一、概述从DDoS的角度来看,第三季度相对平静。尽管网络犯罪分子在第二季度继续开发一些旧的恶意软件,但他们并没有进行重大创新。例如,DDoS僵尸网络在Docker环境中添加了一种攻击方法。犯罪分子渗透到目标服务器,创建了一个受感染的容器,并在其中放置了一个与矿工匹配的Kaiten机器人(也称为Tsunami)。Lucifer僵尸网络于上个季度首次被研究人员发现,已知与DDoS攻击和加密货币挖掘有关,本季度进行了更新,不仅可以感染Windows,还可以感染Linux设备。新版本可以使用所有常见协议(TCP、UDP、ICMP、HTTP)并在DDoS攻击期间欺骗流量源的IP地址。Mirai攻击者正在积极利用新漏洞。7月,TrendMicro的同事发现了一个僵尸网络变体,它利用了ComtrendVR-3033路??由器中的CVE-2020-10173漏洞,影响了易受攻击的路由器及其连接的网络。随后在8月,有消息称Mirai变体利用CVE-2020-5902漏洞攻击BIG-IP产品。BIG-IP产品包括防火墙、负载平衡、访问控制程序和僵尸网络保护系统。该漏洞可用于执行任意命令、上传和删除文件、禁用服务和运行JavaScript脚本。对于实际的DDoS攻击,第三季度似乎并不那么引人注目。关键是FancyBear、Armada、Collective和Lazarus等各种APT组织背后的攻击者实施的勒索软件攻击。勒索者向世界各地的组织发送比特币勒索邮件,索要5个比特币到20个比特币不等,并威胁如果对方不付款,将进行强大而持续的DDoS攻击。然后受害者会被垃圾邮件淹没,这表明威胁远未结束。8月和9月初,新西兰的多个组织遭到攻击,其中包括新西兰证券交易所(NZX),该交易所已下线数日。受害者还包括印度银行YesBank、Paypal、Worldpay、Braintree和其他金融公司。另一波带有DDoS威胁的勒索软件攻击已经影响到许多欧洲ISP。不过,不确定这是否是同一个恶意团伙所为。9月底,匈牙利的金融和电信公司遭到强大的DDoS攻击。据MagyarTelekom称,恶意流量来自俄罗斯、中国和越南。目前尚不清楚攻击者是否将勒索软件作为攻击的一部分。9月下旬,公共航班跟踪服务遭到一系列DDoS攻击,受害者包括瑞典网站Flightradar24和英国平台PlaneFinder,这些平台允许实时查看飞机运动。这些服务的需求量很大——接机可以检查航班是否准时,媒体在发布与飞机有关的事件时会使用这些信息。此次攻击的直接结果是,这些服务只能断断续续地工作,其官方推特账号也公布了被攻击的消息。例如,Flightradar24在推特上表示,他们在短时间内被击中了3次以上。美国公司FlightAware也公布了服务可用性问题,但没有具体说明是由于攻击还是故障。第三季度也有对媒体的传统攻击。8月24日,俄罗斯电视台Dozhd发生DDoS攻击,未知网络攻击者试图在白天和夜间新闻时段对其进行攻击,导致资源不可用。9月初,网络罪犯将目标对准了新闻机构UgraPRO。据媒体报道,攻击流量来自俄罗斯境内外IP地址,每秒请求数超过5000次。9月下旬,新闻门户《土库曼斯坦纪事报》和《俄罗斯卫星通信社》报告了他们的网站遭到攻击。最后,由于COVID-19大流行和俄罗斯的相关限制,俄罗斯毕业生的国家统一考试已推迟到今年7月举行。该事件还影响了DDoS方面,7月中旬,联邦教育和科学监督局(Rosobrnadzor)报告了对考试成绩查询门户的攻击。不过好在此时测试结果还没有上传,所以攻击毫无意义。随着学年的开始,预计会有更多与学校有关的袭击事件发生。例如,在佛罗里达州的迈阿密-戴德县,一波DDoS袭击了当地一家教育机构的网站,导致在线课程中断。9月3日,当FBI突击搜查学校时,一名青少年网络罪犯几乎是在同一时间被击中,这名网络罪犯于9月3日被捕。其他肇事者仍在调查中。说到FBI,该机构在第二季度针对企业发出了两次DDoS警告。7月,他们发布了一份文件,概述了新的攻击方法、检测方法以及预防方法。8月下旬,他们发布了一份关于DDoS勒索活动的详尽报告,并再次提供了应对此类攻击的技巧。2、季度走势第三季度,我们观察到各项指标较上季度都有明显下降。这很可能是由于第二季度异常的DDoS活动,而不是本季度的攻击活动停滞。如果我们将本季度与2019年同期进行比较,就会发现攻击总数比之前增加了1.5倍,而智能攻击的数量几乎翻了一番。2020Q2、2020Q3、2019Q3的DDoS攻击次数对比,其中以2019Q3的数据作为100%的参考值:与上一季度不同的是,第三季度可以说是正常的,我们终于迎来了这个季度。