來被斷斷續續的 DDoS 攻擊,DDoS攻擊在今年一月份開始變得更加強大,從最開始影響伺服器語音和流暢度直到導致了本次伺服器的癱瘓。
奇安信威脅情報中心殭屍網路威脅監測系統顯示,鵝鴨殺伺服器資產 172.65.210.216 在2023年1月5日的確被 Mirai 家族的殭屍網路 C&C 下發了攻擊指令,除此之外監控資料還顯示鵝鴨殺伺服器在2022年11月份也曾被Mirai家族下發過攻擊指令。
2. 攻擊詳情
根據我們的監測,攻擊指令在 2023-01-05 07:15:25 左右下發,這一波攻擊中 Mirai 殭屍網路的 C&C 共下發 15 條攻擊指令,總攻擊時長為 450s。
有趣的是,本次下發攻擊指令的C&C 地址與前幾天攻擊 Navicat 中文官網的相同,都為 “xin.badplayer.net:59666″,所以我們可以確定的是這兩次的DDoS始作俑者都使用了同一個第三方 DDoS 攻擊租賃平臺。
攻擊者本次DDoS攻擊中使用了多種攻擊方式,分別包含了udp_flood、tcp stomp、syn_flood、tcp_ack_flood、udp_plain_flood,以此來提高攻擊成功率。
而在2022年11月份針對鵝鴨殺的DDoS攻擊事件中,攻擊指令在 2022-11-13 02:50:30 左右下發,攻擊者所針對的資產不同與本次不同,目標伺服器為 172.65.248.161 。下發指令的 Mirai 殭屍網路的 C&C 地址為 “78.135.85.160:9506″,在這一次的攻擊中攻擊者僅使用了單一的UDP flood攻擊。
按照上述分析,同時根據我們對這兩個 C&C 域名的長期監控資料,本次2023年1月份針對鵝鴨殺的DDoS攻擊與去年監控到針對鵝鴨殺的DDoS攻擊並未使用相同的第三方 DDoS 攻擊租賃平臺,同時由攻擊時間及受害資產推測,很可能不是同一發起者,結合攻擊手法和最後結果也可以知道到本次的攻擊更具破壞性。
3. 業務影響
由於本次的DDoS攻擊事件,鵝鴨殺官方將伺服器暫停維護3天,對於遊戲伺服器來說三天的維護時間對其玩家量的衝擊是巨大的,通過對鵝鴨殺的遊戲線上熱度查詢可以發現,鵝鴨殺的熱度一直持上升趨勢,而最近幾次的遊戲熱度下降幾乎都與DDoS攻擊導致的伺服器卡頓有關:
在對本次事件的分析中,還有另一款遊戲引起了我的注意,這款遊戲名為 Among Us ,中文名《太空狼人殺》,與鵝鴨殺有著相同玩法的這款遊戲於2018年6月15日發佈,在2020年9月擁有6000萬位活躍玩家,該遊戲在運營過程中後同樣遭受了DDoS攻擊導致伺服器關閉(奇安信威脅情報中心殭屍網路威脅監測系統已監測,攻擊者為 Moobot 家族殭屍網路):
而 Among Us 的多次攻擊事件導致的伺服器卡頓甚至關閉也將其部分玩家引流到了 Goose Goose Duck ,也就是現在的鵝鴨殺:
4. IoCs
C&C:
78.135.85.160:9506
xin.badplayer.net:59666
點選閱讀原文至ALPHA 5.0
即刻助力威脅研判
