卡巴斯基发布2018第二季度DDoS报告 59%攻击事件发生在中国

网络犯罪分子继续寻求新的非标准扩增方法。甚至在对最近基于Memcached的攻击消退之前,专家们发现了一种使用另一种漏洞的放大方法 – 自2001年以来就已知的通用即插即用协议。它允许从几个端口发送垃圾流量而不仅仅是一,随机切换,这阻碍了阻塞过程。专家报道可能使用这种方法的两次攻击(4月11日和26日); 在第一种情况下,DNS攻击通过UPnP放大,而在第二种情况下,同样适用于NTP攻击。此外,卡巴斯基DDoS保护团队观察到利用CHARGEN协议中的漏洞的攻击。使用相同的协议放大洪水(以及其他方法)的针对提供商ProtonMail的略微弱的攻击,其原因是该公司的执行董事发表了令人不快的评论。

Q2季度攻击事件

新的僵尸网络正在给网络安全专家带来更多麻烦。一个值得注意的案例是在日本建立了由50,000个监控摄像头组成的僵尸网络。Hide-n-Seek恶意软件的新变种造成了严重的威胁,这是所有已知僵尸网络中首先发现的,在某些情况下,它可以重新启动它开设商店的设备。确实,这个僵尸网络尚未被用于执行DDoS攻击,但专家并不排除在稍后阶段添加此类功能,因为僵尸网络货币化的选项并不多。

最流行的攻击加密货币方法之一仍然是攻击加密货币网站和交易所。更重要的是,DDoS攻击不仅用于阻止竞争对手增加他们的投资者,而且还用作一种大赚钱的方式。加密货币Verge的事件就是一个例子:5月下旬,一名黑客袭击了Verge采矿池,并以1.5亿卢比(170万美元)的价格取得了成功。在两个月的时间里,虽然前面的攻击不是DDoS,但是货币被黑了两次。

不仅如此,6月5日,网络犯罪分子推翻了Bitfinex加密货币交换,系统崩溃后出现了一波垃圾流量,这表明多阶段攻击可能会破坏网站的可信度。这可能导致该知名的在线扑克网站,美洲棋牌室,遭受DDoS攻击,有竞争力的竞争迫使第一中断,然后比赛取消。有传言说这次袭击可能是对唐纳德特朗普和金正恩化身的游戏内可用性的政治抗议。

与往常一样,上一季度大多数媒体炒作都是出于政治动机的DDoS攻击。4月中旬,英国和美国的执法机构警告说,俄罗斯(据称是克里姆林宫赞助的)黑客在美国,欧盟和澳大利亚缉获了大量设备,以期进行未来的攻击。然后就在几天之后,4月下旬,这是俄罗斯的一个目标受到了打击:俄罗斯最大的政党 – 统一俄罗斯的网站已经停止了整整两天,但是关于幕后策划者的公众猜测却很少。

对丹麦铁路公司DSB的袭击事件据称也是出于政治动机,该公司多年来一直在努力为乘客提供服务。有人认为这是去年秋天对瑞典基础设施的攻击的延续。

在本季度末,人们的注意力集中在墨西哥选举和对反对党网站的攻击上,该网站主办有关竞争对手非法活动的材料。根据受害者的说法,这次袭击是在选举前的辩论中开始的,当时该党的候选人向观众展示了一张带有网站地址的海报。然而,有人立刻传言DDoS不是罪魁祸首,而是Slashdot效应,Reddit用户也称之为“拥抱死亡。”这种现象自互联网出现以来一直存在,当时带宽是一个主要问题。但到目前为止,在媒体炒作的背景下,一个小型资源遭受大量合法网络流量的影响仍然存在。

