新聞概述
上季度,我們發現一種新的DDoS攻擊,攻擊者利用Memcached協議進行放大攻擊,正如之前我們的推測。比如,安全人員最近發現一類攻擊是通過WS-Discovery多播協議欺騙返回IP地址。雖然網絡罪犯最近纔開始使用這種方法,但已經擁有高達350 Gbps的攻擊能力。
Trend Micro發現了DDoS攻擊者手中另一個新工具,它是通過數據搜索和分析工具Elasticsearch的後門分發的新的有效載荷。該惡意軟件是危險的,因爲它採用了多階段的感染方法,併成功地避開了檢測,可以用來創建殭屍網絡發動大規模的DDoS攻擊。Trend Micro建議所有的Elasticsearch用戶升級到最新版本,因爲後門已經打了補丁。
以上例證表明,網絡罪犯更有可能求助於成熟的技術,而不是嘗試新的技術。例如,當去年聯邦調查局取締了一些廉價的DDoS-for-hire站點時,新的DDoS站點立即出現在它們的位置上,現如今它們的威脅比以往任何時候都更加嚴重。報告表明,在它們的協助下進行的攻擊次數比上一季度增加了400%。
9月初發起的對《魔獸世界》經典版的攻擊極有可能就是通過這種服務組織起來的。暴雪後來宣佈逮捕了這名策劃者,不過目前還不清楚這名策劃者是否是相應Twitter賬戶的所有者。但如果是這樣的話,我們很容易會得出這個結論:該公司根本不是一個附帶的黑客組織的成員,而是一個DDoS-for-hire服務的客戶。
研究人員還觀察到攻擊者使用另一種久經考驗的方法(類似於Mirai的殭屍網絡),在7月份對每秒最多容納292,000個請求的流媒體服務發起了爲期13天的應用程序攻擊。這次攻擊涉及大約40萬臺設備,主要是家用路由器。
九月初,維基百科遭到攻擊。9月6日晚開始,世界上最大的在線百科全書暫時無法爲歐洲、非洲和中東各國的用戶使用。維基百科經常被攻擊,但這次攻擊量級首次超過1Tbps,持續時間達到三天。
在執法努力這一主題上,必須提到另一條新聞,它強調了防範DDoS攻擊的重要性。在過去的幾個季度裏,我們的報告中關於全球殭屍網絡活動的部分一直在關注那些在幾年前還不太可能參與評級的國家(地區)。此外,以前受到網絡罪犯攻擊的其他國家(地區)的份額一直在下降。原因如下:
△首先,曾經被統稱爲第三世界的國家(地區)生活水平不斷提高。那裏越來越多的居民正在購買智能手機和寬帶路由器——大多數殭屍網絡都是由這些設備構成的。
△第二,在網絡罪犯長期從事網絡犯罪的地區,網絡安全意識正在提高,並採取了更有效的措施來保護設備,包括在供應商層面,這意味着攻擊者不得不尋找新的領域。這就是我們的網絡攻擊排名發生變動的而原因。
季度的趨勢
在第三季度,DDoS活動通常會在夏季的幾個月裏暫停,然後在9月份出現與學年開始相關的高峯。今年也不例外。
根據卡巴斯基實驗室的數據,與上一季度相比,第三季度的智能攻擊(即技術更復雜、需要更多獨創性的攻擊)數量顯著下降。然而,與去年同期相比,我們看到了兩倍以上的增長。在以前的報告中所做的預測顯然正在變成現實:DDoS市場也正在穩定下來。考慮到這一點,我們預測Q4的結果將是類似的。
智能攻擊的平均持續時間自第二季度以來幾乎沒有變化,但與2018年第三季度相比幾乎翻了一番,這一事實也證明了市場的穩定,全年都在增長。與此同時,由於短時間DDoS攻擊數量的總體增加,所有攻擊的平均持續時間略有下降。
與2019年Q2和2018年Q3相比,2019年Q3 DDoS攻擊的數量和統計分佈發生了變化
智能DDoS攻擊在網絡攻擊中所佔份額的變化值得單獨提及。
2019年Q3智能DDoS攻擊份額的變化
智能攻擊佔攻擊總數的比例與上一季度相比幾乎減半,但與2018年第三季度相比增加了7個百分點;針對上半年結束的智能攻擊的比例下降。
與去年一樣,9月的到來與DDoS攻擊數量的顯著增加密切相關。此外,這個月的攻擊佔了所有Q3攻擊的53%。
