一、概述2020年初以来,由于COVID-19大流行,人们的生活几乎完全转移到互联网上——全世界的人们开始工作、学习和购物在线和在线娱乐,这种情况是前所未有的。这在最近的DDoS攻击目标中得到了很好的体现,攻击者在第一季度将重点放在针对医疗机构、交付服务以及游戏和教育平台网站的资源上。例如,在3月中旬,攻击者试图封锁美国卫生与公众服务部(HHS)的网站。攻击者的目标似乎是阻止公民获取有关疫情的相关信息和政府采取措施的官方数据。与此同时,不明攻击者通过社交网络、短信、邮件等方式散布全国封锁的虚假消息。然而,攻击者的这些尝试都失败了——尽管流量增加了,但HHS网站仍在继续运行。DDoS攻击的另一个受害者是AssistancePublique-H?pitauxdeParis,这是一家位于巴黎的大型医院。网络罪犯试图破坏医疗机构的基础设施,导致医院的远程工作人员在一段时间内无法访问程序和电子邮件。然而,袭击者并没有破坏整个医院的工作。针对外卖服务Lieferando(总部位于德国)和Thuisbezorgd(总部位于荷兰)的攻击更为明显,由于攻击者的DDoS攻击,两家公司能够接收订单但无法处理订单,最终退还客户的付款。而且,针对Lieferando的网络犯罪分子从该公司勒索了2BTC(在撰写本文时超过13,000美元)以阻止DDoS攻击。德国远程学习平台Mebis允许巴伐利亚州的教师与学生共享材料、发布作业和进行测试,但在远程教学的第一天就遭到了攻击。攻击发生后,该服务中断了几个小时。由于封锁,在线游戏的人气猛增。在此期间,攻击者对战网和星战前夜的服务器发起了流量攻击,星战前夜的攻击持续了9天。与此同时,白俄罗斯公司Wargaming也遭到攻击。其《坦克世界》、《战舰世界》等游戏的玩家已经连续几天遇到服务器速度问题。然而,一些持怀疑态度的用户声称这些问题与网络犯罪分子无关。澳大利亚当局在3月下旬报告MyGov社会服务门户网站遭到DDoS攻击后数小时,他们被迫承认他们错了。事实证明,由于冠状病毒大流行,其网站无法处理流量,导致大量公民失业并涌入该网站提出真正的需求。除了与COVID-19直接或间接相关的DDoS攻击外,本季度还继续发生出于政治动机的攻击。例如,1月下旬,不明网络攻击者两次攻击希腊政府机构和紧急服务网站,暂时无法访问的网站包括总理网站、多个部委、消防部门和警察局。土耳其攻击组织AnkaNeferlerTim声称对第一次袭击负责,但希腊当局并未急于得出任何最终结论,也没有任何组织声称对第二次袭击负责。今年,将举行下届美国总统大选,我们推测这将像往常一样,伴随着DDoS攻击。例如,2月初,一个选民登记信息网站遭到攻击。攻击者利用PRSD(伪随机子域攻击)技术向网站不存在的子域发送大量请求。但是,此DDoS尝试未成功。金融机构也未能幸免。2月,加密货币交易所OKEx和Bitfinex遭受了复杂的DDoS攻击。OKEx在确保用户不受影响的情况下处理了该事件,而Bitfinex则被迫下线一个小时。Bitfinex管理层表示,临时下架是为了建立专门的保护措施。目前,我们无法确定这两起事件是否相关。加密货币交易所BitMEX本季度也发现了DDoS攻击。攻击者选择在比特币市值大幅下跌的时刻发起攻击,导致网站访问出现问题,引发部分客户对该平台的怀疑。一些人认为,该交易所是故意下线的,以防止用户大量抛售。随后,BitMEX承诺赔偿,但仅限于156名在ETH/USD交易中丢失订单的用户。与上一季度一样,知名APT组织的勒索软件攻击也上了新闻。2月下旬,澳大利亚金融机构收到勒索邮件,要求以加密货币Monero支付大笔赎金。攻击者自称是SilenceGroup,并威胁说如果不支付赎金,就会对目标进行DDoS攻击。此前,新加坡、土耳其、南非等国家的公司都收到过类似威胁的邮件。这些勒索者使用CozyBear、FancyBear、Anonymous、Carbanak、Emotet等不同知名攻击组织的名称,希望受害人Google这些组织,感到恐惧,最终服从勒索者提出的条件。与这些国际勒索团伙不同的是,一名来自敖德萨的少年去年试图对一家拒绝合作的公司发起DDoS攻击,并于2020年1月被警方抓获。这名少年试图威胁乌克兰互联网服务提供商交出有关信息他们的客户。遭到拒绝后,他试图攻击公司的网络。据报道,这次攻击的流量非常大。总体而言,执法机构在过去一个季度也逮捕了不少刑事案件。2月,ArthurDam在美国被拘留,罪名是在2018年对国会候选人B??ryanCaforio的网站进行4次DDoS攻击,导致网站离线21小时。检方称达姆的妻子为卡福里奥的竞争对手凯蒂希尔工作,后者最终赢得了选举。