青松資訊:2018年第四季度DDoS攻擊報告
青松劃重點
△本季度,DDoS的活動頻率下降,但攻擊的技術水平上升,並且出現了一些新興的殭屍網路,如Chalubo bot、Torii、DemonBot等。
△中國境內比較活躍的殭屍網路家族為XorDDoS、Gafgyt、BillGates。
△中國仍然是DDoS攻擊數量最多的國家,但所佔份額大幅下降,全球排名前十的國家變動較大,可能是因為各國嚴厲打擊殭屍網路等舉措的結果。
△另一些國家本季度排名上升,可能是因為通訊基礎設施的更新換代。
新聞概述
△在2018年第四季度,安全研究人員發現了一些新的殭屍網路,其中不僅包括Mirai家族的變種。去年秋天,Chalubo殭屍網路的活動有所增加,它的第一次攻擊記錄出現在8月底。Chalubo主要是一款專為DDoS攻擊而設計的新“產品”(檢測到的樣本之一使用了SYN flood)。10月份,人們開始在網際網路攻擊活動中看到Chalubo bot家族的活動蹤跡;研究人員檢測到為不同架構(32位和64位ARM、x86、x86_64、MIPS、MIPSEL、PowerPC)建立的版本,這表明該殭屍網路已完成測試,進入到成熟階段。
△同樣是在10月份,Avast專家一個月前檢測到的Torii 殭屍網路的細節被公開。殭屍網路的目標是廣泛的物聯網裝置和架構。它的程式碼與Mirai有很大的不同——惡意軟體隱藏地更好,永續性更高,因此更危險。惡意軟體收集併發送有關受感染裝置的詳細資訊到其C&C伺服器,包括主機名和程序ID,但目的尚不清楚。沒有發現基於Torii殭屍網路的DDoS攻擊,該網路發展大概還處於早期階段。
△上一季的另一個殭屍網路家族,綽號“惡魔機器人”(DemonBot),因為其在執行YARN遠端命令時通過漏洞而劫持Hadoop叢集而備受關注。這款機器人技術上並不複雜,但因為其攻擊目標的特殊性而提高了危險性:Hadoop叢集的計算能力很強,因為它們是為處理大資料而設計的;更重要的是,由於集成了雲端計算,它們可以顯著增強DDoS攻擊。“惡魔機器人”不僅與Hadoop叢集相容,而且與大多數物聯網裝置相容,這使得攻擊更多的目標對它來說輕而易舉。
△上個季度,專家們不僅預告了新的殭屍網路的活躍,還警告了新的攻擊機制。例如,FragmentSmack的可部署性比之前認為的要廣泛。這種攻擊利用IP堆疊中的一個漏洞——該漏洞允許將有缺陷的資料包偽裝成更大訊息的片段傳送,被攻擊的資源試圖將這些包收集到一個包中,或者將它們放在一個無窮無盡的佇列中,這會佔用它所有的計算能力,使它無法處理合法的請求。起初安全專家認為FragmentSmack只會對Linux系統構成威脅,但去年12月,來自芬蘭的研究人員發現,它在Windows 7、8.1、10、Windows Server和90種思科產品上也可以完美執行。
△另一種發展勢頭良好的攻擊方法是使用2014年批准廣泛應用的CoAP協議。它的最初設計目的是促進具有少量記憶體的裝置之間的通訊,使其成為物聯網的理想選擇。由於CoAP基於UDP協議,它繼承了後者的所有缺陷,這意味著可以利用它來增強DDoS攻擊。到目前為止,使用CoAP協議來發動攻擊的例子還不多;然而,專家指出,在2017年11月至2018年11月期間,使用CoAP的裝置數量增加了近100倍,因此不可對這種攻擊方法放鬆警惕。
△除了新的潛在攻擊手段外,2018年末還出現了一個新的DDoS攻擊平臺,名為0x-booter。這項服務於2018年10月17日首次被發現,基於感染了Bushido IoT惡意軟體(Mirai的改良版)的1.6萬多臺肉雞網路,它可以支援最高420 Gb/s的攻擊能力。這個平臺借用了同類服務的程式碼,其簡單、低成本和相對強大的功能是非常危險的:只需花費20-50美元,任何人都可以使用這個簡單的介面對目標發起DDoS攻擊。據研究人員稱,僅在10月下旬,該服務就在300多起DDoS攻擊中得到應用。