卡巴斯基DDoS保护团队在初夏也观察到了Slashdot效应。在俄罗斯总统召开新闻发布会后,一个覆盖该事件的主要新闻媒体经历了数万个同时发送的HTTP GET请求的强大浪潮。假设僵尸网络的大小表明涉及物联网设备的新一轮攻击,但KDP专家的进一步分析表明,用户代理HTTP头中的所有可疑查询都包含子串“XiaoMi MiuiBrowser”。实际上,安装了浏览器应用程序的小米手机的所有者收到了关于会议结果的推送通知,似乎许多人对此感兴趣并且跟随链接,导致请求过多。

与此同时,执法机构一直在尽一切努力防止有组织的攻击:4月下旬,欧洲刑警组织成功关闭了世界上最大的DDoS租用服务Webstresser.org。当它最终被阻止时,该门户网站拥有超过136,000个用户,并且近年来已成为超过400万次DDoS攻击的来源。在Webstresser倒闭后,报告了相互矛盾的趋势:一些公司观察到欧洲的DDoS活动显着下降(尽管他们警告说这种下降的时间相对较短); 但是,其他人指出,所有地区的攻击次数都有所增加,这可能是攻击者试图通过创建新的僵尸网络和扩大旧僵尸网络进行补偿的结果。

最重要的是,几个DDoS攻击主谋被抓获并被定罪。德国黑客ZZboot因赎金要求袭击德国和英国主要公司而被判刑。然而,他避免了入狱时间,接受了22个月的缓刑。在欧亚大陆的另一端,在台北,一名名叫Chung的黑客因涉嫌袭击台湾调查局,总统府,中华电信和中央银行而被捕。在另一个方向,整个池塘,一名自称为黑客行为主义者在美国因阻挠俄亥俄州警方的工作而被捕。

另一个不那么重要但更好奇的逮捕发生在美国:一名来自亚利桑那州的业余黑客在网上熟人发布了一条带有他名字的推文后被捕,被罚款和入狱。尽管他具有初步的技能,但自称为“比特币男爵”的网络犯罪分子已经对美国城镇进行了多年的恐吓,使官方机构的网站崩溃并要求赎金; 在一次事件中,他的行为严重阻碍了应急响应服务。他也试图将自己定位为一个网络主义者,但他的不良行为破坏了他可能拥有的任何声誉,特别是他所谓的(只有他自己,应该说)试图通过儿童充斥儿童医院的网站色情。

2018 Q2 DDoS攻击趋势

在2018年上半年,与2017年的H2相比,平均和最大攻击力显着下降。这可以通过通常在年初观察到的季节性减速来解释。然而,2017年和2018年H1指标的比较表明,自去年以来,攻击力有了很大的上升。

2017 – 2018年DDoS攻击力的变化

增加攻击力的一种方法是第三方放大。正如新闻概述中所提到的,黑客继续寻找通过广泛流行的软件中新的(或遗忘的旧)漏洞来放大DDoS攻击的方法,不幸的是,并非没有成功。这一次,KDP团队检测并击退了数百Gbit / s容量的攻击,该攻击利用了CHARGEN协议中的一个漏洞 – 这是一种旧的,非常简单的协议,在1983年以RFC 864的方式描述。

CHARGEN用于测试和测量目的,可以监听TCP和UDP套接字。在UDP模式下,CHARGEN服务器使用字符串长度为0到512个随机ASCII字符的数据包响应任何请求。攻击者使用此机制向易受攻击的CHARGEN服务器发送请求,其中传出地址由受害者的地址替换。US-CERT估计放大因子为358.8x,但这个数字有些随意,因为响应是随机产生的。

尽管协议的年龄和范围有限,但可以在Internet上找到许多开放的CHARGEN服务器。它们主要是打印机和复制设备,其中默认情况下在软件中启用网络服务。

正如KDP和其他提供商(Radware,Nexusguard)所报告的那样,在UDP攻击中使用CHARGEN可能表明使用更方便的协议(例如,DNS或NTP)的攻击变得越来越不有效,因为存在完善的方法来打击这种UDP泛滥。但这种攻击的简单性使得网络犯罪分子不愿放弃它们; 相反,他们希望现代安全系统无法抵制过时的方法。虽然寻找非标准漏洞无疑会继续下去,但由于易受攻击的服务器缺乏补货来源(老式复印机连接到互联网的频率如何?),因此CHARGEN型放大攻击不太可能风靡世界。

