行业新闻

卡巴斯基2018 Q3全球DDoS攻击分析报告

卡巴斯基2018 Q3全球DDoS攻击分析报告

在DDoS攻击方面,2018年第三季度相对平静。所谓“相对”,是因为主要资源上没有出现很多高级别或者连续多日的DDoS攻击。然而,犯罪分子攻击能力日趋增强,而攻击的总数却丝毫没有显示出下降的迹象。

7月初对“暴雪娱乐”的攻击成为今年夏天的头条新闻。Battle.net服务器被脱机发送控制,近三天时间内,玩家不能登录启动游戏。一个名为PoodleCorp的组织声称对此负责,该团体曾经在Twitter上露面。声称如果他们的消息被转发2000次以上,他们承诺将离开公司。不久之后,“暴雪娱乐”发布报告说“已经解决了玩家遇到不能登录的技术问题。”

在7月底之前,又发生了一系列针对另一家游戏发行商Ubisoft的攻击。结果,玩家无法登录他们的帐户,不能开启多人游戏模式。据该公司发言人称,用户数据没有受到损害。没有关于行动目的的报告。攻击者可能已经考虑到财务收益,或者只是针对最近游戏进行的一些更新提出抗议。

另外一个重大且持续数天的攻击,英语区的三大扑克类游戏网站:America's Card Room,PokerStars和Partypoker非常恼火。受害的经营者被迫取消他们的一些活动,引起了网站成员的不满,因此他们失去了大笔资金。

与往常一样,DDoS攻击几乎可以肯定是由政治紧张造成的。8月底,瑞典社会民主党网站长达六分钟的中断,就是这种攻击的一个鲜明例子。同样,政治原因也被认为导致了加利福尼亚民主党国会候选人网站攻击。一个月之后,“政治”的标签也可能受到激进分子的推动,助长了对德国RWE的攻击:通过点击他们的网站,活动人士试图引起公众注意。

无论如何,一般公众仍然对导致南非共和国劳动部遭受痛苦的原因感到茫然(对其网络资源的攻击发生在9月初,据该部发言人称,没有内部系统或数据受到损害)。关于荷兰政府服务DigiD袭击事件背后的动机存在同样的不确定性:7月底,它在一周内遭到三次袭击,使许多公民无法获得与税收相关的其他功能。同样,没有报告表明数据存在泄漏。

DDoS攻击者的工具集没有太多更新;虽然一些好奇的新技术和一些新的漏洞确实在专家的视线范围内。因此,在7月20日,他们发现了针对D-Link路由器的大规模“招募活动”,该路由器使用了超过3,000个IP和一个命令服务器。该漏洞利用在企业环境中并不十分成功;还有待观察它是否能够创建一个新的用户路由器僵尸网络(以及它有多大)。

谈到特洛伊木马,报道于7月底开始传播有关新设计的特洛伊木马死亡案例,该案件通过招募监控摄像机来构建僵尸网络。臭名昭着的黑客Elit1Lands使用这个恶意软件AVTech漏洞,于2016年10月公开。安全研究员Ankit Anubhav设法联系网络犯罪分子并了解到目前为止僵尸网络尚未用于大规模DDoS攻击。

此外,在8月底和9月初,安全专家首先看到了新版本的Mirai和Gafgyt僵尸网络,利用了SonicWall和Apache Struts中的漏洞(在最后一种情况下,与信用参考中的大量数据泄露相关的错误相同)局Equifax)。

与此同时,Mirai的原始版本的三位作者,他们已经公开发布,最终被判刑。阿拉斯加联邦法院命令Paras Jha,Josiah White和Dalton Norman支付大量的补偿金,并提供2,500小时的社区服务。从表面上看,他们将代表FBI工作,而这句话的实际温和性是由于在这个过程中三名受试者与联邦调查人员正式合作:根据法庭文件,这三名男子已经积累通过将他们的专业知识用于至少十几项调查,提供超过1,000小时的社区服务。