6月呈下降趋势。我们预计这会在2020年初发生,但实际上它在第二季度出现了异常高点。我们可以通过两个因素来解释这一趋势:(1)在COVID-19大流行期间,全球市场相对稳定。隔离措施实施九个月后,逐渐转向远程工作已不再是什么大新闻。公司适应了新的工作模式,IT部门填补了远程基础设施的空白,加固了关键节点。因此,适合攻击的目标较少。(2)加密货币市场的增长。比如以太坊价格走势图,可以参考下图,从中可以看出三季度涨幅明显。加密货币挖矿和DDoS攻击都是竞争激烈的市场。有许多僵尸网络执行这两种功能,它们的操作员会根据潜在收益在不同时间切换目标。第三季度,部分僵尸网络可能进入挖矿模式。2019年10月13日至2020年10月13日以太坊价格变化(来源:coindesk.com):季度统计1.方法论卡巴斯基实验室在打击网络威胁方面有着悠久的历史。类型多样、复杂的DDoS攻击。业务专家使用卡巴斯基DDoS情报来监控僵尸网络。DDoSIntelligence是卡巴斯基DDoS保护解决方案的一部分,可拦截和分析从C&C服务器发送到僵尸程序的命令。该系统是主动的,而不是被动的,这意味着它不必等待用户的设备被感染或命令被执行。本报告包含2020年第三季度的DDoS情报统计数据。在本报告的上下文中,只有僵尸网络活动之间的间隔不超过24小时的事件才被视为DDoS攻击。如果同一网络资源被同一僵尸网络攻击,间隔24小时或以上,则计为两次攻击。来自不同僵尸网络但针对相同资源的僵尸请求也被视为单独的攻击。DDoS受害者是根据其IP地址在地理上进行识别的。报告中,DDoS攻击的唯一目标数是根据季度统计的唯一IP地址数计算得出的。DDoS情报统计仅限于使用卡巴斯基检测和分析的僵尸网络。请注意,僵尸网络只是用于DDoS攻击的工具之一,我们无法涵盖时间范围内的所有DDoS攻击。二、季度统计结果攻击次数和目标数量前三位不变:中国(71.20%和72.83%)、美国(15.30%和15.75%)、香港特别行政区(4.47%和4.27%)。在受攻击次数最多的前10名中,出现了新面孔,即荷兰和越南。在目标数量排名中,针对亚洲地区的攻击兴趣明显下降:香港下降2.07个百分点,新加坡下降0.3个百分点,日本和韩国甚至没有上榜。但中国是个例外,针对中国的目标比例增加了6.81个百分点。第二节过后,第三节的攻击次数再次下降。而且,峰值(每天323次攻击)和谷值(每天1次攻击)之间的差异正在急剧增加。在第三季度,我们观察到8月底和9月初有所下降。期间共有3个低谷期,分别为8月31日、9月1日、9月7日,每天只有1次发作。此外,有五天每天的攻击次数少于10次。DDoS僵尸网络泛滥在星期四最为活跃,在星期五显着下降。在持续时间方面,Q3远远落后于Q1,但有两次攻击持续时间超过10天(分别为246小时和245小时),持续5-9天(12次)的攻击次数有所增加。本季度攻击类型分布与之前相比没有变化,SYNFlooding仍然是主要使用的方式(94.6%),其占比与上一季度相比没有变化。ICMP攻击占3.4%,HTTP洪水攻击占不到0.1%。Linux僵尸网络仍然领先于Windows僵尸网络,占攻击总数的35.39%。3.攻击的地理分布就攻击的地理分布而言,2020年第三季度并不令人意外。今年至今,攻击次数最多的前三名国家/地区出乎意料地稳定:中国(71.2%,较二季度上升6.08个百分点)、美国(15.3%,下降4.97个百分点)、香港特别行政区(4.47%,下降1.61个百分点)。尽管有一些变化,但中美之间的巨大差距和香港份额的明显下降没有改变。我们在2019年第三季度也看到了类似的情况。新加坡、澳大利亚和印度都上升了一位,分别从第五位上升到第四位,从第六位上升到第五位,从第七位上升到第六位。南非从第四位跌至第八位。究其原因,并不是这些国家的袭击占比更高,而是南非已经平静下来。7月至9月期间,南非的攻击份额下降了0.88个百分点至0.4%。同时,相对而言,新加坡的攻击次数较上一季度有所减少,DDoS攻击占比为0.85%(下降0.28个百分点)。澳大利亚和印度的份额增长大致相同(分别为0.27个百分点和0.24个百分点),前者达到0.65%,后者约为0.57%。排在印度和南非之间的是排名第七的荷兰,该国在2019年第三季度未能进入前10名。该季度,荷兰占所有攻击的0.49%。越南和英国在攻击次数方面名列前十。越南的攻击份额比第二季度增加了0.23个百分点,这是他们今年第二次以0.39%的份额进入前十。英国保持相对稳定,从第二季度的0.18%小幅上升至0.25%。