新聞概述
自2020年初以來�����,由于COVID-2019大流行��,人們的生活幾乎完全轉(zhuǎn)移到了網(wǎng)絡(luò)上-世界各地的人們現(xiàn)在正在工作����,學(xué)習(xí),購物和在線娛樂���,這是前所未有的���。最近的DDoS攻擊的目標(biāo)反映了這一點(diǎn),第一季度針對性最強(qiáng)的資源是醫(yī)療組織���,交付服務(wù)以及游戲和教育平臺的網(wǎng)站����。
例如�,3月中旬的攻擊者試圖禁用美國衛(wèi)生與公共服務(wù)部(HHS)的網(wǎng)站。攻擊的目的似乎是剝奪公民獲取有關(guān)該流行病以及針對該流行病采取的措施的官方數(shù)據(jù)���。與此同時���,身份不明的網(wǎng)絡(luò)傳播的演員誤傳在社交網(wǎng)絡(luò),并通過文本和電子郵件關(guān)于引進(jìn)在美國全國范圍內(nèi)檢疫����。嘗試失敗:盡管負(fù)載增加�,HHS網(wǎng)站仍繼續(xù)運(yùn)行。
另一個DDoS攻擊的受害者是總部位于巴黎的大型醫(yī)院AssistancePublique-Hôpitauxde Paris��。網(wǎng)絡(luò)罪犯試圖破壞醫(yī)療機(jī)構(gòu)的基礎(chǔ)設(shè)施��。結(jié)果�����,遠(yuǎn)程醫(yī)院的工作人員一段時間無法使用程序和公司電子郵件。但是����,攻擊者未能使整個組織癱瘓。
送餐服務(wù)Lieferando(德國)和Thuisbezorgd(荷蘭)發(fā)現(xiàn)自己的處境更加尷尬�����。對兩家公司的DDoS攻擊意味著�����,盡管他們可以接受訂單��,但他們無法處理訂單�����,必須退還客戶的錢���。而且�����,針對Lieferando的網(wǎng)絡(luò)犯罪分子要求2 BTC(在撰寫本文時����,金額超過13,000美元)才能停止DDoS。
德國遠(yuǎn)程學(xué)習(xí)平臺Mebis 在偏遠(yuǎn)的上學(xué)第一天就遭到襲擊�����。該服務(wù)中斷了幾個小時��,該服務(wù)使巴伐利亞州的教師可以與學(xué)童交換材料�,作業(yè)和測試����。
由于隔離檢疫,在線游戲的人氣一路飆升�����。特別是�����,攻擊者充斥著垃圾流量��,充斥著Battle.net和Eve Online的服務(wù)器,后者連續(xù)面臨9天的轟炸�����。白俄羅斯公司W(wǎng)argaming也遭到了抨擊:《戰(zhàn)車世界》���,《戰(zhàn)艦世界》和其他游戲的玩家連續(xù)幾天都在服務(wù)器速度方面遇到問題�����。但是�,持懷疑態(tài)度的用戶聲稱�,這些問題與網(wǎng)絡(luò)犯罪分子完全無關(guān)。
3月下旬����,澳大利亞當(dāng)局報告了MyGov社交服務(wù)門戶網(wǎng)站上的DDoS攻擊,但在重大聲明發(fā)布幾小時后����,他們被迫承認(rèn)自己犯了一個錯誤。事實(shí)證明��,該站點(diǎn)無法應(yīng)對由于大流行而失業(yè)的公民提出的完全真實(shí)的要求�����。
除了直接或間接與無所不能的冠狀病毒相關(guān)的DDoS攻擊外,本季度還繼續(xù)出現(xiàn)出于政治目的的攻擊���。例如�,在一月下半月���,未知的網(wǎng)絡(luò)參與者曾兩次嘗試關(guān)閉希臘政府機(jī)構(gòu)和緊急服務(wù)的網(wǎng)站���。暫時離線使用的資源包括總理�,幾個部委,消防局和警察局的網(wǎng)站�。在土耳其安卡組添Neferler聲稱對第一次進(jìn)攻的責(zé)任,但希臘當(dāng)局并不急于定論�,尤其是第二次攻擊的肇事者還沒有宣布自己。
