事件回顾Lucifer僵尸网络于上个季度首次出现。它会感染Windows和Linux设备,使用TCP、UDP、ICMP、HTTP协议并欺骗流量源的IP地址。8月,Mirai变种通过CVE-2020-5902漏洞攻击BIG-IP产品。该漏洞可用于执行任意命令、上传和删除文件、禁用服务和运行JavaScript脚本。网络犯罪分子向世界各地的组织发送比特币勒索邮件,勒索赎金从5BTC到20BTC不等,如果拒绝付款,将进行持续的DDoS攻击。新西兰的多家组织在8月和9月初遭到袭击,包括新西兰证券交易所(NZX)、印度银行YesBank、PayPal、Worldpay、Braintree和其他金融公司也成为受害者。DDoS比特币勒索影响了许多欧洲ISP,但不确定是否由同一组织发起。9月底,匈牙利的金融和电信公司遭到来自俄罗斯、中国和越南的垃圾邮件流量的DDoS攻击。9月初,网络犯罪分子对新闻机构UgraPRO发起攻击,以每秒超过5,000个请求的速度从俄罗斯和国外的IP地址发送垃圾邮件。第三季度趋势第三季度,DDoS攻击各项指标明显下降。与2019年同期数据相比,总攻击次数增长1.5倍,智能攻击次数几乎翻了一番。本季度,在冠状病毒大流行的情况下,全球市场趋于稳定,远程工作不再是新闻,企业适应了新的工作模式,IT部门填补了远程基础设施的漏洞并加固了适合攻击的关键节点。目标减少。加密货币市场增长。例如,第三季度以太坊价格的显着上涨。挖矿和DDoS竞争激烈,很多僵尸网络可以同时执行这两种功能,并根据收益选择将资源投放到哪里。在第三季度,一些僵尸网络可能已经转向挖矿任务。季度亮点:从攻击次数和目标数量来看,TOP3保持不变:中国(71.20和72.83%)、美国(15.30和15.75%)和香港(4.47和4.27%)。从目标数量来看,亚洲下降明显:香港下降2.07个百分点,新加坡下降0.3个百分点。中国除外,其目标份额增加了6.81个百分点。第三季度的攻击次数有所下降。DDoS僵尸网络在周四最为活跃,在周五大幅下降。在持续时间方面,Q3远远落后于Q1,但有两次记录的攻击持续时间超过10天(246和245小时),并且持续5-9天的攻击次数(12次持续121-236小时的攻击)增加.攻击类型分布没有变化:SYNflood仍然是主要工具(94.6%),ICMP攻击占3.4%,HTTPflood不到0.1%。Linux僵尸网络仍然领先于Windows僵尸网络,占攻击总数的95.39%(比上一季度上升0.61%)。地域分布今年前三名的攻击分别是:中国(71.2%,比二季度上升6.08个百分点)、美国(15.3%,下降4.97个百分点)和香港(4.47%,下降1.61个百分点)。新加坡、澳大利亚和印度均有所提升(分别从第五位升至第四位,第六位升至第五位,第七位升至第六位),而南非则从第四位升至第八位。攻击目标的地域分布没有明显变化,前三名与上一季度相同:中国、美国和香港。中国目标份额增加了6.81个百分点。在美国下跌3.57%之后,香港下跌2.07%。攻击量分析本季度攻击次数变化较大。在活动高峰期,DDoS打破了前一时期的记录:7月2日记录了323次攻击(4月为298次),8月31日和9/1/7仅发生了一次攻击。持续时间和类型第三季度的平均攻击持续时间有所减少。大多数攻击(91.06%)持续4小时,4.89%持续5-9小时,2.25%持续10-19小时,2.09%持续20-49小时,0.4%持续50-99小时,0.08%持续100-139小时.不同类型攻击的分布没有变化,第三季度SYN泛洪为94.6%,第二季度为94.7%。ICMP略有下降(从之前的4.9%下降到3.4%),TCP攻击占1.4%,UDP攻击占0.6%,HTTP攻击很少见。Windows僵尸网络份额在第三季度继续下降。总结与上一季度相比,网络犯罪分子更青睐欧洲,日本和韩国等亚洲国家的吸引力有所下降,但对中国的兴趣仍然很高。短期和超短期攻击以及多日攻击的数量有所增加。预计Q4指标与2019年底指标相当,经过近两年的增长,DDoS市场或趋于稳定。由于圣诞节和新年,第四季度通常是最繁忙的时间段。年终攻击通常比第三季度高出30%左右。原文链接:securelist