此外,英国警方逮捕了我们上次报告中提到的针对ProtonMail的DDoS攻击背后的一名入侵者。这位19岁的新秀黑客成了英国公民,也参与了对学校,学院和航空公司制造恶作剧炸弹的威胁。他的父母坚持认为,通过玩“我的世界”游戏,他在网上被“认真的人”“整理”了。这个故事很难以年轻神童的工作结束,尽管他确实面临可能引渡到美国:根据调查,他的曝光主要是因为他没有实践非常好的操作安全。

001.jpg

季度趋势

与去年第三季度相比,由于9月份,DDoS攻击次数略有增加,而在夏季和全年,DDoS攻击次数明显减少。

2017 - 2018年卡巴斯基DDoS保护失败的季度DDoS攻击次数(2017年攻击次数为100%)

上图显示,与去年相比略有增加归因于9月,占所有攻击的最大份额(约为2017年的5倍)。相反,7月和8月与去年相比变得更安静了。2017年,没有观察到这种不成比例。

002.jpg

卡巴斯基DDoS保护在9月遭到DDoS攻击,与2017年和2018年的Q3总量成比例

DDoS恰好在9月份出现了一个相当普遍的事情:年复一年的主要目标是教育系统,针对学校,大学和测试中心的网络资源进行攻击。英国一所顶尖学校 - 爱丁堡大学于9月12日开始并持续近24小时的攻击,成为今年最大的头条新闻。

根据统计数据,这种情况往往归咎于国家的敌人,但这些指控是没有根据的。因此,在我们的私人调查过程中,我们发现攻击主要发生在大学生在学时间,并在休假期间消退。英国非营利组织Jisc得到了几乎相同的结果:通过收集有关大学攻击的统计数据,它了解到学生在度假时受到的攻击较少。每日课外时间也是如此:主要的DDoS干扰是学校在上午9:00到下午4:00期间经历的。

当然,这可能表明肇事者只是将他们的行为与大学的作息时间同步......但解释越简单,就越有可能:这些攻击也很可能是由年轻人设计的,可能有一些“好”的理由来惹恼他们的老师,其他学生或一般学校。与此假设一致,我们的专家能够在社交网络中找到DDoS攻击准备的痕迹;虽然我们来自英国的同事遇到了一个相当有趣的案例:一名针对宿舍服务器的攻击由一名学生发起,企图打败他的网络游戏对手。

从各方面来看,这些周期性的爆发将在未来再次发生 - 要么所有的教育机构都要坚持不懈的防御,要么直到所有的学生和他们的老师都对DDoS攻击及其后果有了全新的认识。然而,应该提到的是,虽然大多数攻击是由学生组织的,但并不意味着没有任何“严重”攻击。

例如,在9月份发起的针对美国供应商Infinite Campus 的DDoS活动,为其所在地区的许多学校提供家长门户服务,是如此强大和旷日持久以至于引起美国国土安全部的注意。学龄儿童的努力难以解释。

无论如何,虽然9月份好转的原因很可能与新学年的到来有关,但解释经济衰退有点困难。我们的专家认为,大多数僵尸网络所有者已经将其能力重新配置为更有利可图且相对更安全的收入来源:加密货币挖掘。

DDoS攻击最近便宜了很多,但仅限于客户。至于组织者,他们的成本仍然很高。至少,必须购买处理能力(有时甚至装备数据中心),编写自己的木马或修改现有木马(例如流行的Mirai),使用木马来组装僵尸网络,找到一个客户,发动攻击等等。更不用说这些东西都是非法的。执法部门可以采取一切措施:Webstresser.org的垮台随后是一系列逮捕行为就是一个很好的例子。

另一方面,加密货币挖掘现在几乎是合法的:唯一的非法方面是使用别人的硬件。在某些安排到位的情况下,采矿系统上的采矿过于明显对其所有者来说很明显,没有太多机会不得不处理网络警察。网络犯罪分子还可以重新利用他们已经拥有的硬件用于挖掘,从而完全逃脱了执法部门的注意力。例如,最近有关于新僵尸网络的报道MikroTik路由器,最初是作为加密货币挖掘工具创建的。还有间接证据表明,许多具有当之无愧声誉的僵尸网络的所有者现在已将其重新配置为采矿。因此,成功的僵尸网络yoyo的DDoS活动已经下降得非常低,尽管没有关于它被拆除的信息。