今年將舉行下屆美國總統(tǒng)大選��,而且選舉將如往常一樣伴隨著DDoS攻擊�。例如,一個選民注冊和信息網(wǎng)站在2月初遭到攻擊����。攻擊者使用PRSD(偽隨機(jī)子域攻擊)技術(shù)將大量請求發(fā)送到站點(diǎn)的不存在子域。但是,DDoS嘗試失�。罕Wo(hù)資源免受此類攻擊。
金融機(jī)構(gòu)也沒有幸免�。2月,加密貨幣交易所OKEx和Bitfinex遭受了復(fù)雜的DDoS攻擊�。第一個保證了它在不損害用戶的情況下處理了該事件,而第二個則被迫離線一個小時��。根據(jù)Bitfinex管理層的說法�����,這是建立專門保護(hù)的必要條件���。事件是相似還是相關(guān)尚不清楚��。
該BitMEX加密交換同樣宣布了DDoS攻擊本季度-不是一次�����,而是兩次�。它的訪問問題與比特幣的價值急劇下降同時發(fā)生��,這引起了客戶的懷疑���。一些人認(rèn)為交易所有意下線以防止大量拋售���。后來����,BitMEX承諾支付賠償���,但只賠償156個在ETH / USD對中丟失交易的用戶�����。
與上一季度一樣����,知名APT組織的勒索軟件攻擊也成為了新聞�����。2月下旬��,澳大利亞金融機(jī)構(gòu)收到了要求使用加密貨幣門羅幣的大筆電子郵件�。攻擊者將自己介紹為沉默組�,并威脅要對DDoS攻擊進(jìn)行不付款�����。此前��,新加坡��,土耳其��,南非和其他國家的公司收到了具有類似威脅的電子郵件��。這些勒索分子使用了“舒適熊”�����,“花式熊”�,“匿名者”�����,“卡爾巴納克”和“ Emotet”的各種名稱����,希望受害者能用谷歌搜索并害怕服從。
與這些國際勒索軟件組織不同����,來自敖德薩的一名少年去年試圖向一家拒絕合作的公司進(jìn)行DDoS攻擊���,于2020年1月被警方抓獲。這名少年想強(qiáng)迫烏克蘭互聯(lián)網(wǎng)服務(wù)提供商移交有關(guān)客戶的信息��。在遭到拒絕后����,他試圖禁用該公司的網(wǎng)絡(luò)。據(jù)報道��,這次攻擊非常強(qiáng)大�。
總體而言,過去一個季度的逮捕人數(shù)相當(dāng)豐富�。2月,亞瑟·達(dá)姆(Arthur Dam)在美國被拘留���,罪名是于2018年在國會候選人布萊恩·卡福里奧(Bryan Caforio)的網(wǎng)站上進(jìn)行了四次DDoS攻擊���,使其離線總共21個小時����?胤街赋觯_(dá)姆的妻子為卡福里奧的競爭對手凱蒂·希爾工作���,后者最終贏得了投票�。
3月中旬�����,另一名網(wǎng)絡(luò)犯罪分子因攻擊俄羅斯Cherepovets一家公司的在線商店而在克拉斯諾達(dá)爾被拘留��。盡管他仔細(xì)掩蓋了DDoS攻擊的來源�,但網(wǎng)絡(luò)警察還是設(shè)法追蹤了他。該個人聲稱���,他只是想展示自己的技能�����,并向公司提供服務(wù)以防御DDoS攻擊����。但是�����,這個想法甚至在他被捕之前就失敗了,因?yàn)樗麩o法撤下現(xiàn)場��。
這個家伙絕不是DDoS世界中唯一的“雙重代理”�。在新澤西州,DDoS緩解公司BackConnect的創(chuàng)始人Tucker Preston承認(rèn)犯有類似罪行�����。從2015年12月到2016年2月���,普雷斯頓(Preston)聘請第三方來轟炸一家不知名組織的新澤西服務(wù)器�,該組織的通信量很大��。這項(xiàng)罪行可判處最高十年徒刑�����,最高罰款為250,000美元��。