△正是有了這些資源,網路罪犯們在整個10月份針對日本電子遊戲發行商Square Enix發起了一場聲勢浩大的DDoS攻擊活動。第一波襲擊發生在月初,與此同時育碧(Ubisoft)的法國分部也遭遇了襲擊(在10月4日《刺客信條奧德賽》上映之時),第二波襲擊發生在幾周後。攻擊切斷了使用者服務將近20小時。
△同時,執法機構也盡職盡責。去年Q4季度,各國有多位涉及組織、參與DDoS攻擊的人被逮捕並判刑。 這是一些國家在本季度的DDoS攻擊活動態勢中腳步放緩的重要原因。
季度及年度趨勢
2018年,我們記錄的DDoS活動比前一年 減少了13% 。在此期間,除了第三季度外,每個季度的攻擊次數都有所下降。由於9月份異常活躍,第三季度的攻擊次數超過了2017年第三季度。最大的降幅出現在第四季度,攻擊次數僅為2017年的70%。
2017 – 2018年Kaspersky Lab記錄的DDoS攻擊次數季度對比
H2攻擊的平均持續時間在一年內穩步增長:從第一季度的95分鐘增長到第四季度的218分鐘。
在我們以往的報告中,最常見的大規模攻擊型別是UDP Flood。然而,當比較攻擊持續時間時,情況就大不相同了。首先是HTTP Flood和使用HTTP元素的混合攻擊——它們佔所有DDoS攻擊活動的80%左右。與以往經驗相反,我們今年觀察到的UDP攻擊很少持續超過5分鐘。
攻擊持續時間的型別分佈,2018年
所有這些都表明,正如我們預測的那樣,簡單、易於組織的攻擊市場將繼續萎縮。標準的DDoS攻擊由於反UDP Flood保護措施的升級而變得毫無意義,另外,所涉及的技術資源總是要被用於其他目的,比如加密貨幣挖掘。
許多短時間攻擊可以理解為攻擊者在進行簡單的測試。只需幾分鐘,網路罪犯就會發現他們的工具是否有效並停止攻擊,這不能理解為正式的攻擊活動。
與此同時,更復雜的攻擊(如HTTP Flood)需要耗費時間和精力來組織,仍然很流行,並且呈持續上升趨勢。
因此我們預估2019年的攻擊趨勢將是:
隨著攻擊的持續時間、威力和影響的增長,攻擊總數將下降;攻擊技術水平也將提高。市場對攻擊者的專業性提出了更高的要求,DDoS攻擊的組織者將不得不提高他們的技術水平。
季度總結
中國仍然是DDoS攻擊數量最多的國家,但其份額從77.67%下降到50.43%,降幅相當大。美國排名第二(24.90%),澳大利亞排名第三(4.5%)。與上季度相比,前十名單裡少了俄羅斯和新加坡,多了巴西(2.89%)和沙烏地阿拉伯(1.57%)。
按目標地域分佈來看,中國(43.26%)、美國(29.14%)和澳大利亞(5.91%)仍然領先。也就是說,中國的份額大幅下降,而其他所有排名前10位的國家的份額都有所上升。
上一季度基於殭屍網路的攻擊大多發生在10月份;假期和節前的時間比較平靜。就周動態而言,攻擊活動在週中上升,在接近尾聲時下降。
Q4是近年來持續時間最長的一次,持續了近16天(329小時)。總的來說,短時間攻擊的比例略有下降,但波動很小。
UDP Flood的比例顯著增加,幾乎佔所有攻擊的三分之一(31.1%)。然而,SYN Flood仍然處於領先地位(58.2%)。
隨著Mirai C&C伺服器數量的增加,美國(43.48%)、英國(7.88%)、荷蘭(6.79%)的市場份額也隨之增加。
攻擊地理
在2018年最後一個季度,中國仍然是DDoS攻擊最多的國家。但是,其份額降低了超過20個百分比:從77.67%到50.43%。
與此同時,排名第二的美國所佔比例幾乎翻了一番,達到24.90%。第三名澳大利亞的份額也幾乎翻了一番(從2.27%增至4.5%)。香港地區的佔額僅小幅上升(從1.74%降至1.84%),導致香港地區的排名跌至第六位。第四名為巴西,本季度佔額為2.89%。