如果网络犯罪分子在方法上变得复杂,那么当谈到目标时,他们就会开辟新天地。针对家庭用户的DDoS攻击很简单,但不盈利,而对公司的攻击是有利可图的,但却很复杂。现在,DDoS规划人员已经找到了一种方法来充分利用网络游戏行业和流媒体的两个世界。让我们以电子竞技比赛的日益普及为例,其中胜利者以数十万美元的价格走开。最大的赛事通常在特殊的场地举行,有特别设置的屏幕和观众席,但是到达那里的资格赛经常涉及在家里比赛。在这种情况下,针对团队的精心策划的DDoS攻击很容易在早期阶段将其淘汰出锦标赛。锦标赛服务器也可能是目标,而破坏的威胁可以说服竞争组织者支付赎金。根据卡巴斯基实验室客户数据,DDoS攻击电子竞技运营商和网站的目的是拒绝访问,这种攻击正变得越来越普遍。

同样,网络犯罪分子正试图将视频游戏流媒体渠道的市场货币化。流媒体专业人士展示了流行游戏的现场直播,观众捐赠了少量资金来支持他们。当然,观众越多,流媒体每次播放的钱就越多; 顶级球员可以赚取数百或数千美元,这基本上使他们的工作。这一细分市场的竞争非常激烈,DDoS攻击使其能够干扰直播,导致用户寻找替代方案。

与电子竞技运动员一样,家庭彩带几乎无法抵御DDoS攻击。他们基本上依赖于他们的互联网提供商。目前唯一的解决方案可能是建立专门的平台,提供更好的保护。

本季度攻击数据

DDoS攻击的爆发期是本季度的开始,尤其是4月中旬。相比之下,5月下旬和6月初相当平静。

中国攻击次数最高点(59.03%),其次是香港(17.13%)。它还以12.88%的独特目标数量进入前三,仅次于中国(52.36%)和美国(17.75%)。

这些攻击在一周中的几天内均匀分布。最受欢迎的和最不受欢迎的分别是周二和周四,但差别很小。

SYN攻击的比例急剧上升至80.2%; 第二名是10.6%的UDP攻击。

Linux僵尸网络的攻击份额显着增加到所有单一家庭攻击的94.47%。

发生攻击事件的地理分布

最新季度引发了一些惊喜。攻击数量的领先者仍然是中国,其份额几乎没有变化(59.03%,而第一季度为59.42%)。然而,自监测开始以来,香港首次跻身前三,从第四位上升至第二位:其份额增加近五倍,从3.67%增加至17.13%,挤压美国(12.46%)和韩国(3.21) %),其股价每股下跌约5个百分点。

领土排名中的另一个惊喜包是马来西亚,其排名上升至第五位,目前占所有DDoS攻击的1.30%。澳大利亚(1.17%)和越南(0.50%)加入了前十名,而日本,德国和俄罗斯的大热门人数全部退出。英国(0.50%)和加拿大(0.69%)分别进入第八和第七。

与第一季度相比,第二季度前十名的攻击总人数占比更大:96.44%,而95.44%。

按国家,2018年第一季度和第二季度分发DDoS攻击

独特目标的地域分布大致相当于攻击次数的分布:中国占最大份额(52.36%),比上一季度增加5个百分点。第二名属于美国(17.5%),第三名属于香港(12.88%),高于第四名,取代韩国(4.76%)(请注意,在香港,最受欢迎的目标是现在的Microsoft Azure服务器)。英国从第四位下降到第八位,目前占独特目标的0.8%。