據(jù)稱曾經(jīng)用來發(fā)起自定義DDoS攻擊的網(wǎng)站的所有者也可能被迫出賣����。視頻游戲發(fā)行商育碧(Ubisoft)在湯姆克蘭西(Tom Clancy)的《彩虹六號:圍攻》(Rainbow Six Siege)服務(wù)器遭受一連串攻擊后,對該資源提起了訴訟�。根據(jù)開發(fā)人員的說法,該網(wǎng)站(據(jù)稱可以幫助客戶測試自己的安全性)實(shí)際上專門從事DDoSing游戲�。育碧正在尋求資源的關(guān)閉和所有者的損失。
季度趨勢
本季度主要由冠狀病毒大流行所控制�,該大流行已經(jīng)撼動了包括DDoS市場在內(nèi)的世界上許多事情。與我們上一份報告中的預(yù)測相反���,在2020年第一季度�����,我們發(fā)現(xiàn)DDoS攻擊的數(shù)量和質(zhì)量均顯著增加��。與上一個報告期相比�,攻擊次數(shù)增加了一倍����,與2019年第一季度相比,攻擊次數(shù)增加了80%����。攻擊次數(shù)也變得更長:我們觀察到平均持續(xù)時間和最大持續(xù)時間均明顯增加。每年第一季度DDoS活動都有一定的增長�,但是我們沒有想到這種激增。
在總體增長的背景下,智能攻擊的份額在過去一年中幾乎保持不變:2019年和2020年第一季度處于相同水平����,約為42%。這表明專業(yè)人士和業(yè)余愛好者對DDoS攻擊的興趣都在增加:總體攻擊的數(shù)量與智能攻擊的數(shù)量以相同的速度增長�����,因此比例沒有改變�。
有趣的是,對教育和行政Web資源的DDoS攻擊數(shù)量與2019年同期相比增加了兩倍���。此外���,此類攻擊在2020年第一季度占事件總數(shù)的19%,而一年前僅為11%���。
網(wǎng)絡(luò)犯罪分子對此類資源的興趣的上升可能與COVID-19的傳播有關(guān)�,COVID-19的傳播引起了對遠(yuǎn)程學(xué)習(xí)服務(wù)和官方信息來源的更多需求���。自2020年初以來�����,大流行影響了所有行業(yè)��。因此�,它也影響DDoS市場是合乎邏輯的����。展望未來,這種影響可能會更加明顯��。
盡管很難在這種全球不穩(wěn)定的情況下預(yù)測任何事情�����,但是可以假定攻擊不會減少:許多組織現(xiàn)在都在轉(zhuǎn)向遠(yuǎn)程工作��,并且可行目標(biāo)的數(shù)量正在增加�����。如果在大多數(shù)情況下����,較早的目標(biāo)是公司的公共資源,則現(xiàn)在關(guān)鍵的基礎(chǔ)結(jié)構(gòu)元素(如公司VPN網(wǎng)關(guān)或非公共Web資源(郵件�,公司知識庫等))可能會受到威脅����。這為攻擊組織者打開了新的壁ni��,并可能導(dǎo)致DDoS市場的增長���。
統(tǒng)計
方法
卡巴斯基在打擊網(wǎng)絡(luò)威脅方面有著悠久的歷史�����,包括各種類型和復(fù)雜性的DDoS攻擊��。公司專家使用卡巴斯基DDoS智能系統(tǒng)監(jiān)控僵尸網(wǎng)絡(luò)�。
作為Kaspersky DDoS Protection的一部分 �����,DDoS Intelligence系統(tǒng)可以攔截并分析機(jī)器人從C&C服務(wù)器接收的命令�。該系統(tǒng)是主動的,不是被動的��,這意味著它不等待用戶設(shè)備被感染或命令被執(zhí)行��。
該報告包含2020年第一季度的DDoS Intelligence統(tǒng)計信息���。
