在DDoS攻擊方面,2018年第三季度相對平靜。所謂“相對”,是因爲主要資源上沒有出現很多高級別或者連續多日的DDoS攻擊。然而,犯罪分子攻擊能力日趨增強,而攻擊的總數卻絲毫沒有顯示出下降的跡象。
7月初對“暴雪娛樂”的攻擊成爲今年夏天的頭條新聞。Battle.net服務器被脫機發送控制,近三天時間內,玩家不能登錄啓動遊戲。一個名爲PoodleCorp的組織聲稱對此負責,該團體曾經在Twitter上露面。聲稱如果他們的消息被轉發2000次以上,他們承諾將離開公司。不久之後,“暴雪娛樂”發佈報告說“已經解決了玩家遇到不能登錄的技術問題。”
在7月底之前,又發生了一系列針對另一家遊戲發行商Ubisoft的攻擊。結果,玩家無法登錄他們的帳戶,不能開啓多人遊戲模式。據該公司發言人稱,用戶數據沒有受到損害。沒有關於行動目的的報告。攻擊者可能已經考慮到財務收益,或者只是針對最近遊戲進行的一些更新提出抗議。
另外一個重大且持續數天的攻擊,英語區的三大撲克類遊戲網站:America's Card Room,PokerStars和Partypoker非常惱火。受害的經營者被迫取消他們的一些活動,引起了網站成員的不滿,因此他們失去了大筆資金。
與往常一樣,DDoS攻擊幾乎可以肯定是由政治緊張造成的。8月底,瑞典社會民主黨網站長達六分鐘的中斷,就是這種攻擊的一個鮮明例子。同樣,政治原因也被認爲導致了加利福尼亞民主黨國會候選人網站攻擊。一個月之後,“政治”的標籤也可能受到激進分子的推動,助長了對德國RWE的攻擊:通過點擊他們的網站,活動人士試圖引起公衆注意。
無論如何,一般公衆仍然對導致南非共和國勞動部遭受痛苦的原因感到茫然(對其網絡資源的攻擊發生在9月初,據該部發言人稱,沒有內部系統或數據受到損害)。關於荷蘭政府服務DigiD襲擊事件背後的動機存在同樣的不確定性:7月底,它在一週內遭到三次襲擊,使許多公民無法獲得與稅收相關的其他功能。同樣,沒有報告表明數據存在泄漏。
DDoS攻擊者的工具集沒有太多更新;雖然一些好奇的新技術和一些新的漏洞確實在專家的視線範圍內。因此,在7月20日,他們發現了針對D-Link路由器的大規模“招募活動”,該路由器使用了超過3,000個IP和一個命令服務器。該漏洞利用在企業環境中並不十分成功;還有待觀察它是否能夠創建一個新的用戶路由器殭屍網絡(以及它有多大)。
談到特洛伊木馬,報道於7月底開始傳播有關新設計的特洛伊木馬死亡案例,該案件通過招募監控攝像機來構建殭屍網絡。臭名昭着的黑客Elit1Lands使用這個惡意軟件AVTech漏洞,於2016年10月公開。安全研究員Ankit Anubhav設法聯繫網絡犯罪分子並瞭解到目前爲止殭屍網絡尚未用於大規模DDoS攻擊。
此外,在8月底和9月初,安全專家首先看到了新版本的Mirai和Gafgyt殭屍網絡,利用了SonicWall和Apache Struts中的漏洞(在最後一種情況下,與信用參考中的大量數據泄露相關的錯誤相同)局Equifax)。
與此同時,Mirai的原始版本的三位作者,他們已經公開發布,最終被判刑。阿拉斯加聯邦法院命令Paras Jha,Josiah White和Dalton Norman支付大量的補償金,並提供2,500小時的社區服務。從表面上看,他們將代表FBI工作,而這句話的實際溫和性是由於在這個過程中三名受試者與聯邦調查人員正式合作:根據法庭文件,這三名男子已經積累通過將他們的專業知識用於至少十幾項調查,提供超過1,000小時的社區服務。