前十名告别了日本和德国,但欢迎马来西亚(2.27%)排在第四位,澳大利亚(1.93%)排在第五位。本季度十大排名中,独特攻击总数略高于第一季度的94.17%,达到95.09%。

按国家,2018年第一季度和第二季度分配独特的DDoS攻击目标

动态DDoS攻击次数

4月中旬观察到2018年第二季度的高峰活动:本月中旬发生了多次袭击,其中两次大幅上升仅隔一天:4月11日(1163)和4月15日(1555) 。本季度最深的低谷出现在下半年和结束时:最平静的日子是5月24日(13日)和6月17日(16日)。

动态的DDoS攻击次数,2018年第二季度

在2018年第二季度,周日从网络犯罪分子最安静的一天变为第二大最活跃的一天:它占攻击的14.99%,高于上一季度的10.77%。但就攻击次数而言,黄金是在星期二进行的,其中冒充了17.49%。与此同时,周四朝着相反的方向发展:这一天只有12.75%的攻击记录在案。总体而言,从图中可以看出,在4月至6月期间,一周中的攻击分布比年初更加均匀。

按星期几,2018年第一季度和第二季度分发DDoS攻击

DDoS攻击的持续时间和类型

第二季度最长的袭击持续了258小时(近11天),略低于上一季度297小时(12.4天)的纪录。这一次,坚持不懈的黑客的焦点是属于中国电信的IP地址。

总体而言,长期攻击的比例下降0.02个百分点至0.12%。虽然持续100至139小时的袭击份额保持不变,但10至50小时的袭击份额几乎翻了一番(从8.28%增加到16.27%); 与此同时,持续5至9小时的攻击比例增加了近一半(从10.73%增加到14.01%)。短期袭击(最多4小时)的比例从1月份的80.73%大幅下降至3月份的69.49%。

按持续时间(小时)分配DDoS攻击,2018年第一季度和第二季度

所有其他类型的攻击份额均下降; UDP攻击排在第二位(10.6%),而TCP,HTTP和ICMP占比相对较小。

按类型划分的DDoS攻击,2018年第二季度

基于Windows和Linux的僵尸网络攻击之间的相关性,2018年第二季度

僵尸网络的地理分布

按僵尸网络C&C服务器数量排名前10位的地区经历了一些重大变化。排名第一的是C&C中心几乎一半(第一季度为44.75%,而第一季度为29.32%)。韩国(11.05%)从第一位下跌至第二位,失去近20个百分点的中国也大幅下跌(从8.0%降至5.52%)。它的位置由意大利占据,其份额从上一季度的6.83%攀升至8.84%。排名前10位的是香港的离开,但自我们的记录开始以来,越南首次加入,其3.31%足以获得第七名。

按国家分布的僵尸网络C&C服务器,2018年第二季度

结论

在2018年第二季度,网络犯罪分子延续了上述在UDP传输协议中寻找异国漏洞的趋势。肯定不久我们就会听到其他复杂的攻击放大方法。

值得注意的另一项技术发现是使用UPnP协议创建僵尸网络的潜力; 虽然存在证据,但幸运的是它们在野外仍然非常罕见。

Windows僵尸网络活动减少:特别是,Yoyo活动经历了多倍下降,Nitol,Dri​​ve和Skill也下降了。与此同时,Xor for Linux显着增加了攻击次数,而另一个臭名昭着的Linux僵尸网络Darkai则略有缩减。因此,最流行的攻击类型是SYN泛滥。

自上一季度以来总攻击持续时间变化不大,但中期攻击的份额增加,而较短攻击的份额减少。攻击的强度也在不断增加。网络犯罪分子最赚钱的目标似乎是加密货币,但我们很快就会看到针对电子竞技比赛的高调攻击以及针对个别流媒体和玩家的相对较小的赎金。因此,市场需要可负担得起的个人防DDoS保护。

原文链接

DDoS attacks in Q2 2018

发表评论