在此報告的上下文中��,僅當(dāng)僵尸網(wǎng)絡(luò)活動時間間隔不超過24小時時�����,該事件才被視為一次DDoS攻擊����。例如�����,如果相同的Web資源被相同的僵尸網(wǎng)絡(luò)攻擊間隔為24小時或更長時間��,則這被視為兩次攻擊��。來自不同僵尸網(wǎng)絡(luò)但針對一種資源的Bot請求也算作單獨(dú)的攻擊���。
用于發(fā)送命令的DDoS攻擊受害者和C&C服務(wù)器的地理位置由它們各自的IP地址確定�。此報告中DDoS攻擊的唯一目標(biāo)數(shù)是按季度統(tǒng)計中的唯一IP地址數(shù)來計算的�����。
DDoS Intelligence統(tǒng)計信息僅限于卡巴斯基檢測和分析的僵尸網(wǎng)絡(luò)。請注意����,僵尸網(wǎng)絡(luò)只是用于DDoS攻擊的工具之一,并且本節(jié)并不涵蓋在審核期間發(fā)生的每一個DDoS攻擊����。
季度總結(jié)
●到2020年第一季度,大多數(shù)C&C服務(wù)器仍在美國注冊(39.93%)�,而大多數(shù)僵尸程序在巴西。
●就總體攻擊次數(shù)的動態(tài)而言��,本季度與上一季度非常相似-2月14日和15日的攻擊次數(shù)超過了230次����,而1月25日的攻擊次數(shù)則下降至16次。
●DDoS攻擊者在星期一最活躍�����,而更有可能在星期三休息����。
●SYN泛濫仍然是最受歡迎的攻擊類型(甚至以92.6%的攻擊強(qiáng)度鞏固了它的地位),而ICMP攻擊出乎意料地躍居所有其他攻擊類型的第二位�����。
●Windows僵尸網(wǎng)絡(luò)繼續(xù)流行:使用它們的攻擊份額增長了3個百分點(diǎn),達(dá)到5.64%����。
攻擊中使用的唯一IP地址的地理位置
本季度,我們決定研究僵尸網(wǎng)絡(luò)及其組成的僵尸網(wǎng)絡(luò)在國家/地區(qū)的分布���。為此�����,我們分析了用于注冊蜜罐攻擊的唯一IP地址的位置。
在漫游器數(shù)量排名前十的國家中��,第一名是巴西��,其唯一IP地址占12.25%��。排在第二位的是中國(11.51%)��,僅落后于一個百分點(diǎn)��,而埃及(7.87%)則排在第三位�����,差距更大。其余前十個國家的僵尸IP地址總數(shù)得分從6.5%到2.5%����。該評級還包括幾個亞洲國家(越南(6.41%),第四(臺灣(3.96%)�,第七(3.65%)),伊朗(5.56%)����,俄羅斯(4.65%),俄羅斯(4.65%)����。 ,而美國(3.56%)排名第九�。土耳其排名前十,這是用于攻擊的唯一地址的2.86%的來源���。
奇怪的是�����,這種分布只與攻擊統(tǒng)計信息部分相關(guān)��。盡管中國長期以來一直是攻擊次數(shù)排名第一的國家��,而越南是常規(guī)排名前十的游客��,但按獨(dú)特IP數(shù)量排名的領(lǐng)先者巴西在過去一年僅進(jìn)入前20名�。 ,在2019年第一季度排名第20位����。它經(jīng)常只出現(xiàn)在TOP 30的后三分之一中,與伊朗不同����,伊朗在機(jī)器人數(shù)量上排名TOP 5。至于埃及(按機(jī)器人數(shù)量排名第三)���,它是極少發(fā)生注冊攻擊的來源,因此���,它甚至位于前30名之外���。
僵尸網(wǎng)絡(luò)分布地理