此外,英國警方逮捕了我們上次報告中提到的針對ProtonMail的DDoS攻擊背後的一名入侵者。這位19歲的新秀黑客成了英國公民,也參與了對學校,學院和航空公司製造惡作劇炸彈的威脅。他的父母堅持認爲,通過玩“我的世界”遊戲,他在網上被“認真的人”“整理”了。這個故事很難以年輕神童的工作結束,儘管他確實面臨可能引渡到美國:根據調查,他的曝光主要是因爲他沒有實踐非常好的操作安全。
季度趨勢
與去年第三季度相比,由於9月份,DDoS攻擊次數略有增加,而在夏季和全年,DDoS攻擊次數明顯減少。
2017 - 2018年卡巴斯基DDoS保護失敗的季度DDoS攻擊次數(2017年攻擊次數爲100%)
上圖顯示,與去年相比略有增加歸因於9月,佔所有攻擊的最大份額(約爲2017年的5倍)。相反,7月和8月與去年相比變得更安靜了。2017年,沒有觀察到這種不成比例。
卡巴斯基DDoS保護在9月遭到DDoS攻擊,與2017年和2018年的Q3總量成比例
DDoS恰好在9月份出現了一個相當普遍的事情:年復一年的主要目標是教育系統,針對學校,大學和測試中心的網絡資源進行攻擊。英國一所頂尖學校 - 愛丁堡大學於9月12日開始並持續近24小時的攻擊,成爲今年最大的頭條新聞。
根據統計數據,這種情況往往歸咎於國家的敵人,但這些指控是沒有根據的。因此,在我們的私人調查過程中,我們發現攻擊主要發生在大學生在學時間,並在休假期間消退。英國非營利組織Jisc得到了幾乎相同的結果:通過收集有關大學攻擊的統計數據,它瞭解到學生在度假時受到的攻擊較少。每日課外時間也是如此:主要的DDoS干擾是學校在上午9:00到下午4:00期間經歷的。
當然,這可能表明肇事者只是將他們的行爲與大學的作息時間同步......但解釋越簡單,就越有可能:這些攻擊也很可能是由年輕人設計的,可能有一些“好”的理由來惹惱他們的老師,其他學生或一般學校。與此假設一致,我們的專家能夠在社交網絡中找到DDoS攻擊準備的痕跡;雖然我們來自英國的同事遇到了一個相當有趣的案例:一名針對宿舍服務器的攻擊由一名學生髮起,企圖打敗他的網絡遊戲對手。
從各方面來看,這些週期性的爆發將在未來再次發生 - 要麼所有的教育機構都要堅持不懈的防禦,要麼直到所有的學生和他們的老師都對DDoS攻擊及其後果有了全新的認識。然而,應該提到的是,雖然大多數攻擊是由學生組織的,但並不意味着沒有任何“嚴重”攻擊。
例如,在9月份發起的針對美國供應商Infinite Campus 的DDoS活動,爲其所在地區的許多學校提供家長門戶服務,是如此強大和曠日持久以至於引起美國國土安全部的注意。學齡兒童的努力難以解釋。
無論如何,雖然9月份好轉的原因很可能與新學年的到來有關,但解釋經濟衰退有點困難。我們的專家認爲,大多數殭屍網絡所有者已經將其能力重新配置爲更有利可圖且相對更安全的收入來源:加密貨幣挖掘。
DDoS攻擊最近便宜了很多,但僅限於客戶。至於組織者,他們的成本仍然很高。至少,必須購買處理能力(有時甚至裝備數據中心),編寫自己的木馬或修改現有木馬(例如流行的Mirai),使用木馬來組裝殭屍網絡,找到一個客戶,發動攻擊等等。更不用說這些東西都是非法的。執法部門可以採取一切措施:Webstresser.org的垮臺隨後是一系列逮捕行爲就是一個很好的例子。
另一方面,加密貨幣挖掘現在幾乎是合法的:唯一的非法方面是使用別人的硬件。在某些安排到位的情況下,採礦系統上的採礦過於明顯對其所有者來說很明顯,沒有太多機會不得不處理網絡警察。網絡犯罪分子還可以重新利用他們已經擁有的硬件用於挖掘,從而完全逃脫了執法部門的注意力。例如,最近有關於新殭屍網絡的報道MikroTik路由器,最初是作爲加密貨幣挖掘工具創建的。還有間接證據表明,許多具有當之無愧聲譽的殭屍網絡的所有者現在已將其重新配置爲採礦。因此,成功的殭屍網絡yoyo的DDoS活動已經下降得非常低,儘管沒有關於它被拆除的信息。