3月中旬,另一名网络犯罪分子因攻击俄罗斯切列波韦茨一家公司的网上商城而在克拉斯诺达尔被拘留。尽管犯罪分子试图隐瞒DDoS攻击的来源,但网络警察还是设法追踪到了他。他自己声称只是想展示自己的技术,为公司提供防御DDoS攻击的服务。不过,这个想法显然是失败了,因为他根本无法成功攻击公司的地盘。上面的罪犯显然不是DDoS世界中唯一的“双面间谍”。在新泽西州,DDoS保护公司BackConnect的创始人塔克普雷斯顿承认了类似的指控。从2015年12月到2016年2月,Preston聘请第三方轰炸了一个未知组织位于新泽西州的服务器。该罪行最高可判处10年监禁和最高250,000美元的罚款。用于发起自定义DDoS攻击的网站所有者也面临法律风险。视频游戏制造商育碧在发现汤姆克兰西的彩虹六号围攻服务器遭到一系列攻击后,已对该资源提起诉讼。根据开发人员的说法,该网站据称可以帮助客户测试自己的安全性,实际上专门研究DDoSing游戏服务器。目前,育碧正要求强制关闭该网站,并向网站所有者索赔经济损失。2.季度趋势本季度,主要攻击活动与COVID-19大流行有关。随着病毒的传播,它已经影响到包括DDoS趋势在内的许多方面。与我们在上一季度报告中的预测相反,在2020年第一季度,我们看到DDoS攻击的数量和质量都有显着增加。与上一报告期相比,攻击次数翻了一番;与2019年第一季度相比,攻击次数增加了80%。与此同时,攻击的持续时间也变长了,我们观察到本季度的平均持续时间和最长持续时间都有显着增加。每年第一季度,DDoS活动数据都会有一定的增长,但我们没有预料到会出现这样的激增。2020年一季度与2019年一、四季度DDoS攻击总次数对比,以2019年一季度为100%参考值:2020年一季度及一、四季度DDoS攻击时长2019年四季度对比,以2019年一季度为100%参考值:在整体增长的背景下,智能攻击占比与过去一年几乎没有变化。2019年和2020年第一季度处于同一水平,约为42%。这表明专业和业余攻击者都对DDoS攻击更感兴趣。总攻击次数和智能攻击次数都在以同样的速度增长,所以比例没有变化。与2019年第一季度和第四季度相比,2020年第一季度智能攻击占DDoS攻击总量的百分比:有趣的是,与2019年同期相比,针对教育和行政网络资源的DDoS攻击数量减少了两倍。此外,此类攻击占2020年第一季度事件总数的19%,而前一年仅为11%。网络犯罪分子对此类资源的兴趣增加可能与COVID-19的传播有关。随着COVID-19的传播,对远程学习服务和官方资源的需求不断增加。进入2020年以来,病毒大流行几乎影响了所有行业。所以,对DDoS领域也有影响,这也在情理之中。展望未来,我们认为这种影响可能会更加明显。在当前全球不稳定的情况下,很难预测任何事情,但我们可以推测攻击活动不会减少。原因是越来越多的组织正在转向远程工作,可以攻击的目标数量也在增加。平时可攻击的目标通常是企业的公共资源,但现在可攻击的目标可能转移到关键基础设施,如企业VPN网关、邮箱、企业等非公共Web资源。知识库。这种范围的变化无疑为攻击者打开了新的大门,并可能导致DDoS市场的增长。3.统计数据1.方法论卡巴斯基实验室在打击网络威胁方面有着悠久的历史。我们已经解决了各种类型的攻击和复杂的DDoS攻击。我们的专家使用卡巴斯基DDoS情报来监控僵尸网络的动态。DDoS情报是卡巴斯基DDoS保护的一个组件,它拦截和分析机器人从C&C服务器接收到的命令。该系统是主动的而不是被动的,因此无需等待用户的设备被感染或命令被执行。本报告提供了2020年第一季度的DDoS情报统计数据。在本报告中,我们将间隔不超过24小时的僵尸网络活动视为DDoS攻击。例如,如果同一个网络资源被同一个僵尸网络攻击两次,但是两次攻击之间的间隔是24小时或更长时间,我们就将其算作两次攻击。同时,来自不同僵尸网络的针对同一资源的僵尸请求也被视为单独的攻击。DDoS攻击受害者和用于发送命令的C&C服务器的地理位置是根据各自的IP地址确定的。本报告中的DDoS攻击的唯一目标数量是根据季度统计中的唯一IP地址数量计算得出的。DDoS情报统计仅限于卡巴斯基检测和分析的僵尸网络。需要注意的是,僵尸网络只是DDoS攻击所使用的工具之一,我们并没有涵盖监测期间发生的每一次DDoS攻击。2.季度总结2020年第一季度,大多数C&C服务器仍注册在美国(39.93%),而大多数Bot主机位于巴西。从攻击总数的动态来看,本季度与上一季度非常相似,2月14日和15日的攻击次数超过230次,1月25日下降到16次。