2020年Q3和Q3DDoS攻击国家分布:目标的地域分布也发生了一些小的变化,只有两个新成员进入前十。前三名与第一季度相同,分别是中国、美国和香港。中国目标的比例继续增长。与上一季度相比,本季度增加了6.81个百分点,接近占全部指标的四分之三,即72.83%。美国损失了2.07个百分点,使目标份额达到4.27%。排在第四位的是新加坡,尽管目标数量有所减少(下降0.3个百分点至0.74%),但仍上升了一位以取代南非。越南以0.5%的份额排名第五,上一季度排名第七。之前提到过的南非以0.47%的份额排名第六。英国(0.35%)和荷兰(0.27%)分别排名第七和第八。这是他们自2019年第四季度和第三季度以来首次进入前十名,这些欧洲国家在亚洲超越日本和韩国。第三季度,澳大利亚(0.25%)和印度(0.23%)分别占据第六和第八的位置。2020年第3季度和第4季度按国家/地区划分的独特DDoS攻击目标:4.DDoS攻击量动态本季度的攻击数量差异很大。关于高峰期,DDoS攻击者在本季度打破了上一季度的记录,7月2日,我们记录了323次攻击(之前的峰值是4月份的298次)。此外,本季度出现了一些异常平静的日期,8月31日、9月1日和9月7日各有一次攻击记录。8月下旬和9月初的攻击总体上比较温和,这两个季度的一天内发生了100多次攻击8月25日至9月7日之间的周数(9月5日为181次),最多8天的攻击次数少于10天。我们关心的另一个问题是峰值和最接近峰值的指标之间的差异。在过去的几个季度中,最活跃的2-3天的攻击次数没有显着差异。第三节,常规被打破。除了7月2日的最高峰外,接下来的攻击强度位居第二的是7月13日,与7月2日相比,攻击次数减少了近20%。少了260倍。第三季度平均每天约发生106次攻击,比上一季度减少10次。2020年第三季度DDoS攻击数量动态:本季度网络犯罪分子最青睐的日期再次发生变化。最活跃的周三被周四(19.02%)取代,而最安静的周六被周五(10.11%)取代。两者差距也有所拉大,由上一季度的4.93个百分点扩大至8.91个百分点。这主要是因为周四是本季度最活跃的一天。除周六、周四外,周一的攻击占比也有所上升,但增幅不大,其他日子的攻击占比相应下降。2020年二、三季度DDoS攻击周分布情况:5、DDoS攻击持续时间及类型三季度平均攻击时间持续缩短,可以解释为超-持续时间短的攻击,实际上增加了5.09个百分点。但与上一季度不同的是,长时长(100-139小时)攻击占比并未明显下降(仅下降了0.08个百分点),而超长时长攻击占比则略有上升(上升了0.18个百分点)点)。在Q2,最长的攻击甚至没有超过9天,而本季度我们看到两次攻击持续时间超过10天(246小时和245小时),持续5-10天的攻击次数也增加了1.5倍。结果显示,大多数攻击(91.06%)持续4小时,4.89%持续5-9小时,2.25%持续10-19小时,2.09%持续20-49小时,0.4%持续50-99小时,只有0.08%持续了100-139小时。与以往不同的是,本季度持续140小时以上的攻击次数远超上一季度,占DDoS攻击总数的0.23%。2020年二、三季度DDoS攻击按攻击时长(小时)分布:与上一季度相比,不同攻击类型的分布没有变化,最常见的SYNflood也是如此。94.6%,而上一季度为94.7%。ICMP泛洪的百分比略有下降,从4.9%下降到3.4%,但排名保持不变。TCP攻击占总数的1.4%,上升了1.2个百分点。UDP攻击占0.6%。HTTP攻击占比最少,甚至不到0.1%。2020年第三季度DDoS攻击攻击类型分布:第三季度,Windows僵尸网络占比继续下降。这次他们的人数比上一季度减少了0.61个百分点,达到4.61%。Linux僵尸网络的比例也相应增加。2020年二季度和三季度Windows和Linux僵尸网络攻击比例分布:4.总结如果说2020年二季度的DDoS攻击数量让我们感到意外,那么三季度的数据显示已经恢复常态化。从独特目标的数量来看,与上一季度相比,欧洲似乎对网络犯罪分子更具吸引力,而日本和韩国等亚洲国家对网络犯罪分子的吸引力较低,但针对中国的兴趣仍然更大。高,且其攻击目标和攻击源的占比持续增长。本季度最高单日攻击次数与最低单日攻击次数形成鲜明对比。从DDoS分析的角度来看,所有这些指标都指向了2020年第三季度的矛盾。我们非常期待第四季度的数据。除非发生重大事件,否则我们预计第四季度将与2019年第四季度的统计数据相似。2019Q4,经过近两年的增长,DDoS攻击的趋势已经基本趋于稳定。