邏輯中有一個公式,其中包含:相關性並不意味着因果關係。換句話說,如果兩個變量以類似的方式變化,則這些變化不一定有任何共同之處。因此,儘管將加密貨幣開採的增長與今年DDoS攻擊的鬆弛聯繫起來似乎是合乎邏輯的,但這並不能說是最終的事實。而是一個有效的假設。
卡巴斯基實驗室在打擊網絡威脅方面有着悠久的歷史,包括各種類型和複雜性的DDoS攻擊。該公司的專家使用卡巴斯基DDoS智能系統監控殭屍網絡。
作爲卡巴斯基DDoS保護的一部分,DDoS智能系統攔截並分析機器人從其管理和控制服務器接收的命令。要啓動保護,不必等到用戶設備被感染或直到攻擊者的命令被執行。
此報告包含2018年第3季度的DDoS Intelligence統計信息。
就本報告而言,單獨的(一個)DDoS攻擊是指殭屍網絡繁忙時段之間的間隔不超過24小時。例如,如果相同的資源在24小時或更長時間的暫停後第二次被同一殭屍網絡攻擊,則會記錄兩次攻擊。如果屬於不同殭屍網絡的殭屍程序查詢相同的資源,則攻擊也被視爲單獨的。
DDoS攻擊和命令服務器的受害者的地理位置根據其IP進行註冊。該報告按季度統計中的唯一IP地址數計算唯一DDoS目標的數量。
DDoS Intelligence統計數據僅限於卡巴斯基實驗室迄今爲止檢測和分析的殭屍網絡。還應該記住,殭屍網絡只是用於DDoS攻擊的工具之一,本節並未涵蓋給定時期內每一次DDoS攻擊。
季度總結
和以前一樣,中國在攻擊次數最多的地方(78%)名列前茅,美國已經重新獲得第二名(12.57%),澳大利亞排名第三(2.27%) - 比以往任何時候都高。雖然進入門檻低得多,但韓國有史以來第一次進入前10名。
在獨特目標的分佈方面也出現了類似的趨勢:韓國已經跌至評級列表的最底層;澳大利亞已攀升至第三位。
在數量方面,使用殭屍網絡實現的DDoS攻擊在8月份達到了主要的高峯;7月初觀察到最安靜的一天。
持續攻擊的數量有所下降;然而,持續時間不足4小時的短期增長17.5 pp(至86.94%)。獨特目標的數量增加了63%。
Linux殭屍網絡的份額僅比上一季度略有增長。在這種情況下,DDoS攻擊的類型分佈沒有太大變化:SYN洪水仍然排在第一位(83.2%)。
在過去的一個季度中,託管命令服務器數量最多的國家/地區列表發生了巨大變化。像希臘和加拿大這樣的國家,以前已進入前十名,現在已經排在榜單的前列。
攻擊地理
中國仍然佔據上限,其份額從59.03%飆升至77.67%。美國重新獲得第二個位置,儘管它已經增長了0.11個百分點,達到12.57%。這就是驚喜的開始。
首先,自監測開始以來,韓國首次跌出前十名:其份額從上季度的3.21%下降至0.30%,從第四位到第十一位下坡。與此同時,澳大利亞從第六位攀升至第三位:現在它佔傳出DDoS攻擊總數的2.27%。這表明過去幾個季度出現的非洲大陸的增長趨勢仍然存在。香港從第二位升至第四位:其份額從17.13%下降至1.72%。
除了韓國,馬來西亞也排名前十;這兩個被新加坡(0.44%)和俄羅斯(0.37%)分別取代 - 分別排名第七和第十位。他們的股價從第二季度開始增長很少,但由於中國的飛躍,准入門檻變得不那麼苛刻了。法國的例子證明了這一點:第二季度法國排名第十,佔DDoS攻擊總數的0.43%;本季度其份額降至0.39%,但該國仍然排名第八。
同樣,來自前10名以外的所有國家的綜合百分比從3.56%下降到2.83%。
各國的DDoS攻擊,2018年第2季度和第3季度
在各國的獨特目標評級中也發生了類似的過程:中國的份額增長了18個百分點,達到70.58%。目標數量的前五個位置看起來與攻擊次數基本相同,但排名前十的位置有點不同:韓國仍然存在,儘管它的份額大幅減少(從下降到0.39%) 4.76%)。此外,評級表失去了馬來西亞和越南,取而代之的是俄羅斯(0.46%,第八名)和德國(0.38%,第十名)。