DDoS攻击者在周一最为活跃,一些攻击者星期三休息。SYN洪水仍然是最流行的攻击类型(以92.6%的攻击巩固了其地位),而ICMP攻击出人意料地跃居所有攻击类型的第二位。Windows僵尸网络继续流行,它们的攻击份额上升了3个百分点,达到5.64%。3.攻击者使用的唯一IP地址的地理分布本季度,我们决定开始研究僵尸主机及其组成的僵尸网络的国家分布。为此,我们根据之前部署的蜜罐分析了攻击中使用的唯一IP地址的位置。在僵尸主机数量最多的前十个国家中,巴西位居首位,拥有12.25%的独立IP地址。排在第二位的是中国(11.51%),仅落后两个百分点。而埃及(7.87%)排名第三,与前两名差距较大。对于排名前十的其他国家,僵尸网络的比例从6.5%到2.5%不等。我们注意到,一些亚洲国家也跻身前十。越南(6.41%)排名第四,台湾(3.96%)排名第七,伊朗(5.56%)排名第五,俄罗斯(4.65%)排名第六。美国(3.56%)排名第九,土耳其(2.86%)排名第十。2020年第一季度僵尸网络的地理分布:奇怪的是,这种分布仅与攻击维度统计相关。虽然中国长期以来一直是攻击次数最多的国家,而越南是前10名的常客,但在独特IP数量方面排名领先的巴西在过去一年才进入前20名。2019年第一季度,巴西排名第20。大多数时候,巴西位于TOP30的靠后位置,这与伊朗等国家不同。至于僵尸网络数量排名第三的埃及,该国已知的攻击事件很少,甚至没有进入前30名。4.僵尸网络的地理分布攻击设备主要分布在南美、亚洲和中东,而C&C服务器与上一季度相同,主要位于美国和欧洲。美国的C&C数量仍然位居榜首。2020年第一季度,美国的C&C数量占总注册量的近40%,较上年末下降18.5个百分点。荷兰以10.07%从第八位上升到第二位。第三名是德国(9.55%),上季度没有进入前十。如前所述,在C&C服务器数量最多的前三个国家中,只有美国拥有大量的僵尸主机。C&C量排名第四的是另一个欧洲国家,本季度是法国(8.51%),相比上一季度上升了两位。另一方面,中国本季度表现出完全相反的趋势,从第三位(上一季度的9.52%)下降到第五位(3.99%)。加拿大(2.95%)从第九位上升到第六位。并列第七的是俄罗斯、罗马尼亚和新来的克罗地亚,占2.43%。排名第十的是另一个新成员新加坡,占总数的2.08%。2020年第一季度僵尸网络C&C服务器地域分布:5、DDoS攻击数量动态变化分析2020年第一季度攻击数量动态变化,我们可以发现很多类似的情况我们在2019年底看到了类似的情况。攻击高峰每天不超过250次,数量最多的两天分别是2月14日和2月15日,分别有242次和232次攻击,2月3日和2月10日。一天是1月25日和3月18日,两次袭击都没有超过20次。回想2019年第4季度,这是最平静的一天,只有8次有记录的攻击。2020年第一季度DDoS攻击数量动态趋势:过去一个季度,周一的攻击数量明显增加,上升了近4个百分点,从上一季度的14%上升到近18%。本季度,一周中最安静的时间是周三,占比略高于11%,较上一季度下降3.7个百分点。周四在攻击强度方面也相对平静。2019年第四季度和2020年第一季度DDoS攻击时间分布:6.DDoS攻击类型过去一个季度,DDoS攻击类型分布发生了一些明显的变化,ICMPflood攻击增加了2个百分点分,并从最后一名(1.6%)升至第二名(3.6%)。随后,HTTP泛洪占比达到2019年1月以来最低,仅为0.3%,排名垫底。UCP和TCP泛洪再次交换位置。唯一不变的是排在第一位的SYN泛洪,占比持续增长,达到92.6%的历史新高,超过了上一季度创下的84.6%的历史记录。2020年第一季度DDoS攻击类型分布:本季度,Windows僵尸网络更加流行。上一季度,该类型占比仅为0.35个百分点,但本季度上升了3个百分点,直接从2.6%上升至5.64%。尽管如此,Linux僵尸网络仍然占据主导地位,十分之九的活动始终部署Linux僵尸网络(94.36%)。2019年第四季度和2020年第一季度Windows/Linux僵尸网络攻击占比:4.总结2020年第一季度没有大的影响。按C&C服务器数量排名前10的名单迎来了两个新来者,克罗地亚和新加坡,同时看到了两个熟悉的面孔,罗马尼亚和德国。尽管我们观察到Windows僵尸网络和ICMP洪水的比例有所增加,但这并未对整体情况产生重大影响。只有在一周内,攻击的时间分布发生了实质性的变化,但即便如此,也只能说明攻击者重新分配了工作,并没有发生实质性的变化。情人节那天,DDoS攻击的数量先增后减,这也是可以预见的季节性现象。