更重要的是,早秋60%的DDoS活動是針對教育相關資源的:電子年級書籍、大學網站等。在這類攻擊的背景下(大多數攻擊時間短、組織不力),第三季度的智能攻擊比例下降了22個百分點。
去年我們觀察到類似的情況,因爲這是由於學生返回學校和大學。這些攻擊大多是由業餘人士實施的網絡流氓行爲,不指望獲得經濟利益。
請注意,與2018年9月相比,2019年9月的攻擊總數增加了35次。而襲擊的總數在2019年第三季度相比,2018年第三季度增長了32 個百分點。也就是說,這些數字大致相同,而智能攻擊增長比例更大,而智能襲擊的總數增加了58 個百分點。
與2018年9月相比,2019年9月的智能DDoS攻擊份額發生了變化
因此,在2019年第三季度,我們不僅沒有看到智能攻擊數量的明顯上升,還看到它們的總數下降,這在過去一年裏還是第一次。上個季度預測DDoS市場將趨於飽和並停止增長,很有可能成爲現實。
根據以往經驗,對教育部門的連番攻擊將在冬季平息,但只有在夏季學校放假的時候纔會完全平靜下來。
季度總結
中國仍然是攻擊次數最多的國家(地區),與第二季度相比幾乎沒有變化(62.97%到63.80%)。
根據襲擊事件的地域分佈,排在前十名的意外訪客是南非,它排在第四位(2.40%),此前從未出現在我們的排行榜上。
按目標數量劃分,前三名分別是中國內地(57.20%)、美國(22.16%)和香港地區(4.29%)。
上一季度,DDoS殭屍網絡活動高峯出現在7月份;最危險的一天是週一(17.53%的攻擊),最平靜的一天是週日(10.69%)。
最長的攻擊持續了11天(279小時),幾乎是第二季度的一半。
最常見的攻擊類型仍然是SYN Flood (79.7%),其次是UDP Flood (9.4%)。最不受歡迎的是ICMP Flood(0.5%)。
Windows和Linux殭屍網絡的份額幾乎與第二季度持平;Linux殭屍網絡仍然佔據了絕大多數(97.75%)的活動。
殭屍網絡C&C服務器數量最多的國家(地區)再次是美國(47.55%),其次是荷蘭(22.06%)和中國內地(6.37%)。
攻擊地理
與前幾個季度一樣,攻擊次數最多的仍是中國內地,其所佔份額下降了0.83個百分點,至62.97%。同樣,美國仍排在第二位:其份額小幅下降至17.37%(上一季度爲17.57%)。香港地區穩居第三名。與中國內地和美國形成對比的是,它的份額雖然只增長了0.83個百分點,達到5.44%。
過去幾個季度的趨勢仍在繼續,從較低的排名上升至前10名。這一次是南非(2.4%),較上一季度的第19位大幅上升。它從荷蘭(0.69%)手中奪得第四名,荷蘭跌至第九。更重要的是,前十名歡迎久違的韓國迴歸——但不再像以前那樣擠進前三,而是以0.71%的得票率排在第八。
同樣值得注意的是羅馬尼亞,該國所佔比例上漲0.93個百分比,以1.12%的漲幅重新躋身前十。羅馬尼亞、南非和韓國一起擠出了臺灣地區、澳大利亞和越南。
2019 Q2和Q3按國家(地區)分佈的DDoS攻擊
本季度受攻擊目標的地理分佈與攻擊數量的分佈有很多共同之處——這在此類統計中相當典型。排名前三的還有中國內地(57.20%)、美國(22.16%)和香港地區(4.29%),它們的排名與攻擊次數排名相近。但是下面的前10位也存在差異。這在一定程度上是由於每個國家(地區)的份額都很小(前三名除外),這意味着即使是很小的波動也會導致重大的洗牌。
例如,南非(1.83%)進入了前10名,排在第五,英國(2.71%)位居其後。在襲擊次數最多的國家(地區)中,情況正好相反:英國排在南非之後,位列第五。羅馬尼亞也以0.71%的市場份額重新進入評級,而韓國則跌出了評級。本季度的評級也不包括臺灣地區和愛爾蘭。
法國仍排在最後,其市場份額較上一季度下降0.23個百分點,至0.67%。
2019Q2和Q3 按國家(地區)分佈的DDoS攻擊目標