按國家,2018年第二季度和第三季度的獨特DDoS目標
動態DDoS攻擊次數
第三季度的開始和結束並沒有充分的攻擊,但是8月和9月初的特徵是鋸齒狀的圖形,有很多山峯和山谷。最大的峯值發生在8月7日和20日,間接與大學收集申請人的論文並公佈錄取分數的日期相關。7月2日結果最安靜。儘管不是很忙,但本季度末的攻擊仍然比開始時更多。
2018年第三季度DDoS攻擊數量動態
本季度的分配日相當均勻。星期六現在是本週最“危險”的一天(15.58%),從週二(13.70%)奪走了手掌。星期二在攻擊次數方面倒數第二,僅在星期三之前,目前是本週最安靜的一天(12.23%)。
按星期幾,二季度和2018年第三季度進行DDoS攻擊
DDoS攻擊的持續時間和類型
第三季度最長的襲擊持續了239個小時 - 短短10天。只是提醒你,上一季度最長的一個開啓了將近11天(258小時)。
大規模,長期攻擊的比例大幅下降。這不僅適用於持續時間超過140小時的“冠軍”,也適用於所有其他類別長達5小時的冠軍。最顯着的下降發生在持續5到9小時的類別中:這些攻擊從14.01%下降到5.49%。
然而,不到4個小時的短暫攻擊增長了近17.5個百分點,達到86.94%。與此同時,目標數量比上一季度增長了63%。
按持續時間,小時,Q2和Q3 2018進行DDoS攻擊
按攻擊類型分佈的數據幾乎與上一季度相同。SYN Flood一直保持着第一的位置;其份額增長甚至達到83.2%(第二季度爲80.2%,第一季度爲57.3%)。UDP流量排在第二位;它也小幅上漲至11.9%(上一季度爲10.6%)。其他類型的攻擊損失了幾個百分點但在相對發生率方面沒有變化:HTTP仍然是第三,而TCP和ICMP分別是第四和第五。
按類型,Q2和Q3 2018進行DDoS攻擊 (下載)
Windows和Linux殭屍網絡的比例與上一季度的比例大致相同:Windows殭屍網絡已經上升(並且Linux下降了1.4個百分點)這與攻擊類型變化動態相關。
Windows vs. Linux殭屍網絡,2018年第3季度
殭屍網絡分佈地理
在殭屍網絡命令服務器數量最多的十大區域列表中出現了一些重組。美國保持第一,但其份額從上季度的44.75%下降至37.31%。俄羅斯的市場份額從2.76%上升至8.96%,上升至第二位。希臘名列第三:它佔指揮服務器的8.21% - 從0.55%上升到上一季度前十名之外。
中國僅有5.22%,僅爲第五,被加拿大擊敗,得分爲6.72%(比第二季度的數字高出數倍)。
與此同時,前十名以外國家的合計份額大幅增加:增長近5個百分點,目前爲16.42%。
Botnets按國家/地區命令服務器,2018年第3季度 (下載)
結論
過去三個月沒有發生過重大的高調襲擊事件。與夏季放緩相反,9月份對學校的襲擊事件特別明顯。它已經成爲卡巴斯基實驗室多年來觀察到的循環趨勢的一部分。
另一個顯着的發展是長期攻擊數量的減少以及越來越多的獨特目標:殭屍網絡所有者可能正在用小型攻擊取代大規模攻擊(有時在英語媒體中被稱爲“爬行”攻擊),通常無法區分“網絡噪音”。我們已經看到過去幾個季度這種範式變化的前奏。
就C&C殭屍網絡數量而言,前十大陣容正在連續第二季度突然重組。可能是攻擊者試圖擴展到新的地區或試圖安排其資源的地理冗餘。原因可能是經濟(電價,暴露於不可預見的情況下的業務穩健性)和合法的反網絡犯罪行爲。
過去兩個季度的統計數據使我們相信DDoS社區目前正在展開某些轉型過程,這可能會在不久的將來嚴重重新配置這一領域的網絡犯罪活動。
*本文作者:bingbingxiaohu,轉載請註明來自FreeBuf.COM