逻辑中有一个公式,其中包含:相关性并不意味着因果关系。换句话说,如果两个变量以类似的方式变化,则这些变化不一定有任何共同之处。因此,尽管将加密货币开采的增长与今年DDoS攻击的松弛联系起来似乎是合乎逻辑的,但这并不能说是最终的事实。而是一个有效的假设。

卡巴斯基实验室在打击网络威胁方面有着悠久的历史,包括各种类型和复杂性的DDoS攻击。该公司的专家使用卡巴斯基DDoS智能系统监控僵尸网络。

作为卡巴斯基DDoS保护的一部分,DDoS智能系统拦截并分析机器人从其管理和控制服务器接收的命令。要启动保护,不必等到用户设备被感染或直到攻击者的命令被执行。

此报告包含2018年第3季度的DDoS Intelligence统计信息。

就本报告而言,单独的(一个)DDoS攻击是指僵尸网络繁忙时段之间的间隔不超过24小时。例如,如果相同的资源在24小时或更长时间的暂停后第二次被同一僵尸网络攻击,则会记录两次攻击。如果属于不同僵尸网络的僵尸程序查询相同的资源,则攻击也被视为单独的。

DDoS攻击和命令服务器的受害者的地理位置根据其IP进行注册。该报告按季度统计中的唯一IP地址数计算唯一DDoS目标的数量。

DDoS Intelligence统计数据仅限于卡巴斯基实验室迄今为止检测和分析的僵尸网络。还应该记住,僵尸网络只是用于DDoS攻击的工具之一,本节并未涵盖给定时期内每一次DDoS攻击。

季度总结

和以前一样,中国在攻击次数最多的地方(78%)名列前茅,美国已经重新获得第二名(12.57%),澳大利亚排名第三(2.27%) - 比以往任何时候都高。虽然进入门槛低得多,但韩国有史以来第一次进入前10名。

在独特目标的分布方面也出现了类似的趋势:韩国已经跌至评级列表的最底层;澳大利亚已攀升至第三位。

在数量方面,使用僵尸网络实现的DDoS攻击在8月份达到了主要的高峰;7月初观察到最安静的一天。

持续攻击的数量有所下降;然而,持续时间不足4小时的短期增长17.5 pp(至86.94%)。独特目标的数量增加了63%。

Linux僵尸网络的份额仅比上一季度略有增长。在这种情况下,DDoS攻击的类型分布没有太大变化:SYN洪水仍然排在第一位(83.2%)。

在过去的一个季度中,托管命令服务器数量最多的国家/地区列表发生了巨大变化。像希腊和加拿大这样的国家,以前已进入前十名,现在已经排在榜单的前列。

攻击地理

中国仍然占据上限,其份额从59.03%飙升至77.67%。美国重新获得第二个位置,尽管它已经增长了0.11个百分点,达到12.57%。这就是惊喜的开始。

首先,自监测开始以来,韩国首次跌出前十名:其份额从上季度的3.21%下降至0.30%,从第四位到第十一位下坡。与此同时,澳大利亚从第六位攀升至第三位:现在它占传出DDoS攻击总数的2.27%。这表明过去几个季度出现的非洲大陆的增长趋势仍然存在。香港从第二位升至第四位:其份额从17.13%下降至1.72%。

除了韩国,马来西亚也排名前十;这两个被新加坡(0.44%)和俄罗斯(0.37%)分别取代 - 分别排名第七和第十位。他们的股价从第二季度开始增长很少,但由于中国的飞跃,准入门槛变得不那么苛刻了。法国的例子证明了这一点:第二季度法国排名第十,占DDoS攻击总数的0.43%;本季度其份额降至0.39%,但该国仍然排名第八。

同样,来自前10名以外的所有国家的综合百分比从3.56%下降到2.83%。

003.jpg

各国的DDoS攻击,2018年第2季度和第3季度 

在各国的独特目标评级中也发生了类似的过程:中国的份额增长了18个百分点,达到70.58%。目标数量的前五个位置看起来与攻击次数基本相同,但排名前十的位置有点不同:韩国仍然存在,尽管它的份额大幅减少(从下降到0.39%) 4.76%)。此外,评级表失去了马来西亚和越南,取而代之的是俄罗斯(0.46%,第八名)和德国(0.38%,第十名)。