DDoS攻擊的持續時間和類型
上一季度最長攻擊持續了11.6天(279小時),比第二季度(509小時)短1.8倍。然而應該指出的是,Q2的最長攻擊記錄還未被打破。
與此同時,彙總的統計數據並沒有顯示出全球性的變化:持續140小時以上的攻擊比例下降了0.01個百分點,降至0.12%。相反,20 - 139小時攻擊的比例略有上升,而5 - 9小時攻擊的比例下降了1.5個百分點;最短攻擊(持續時間不超過4小時)的總比例上升到84.42%,略低於2個百分點。
2019Q2和Q3 DDoS攻擊的持續時間分佈(小時)
最主要的攻擊類型仍然是SYN Flood。它的份額變化不大,從84%下降到79.7%。第二位是 UDP Flood (9.4%),HTTP Flood位於第四位,份額1.7%,而TCP Flood的比例上升到8.7%,是上一季度的兩倍多(3.1%)。和之前一樣,ICMP Flood在Q3中排名最後。
2019年Q3 DDoS攻擊的類型分佈
Linux殭屍網絡的份額繼續增長:第三季度爲97.75%,而Windows殭屍網絡的份額則分別下降1.75個百分點,至2.25%。這並不是由於Linux殭屍網絡活動的增長,而是由於面向Windows的殭屍網絡活動的減少。
2019年Q2和Q3 Windows/Linux殭屍網絡攻擊比例
殭屍網絡地理分佈
在第二季度,美國的C&C服務器數量位居榜首,其市場份額從44.14%上升到47.55%。排在第二位的是荷蘭:它的份額也從12.16%上升到了22.06%。如此穩健的增長必然會對名單產生重大影響。以中國內地爲例,其市場份額僅增長了1.42個百分點,達到6.37%,從第五位上升到第三位,把英國推到了第四位(4.90%)。
俄羅斯也攀升至第五位,市場份額爲3.92%,希臘和韓國則下滑。在前十名中,羅馬尼亞以1.47%的得票率排在最後一名。按DDoS攻擊次數和目標分類,羅馬尼亞在本季度的排名中也名列前茅。
2019 Q3殭屍網絡C&C服務器的國家(地區)分佈
中國境內的數據
本季度利用肉雞發起DDoS攻擊的控制端中,境外控制端最多位於美國;境內控制端主要位於江蘇省、廣東省。按歸屬運營商統計,移動佔的比例最大。
本季度參與攻擊較多的肉雞地址主要位於廣東省、浙江省、山東省和江蘇省。其中大量肉雞地址位置歸屬於電信運營商。
本季度被利用發起Memcached反射攻擊境內反射服務器主要位於廣東省、四川省;數量最多的歸屬運營商是電信。被利用發起NTP反射攻擊的境內反射服務器主要位於河北省、山東省;數量最多的歸屬運營商是聯通。被利用發起SSDP反射攻擊的境內反射服務器主要位於遼寧省、浙江省;數量最多的歸屬運營商是聯通。
本季度轉發僞造跨域攻擊流量的路由器中,歸屬於遼寧省的路由器參與的攻擊事件數量最多,2019年以來被持續利用的跨域僞造流量來源路由器中,歸屬於北京市、貴州省的路由器數量最多。
本季度轉發僞造本地攻擊流量的路由器中,歸屬於浙江省電信的路由器參與的攻擊事件數量最多,2019年以來被持續利用的本地僞造流量來源路由器中,歸屬於江蘇省、北京市和浙江省路由器數量最多。
結論
從統計上看,2019年Q3與Q2差別不大。在攻擊和目標的地域分佈上,我們看到了不速之客不斷出現又退出的趨勢。
就攻擊事件的時間分佈而言,Q3又與Q2相似:在季度開始時觀察到亂流,在季度結束時中、小波峯和波谷出現平靜。每天攻擊的典型分佈也幾乎沒有改變。與上一季度相比,最長攻擊的持續時間有所下降,但長攻擊和短攻擊所佔百分比的差異不明顯。
所有這些都可能表明,DDoS攻擊市場已經暫時穩定,但或者我們只是面臨了一個統計異常現象,這些可以通過對Q4的數據分析進行修正,讓我們拭目以待。
*參考數據來源:Kaspersky Lab、國家互聯網應急中心CNCERT,青松編譯,轉載請註明來自Qssec.COM。
— E N D —
安全之道,青松知道