如果單個攻擊設(shè)備主要位于南美,亞洲和中東�,則與上一季度一樣�����,C&C服務(wù)器在美國和歐洲的注冊頻率更高�。美國的C&C數(shù)量排名第一�,在美國,到2020年第一季度���,美國的C&C數(shù)量幾乎占總注冊量的40%(與去年年底相比下降了18.5個百分點(diǎn))���。荷蘭位居第二(10.07%),從第八位上升�����,第三位是德國(9.55%)���,上個季度在前十名中無人可及�。如前所述�,在前三名中在C&C服務(wù)器數(shù)量的國家/地區(qū)中,只有美國托管了大量的漫游器��。
C&C數(shù)量排名第四的是另一個歐洲國家,這次是法國(8.51%)����,在梯級上爬了兩個梯級。中國呈現(xiàn)出完全相反的趨勢��,從第三下降到第五(2019年第四季度為3.99%vs 9.52%)���。加拿大(2.95%)從第九位上升到第六位��,而俄羅斯���,羅馬尼亞(每季度休息后回到前十名)和新來的克羅地亞則排在第七位。這些國家/地區(qū)分別占C&C服務(wù)器總數(shù)的2.43%�。排名前十的是另一位新進(jìn)入者,新加坡����,占2.08%。
DDoS攻擊數(shù)量的動態(tài)變化
2020年第一季度的攻擊數(shù)量動態(tài)在許多方面與我們在2019年底所看到的類似�。峰值指標(biāo)每天不超過250次攻擊(最熱的是2月14日和15日,即在情人節(jié)之后(分別是242次和232次攻擊)����,以及當(dāng)月的3日和10日。該季度最平靜的日子是1月25日和3月18日����,一天的攻擊次數(shù)不足20次(回想一下,2019年第四季度最安靜的一天只有8次已記錄的攻擊)��。
在過去的一個季度中�����,星期一的攻擊次數(shù)顯著增加-幾乎增加了4 pp�����。如果在上一個報告期內(nèi)�����,這一天僅占攻擊的14%�����,則現(xiàn)在已接近18%�。該季度最平靜的一天是星期三(攻擊率略高于11%,比上一季度下降3.7個百分點(diǎn))�,在攻擊強(qiáng)度方面���,周四僅稍低于前一個評級的反領(lǐng)導(dǎo)者(下降1.5個百分點(diǎn))。
DDoS攻擊類型
在過去的一個季度中���,DDoS攻擊的類型分布發(fā)生了一些顯著變化:ICMP泛洪增加了2個百分點(diǎn)�,并且自信地從最后一位移至第二位(上一報告期為3.6%�����,而上一報告期為1.6%)�。因此,HTTP泛濫以自2019年1月以來的最低分?jǐn)?shù)(僅為0.3%)排名最低�。UDP和TCP泛洪再次交換了位置。唯一未采取行動的是排名最高的SYN洪水�,其份額持續(xù)增長,并在觀察期內(nèi)達(dá)到92.6%的歷史新高(超過了上個季度創(chuàng)下的歷史記錄84.6%)����。
Windows僵尸網(wǎng)絡(luò)越來越流行。如果在上一個報告期內(nèi)�,他們僅從Linux表親那里搶走了0.35 pp,那么這次他們采取了3 pp的策略(從攻擊的2.6%上升到5.64%)��。話雖如此����,它們?nèi)匀皇且粋嚴(yán)重的競爭對手:十分之九的攻擊繼續(xù)部署Linux僵尸網(wǎng)絡(luò)(94.36%)。
結(jié)論
2020年第一季度沒有帶來任何重大沖擊��。C&C服務(wù)器數(shù)量排名前10位的國家/地區(qū)歡迎了兩個新條目(克羅地亞和新加坡)���,并且看到了兩個熟悉的面孔(羅馬尼亞和德國)的回歸���。盡管我們觀察到Windows僵尸網(wǎng)絡(luò)和ICMP泛濫有所增加,但這并沒有顯著影響整體情況���。僅攻擊在星期幾的分布發(fā)生了實(shí)質(zhì)性變化���,但是即使如此,也僅表示重新分配了工作��,而不是定量轉(zhuǎn)移��。在情人節(jié)那天�,DDoS攻擊數(shù)量增加,隨后出現(xiàn)平靜��,這也是可預(yù)見的季節(jié)性現(xiàn)象�����。