004.jpg

按国家,2018年第二季度和第三季度的独特DDoS目标

动态DDoS攻击次数

第三季度的开始和结束并没有充分的攻击,但是8月和9月初的特征是锯齿状的图形,有很多山峰和山谷。最大的峰值发生在8月7日和20日,间接与大学收集申请人的论文并公布录取分数的日期相关。7月2日结果最安静。尽管不是很忙,但本季度末的攻击仍然比开始时更多。

Clipboard Image.png

2018年第三季度DDoS攻击数量动态 

本季度的分配日相当均匀。星期六现在是本周最“危险”的一天(15.58%),从周二(13.70%)夺走了手掌。星期二在攻击次数方面倒数第二,仅在星期三之前,目前是本周最安静的一天(12.23%)。

Clipboard Image.png

按星期几,二季度和2018年第三季度进行DDoS攻击

DDoS攻击的持续时间和类型

第三季度最长的袭击持续了239个小时 - 短短10天。只是提醒你,上一季度最长的一个开启了将近11天(258小时)。

大规模,长期攻击的比例大幅下降。这不仅适用于持续时间超过140小时的“冠军”,也适用于所有其他类别长达5小时的冠军。最显着的下降发生在持续5到9小时的类别中:这些攻击从14.01%下降到5.49%。

然而,不到4个小时的短暂攻击增长了近17.5个百分点,达到86.94%。与此同时,目标数量比上一季度增长了63%。

Clipboard Image.png

按持续时间,小时,Q2和Q3 2018进行DDoS攻击

按攻击类型分布的数据几乎与上一季度相同。SYN Flood一直保持着第一的位置;其份额增长甚至达到83.2%(第二季度为80.2%,第一季度为57.3%)。UDP流量排在第二位;它也小幅上涨至11.9%(上一季度为10.6%)。其他类型的攻击损失了几个百分点但在相对发生率方面没有变化:HTTP仍然是第三,而TCP和ICMP分别是第四和第五。

008.jpg

按类型,Q2和Q3 2018进行DDoS攻击 (下载)

Windows和Linux僵尸网络的比例与上一季度的比例大致相同:Windows僵尸网络已经上升(并且Linux下降了1.4个百分点)这与攻击类型变化动态相关。

009.jpg

Windows vs. Linux僵尸网络,2018年第3季度 

僵尸网络分布地理

在僵尸网络命令服务器数量最多的十大区域列表中出现了一些重组。美国保持第一,但其份额从上季度的44.75%下降至37.31%。俄罗斯的市场份额从2.76%上升至8.96%,上升至第二位。希腊名列第三:它占指挥服务器的8.21% - 从0.55%上升到上一季度前十名之外。

中国仅有5.22%,仅为第五,被加拿大击败,得分为6.72%(比第二季度的数字高出数倍)。

与此同时,前十名以外国家的合计份额大幅增加:增长近5个百分点,目前为16.42%。

010.jpg

Botnets按国家/地区命令服务器,2018年第3季度 (下载)

结论

过去三个月没有发生过重大的高调袭击事件。与夏季放缓相反,9月份对学校的袭击事件特别明显。它已经成为卡巴斯基实验室多年来观察到的循环趋势的一部分。

另一个显着的发展是长期攻击数量的减少以及越来越多的独特目标:僵尸网络所有者可能正在用小型攻击取代大规模攻击(有时在英语媒体中被称为“爬行”攻击),通常无法区分“网络噪音”。我们已经看到过去几个季度这种范式变化的前奏。

就C&C僵尸网络数量而言,前十大阵容正在连续第二季度突然重组。可能是攻击者试图扩展到新的地区或试图安排其资源的地理冗余。原因可能是经济(电价,暴露于不可预见的情况下的业务稳健性)和合法的反网络犯罪行为。

过去两个季度的统计数据使我们相信DDoS社区目前正在展开某些转型过程,这可能会在不久的将来严重重新配置这一领域的网络犯罪活动。

*本文作者:bingbingxiaohu,转载请注明来自FreeBuf.COM

关闭