出人意料的是,沙烏地阿拉伯的排名上升到了第7位,其所佔份額升至1.57%。這一次,前10名沒有留給俄羅斯和新加坡的空間。韓國在第三季度跌至第11位之前,已經連續幾年位居前3位,不僅未能重返前10位,而且跌至第25位。
2018年Q4和Q4 DDoS攻擊的國家分佈
2018年Q3和Q4按國家劃分的DDoS攻擊目標分佈
DDoS攻擊的持續時間和型別
我們監測到的最長的第四季度攻擊持續了近創紀錄的329小時(近14天);對於更長的攻擊,我們必須回到2015年末。這大約是上一季度最長攻擊時間239小時(約10天)的1.5倍。
在上一季度,超過140小時的攻擊總數僅小幅增長(+0.01%)至0.11%。長時間攻擊的比例(50-139小時)也從0.59%上升到1.15%。然而,在5-9小時的攻擊中上升最顯著:從5.49%上升到9.40%。
因此,持續時間少於4小時的短時間攻擊的比例略有下降,為83.34%。相比之下,在第三季度,他們佔了所有攻擊的86.94%。
上個季度按型別劃分的攻擊分佈經歷了一些調整。SYN flood仍然是最常見的,但是它的份額從83.20%下降到了58.20%。這使得UDP flood在所有DDoS攻擊中所佔的份額從第三季度的11.90%上升到近三分之一(31.10%)。
排在第三位的是TCP flood,其份額也上升到了8.40%。通過HTTP進行攻擊的份額下降到2.20%。ICMP Flood再次排在最後,其所佔比例降至0.10%。
DDoS攻擊的型別分佈,2018年Q4
Windows和Linux殭屍網路的比例在第三季度幾乎沒有變化。Linux殭屍網路的份額略有上升,達到97.11%。因此,Windows殭屍網路的份額下降到2.89%。
2018年Q3和Q4 Windows/Linux殭屍網路攻擊比率
殭屍網路地理分佈
在殭屍網路C&C伺服器分佈方面,美國仍然領先,所佔份額從37.31%擴大到43.48%。排在第七位的俄羅斯(4.08%)讓位給了英國(7.88%)。第三名荷蘭其所佔份額從2.24%升至6.79%。值得注意的是,所有這些增長都歸因於Mirai C&C伺服器數量的增加。
中國所佔比例(2.72%)繼續下滑,在第四季度仍排在第十位。
殭屍網路C&C伺服器的國家分佈,2018年Q4
中國境內的攻擊資料
本季度利用肉雞發起DDoS攻擊的控制端中,境外控制端最多位於美國;境內控制端主要位於貴州省,江蘇省、廣東省和浙江省,按歸屬運營商統計,電信佔的比例最大。
境內肉雞控制端所屬省份及運營商分佈,2018年Q4
本季度參與攻擊較多的肉雞地址主要位於山東省、江蘇省、浙江省和福建省,其中大量肉雞地址歸屬於電信運營商。2018年以來監測到的持續活躍的肉雞資源中,位於山東省、江蘇省、浙江省佔的比例最大。
本季度被利用發起反射攻擊境內反射伺服器數量排名靠前的省份和主要運營商是:
Memcached反射攻擊 – 河南省、廣東省、山東省;電信
NTP反射攻擊 – 河北省、河南省和山東省;聯通
SSDP反射攻擊 – 遼寧省、浙江省、廣東省、吉林省;聯通
結論
連續第三季度,根據攻擊次數、目標數量和殭屍網路C&C伺服器數量,排名前10位的國家排名繼續波動。DDoS活動的增長趨勢在以前相對較低的地方最為強勁,而曾經占主導地位的國家則出現了下滑。這很可能是他們成功執法和打擊殭屍網路等舉措的結果。
另一個原因可能是在DDoS攻擊不可行的地區出現了更好的通訊基礎設施,導致這些地區攻擊數量的攀升。
根據前文中2019年DDoS攻擊活動的趨勢預測,DDoS攻擊將根據市場需求而進行技術升級,從而具有更高的技術含量,更加難以防護。因此對於網際網路企業,防禦難度將日趨增長;對於網際網路安全服務提供商,也提出了更高的技術要求。
*參考資料來源:Kaspersky Lab、國家網際網路應急中心CNCERT、ZDNet、DARKReading。青松編譯,轉載請註明。