卡巴斯基:2018 Q2 DDoS攻击报告-卡巴斯基:2018 Q2 DDoS攻击报告-华盟网

卡巴斯基:2018 Q2 DDoS攻击报告

华盟学院山东省第二期线下学习计划

该报告主要对2018 Q2季度的DDoS攻击活动进行分析总结,包括DDoS类型、攻击持久性、攻击活动及次数的地理分布变化和僵尸网络的分布情况等。继Memcached漏洞利用的DDoS放大攻击一炮打响后,黑客开始锲而不舍地寻求其它攻击放大途径,对UPnP、UDP和NTP等协议的利用就是很好的佐证。幸运的是,尽管此类攻击利用已经有迹可循,但是真正的在野利用仍然非常罕见。

本季度中,中国地区无论是从攻击次数、唯一攻击目标数量还是以上因素的地域分布密度来看,均处于领先地位;在攻击数量排行方面,香港17.13%更是首次跻身前三。

尽管针对加密货币的攻击利润较大,但未来电竞比赛、流媒体和个别玩家才是最吸引攻击火力的战场,这也是商家用来打垮竞争对手的有效手段,因此个人可负担得起的DDoS防御解决方案也将成为市场刚需。

威胁概述

2018 Q2季度的关键信息点:老旧漏洞的非标利用、新型僵尸网络、加密货币的激烈角逐、高端DDoS攻击或具有潜在政治动机、slashdot效应、激进主义者的某些不成熟尝试以及少数逮捕行动。

根据我们对DDoS攻击所产生的破坏性后果的了解,当预言实现时,我们并不会为此而庆祝。当然,我们在上一季度报告中的预言确实得到了证实:网络犯罪分子在继续寻求新的非标放大方法,甚至还是在基于Memcached攻击波的恐慌退却之前,安全专家就发现了利用另一个漏洞的放大攻击——始于2001年的UPnP(Universal Plug and Play:通用即插即用)协议。该协议允许垃圾流量从多个端口发送,而非单一端口,在遇到障碍封锁进程的情况下,可随机切换。研究人员分别于4月11日和26日监测到两起与之相关的攻击活动,第一次是利用UPnP放大DNS攻击,第二次则是放大NTP攻击。此外,卡巴斯基DDoS防御团队还检测到了一起利用CHARGEN(Character Generator:字符发生器)协议漏洞的攻击事件,此次攻击相对偏弱,攻击者利用同一个协议来放大洪水(flood)对供应商ProtonMail进行攻击,起因是该公司的执行董事发表了不当言论。

新型僵尸网络给网络安全专家带来了更多麻烦,其中一个值得注意的案例就是黑客在日本利用50000个监控摄像头所组建的僵尸网络。恶意软件Hide-n-Seek的新变种造成了严峻的威胁,在某种程度上,这是所有已知僵尸网络中第一例可以重启受感染设备的病毒。尽管该僵尸网络还未用于发起DDoS攻击,但专家并不排除后续攻击中添加此功能的可能性,因为僵尸网络货币化的选择并不多。

当下最流行的货币化方法之一,仍然是攻击加密货币网站和交易所,而且DDoS攻击不仅可以用来阻止竞争对手的投资者增加,还可以是赚大钱的手段。加密货币Verge就是一个很好的案例:5月下旬,一名黑客攻击了Verge的矿池,仅仅数小时内就挖取了价值175万美元的3500万个XVG代币。Verge在两个月内连续遭遇两次重创,只不过上一次攻击不是DDoS。

不仅如此,6月5日网络犯罪分子还黑掉了Bitfinex加密货币交易平台,系统崩溃后还涌现了一大波垃圾流量,此类多阶段攻击行为很可能会破坏网站的可信度。在线扑克网站Americas Cardroom遭遇的DDoS攻击也极有可能是其竞争对手所为,导致该网站所举办的锦标赛中断并最终取消。据说,此次攻击是针对Donald Trump和金正恩化身游戏角色而表达的政治抗议。

和往常一样,上一季度大多数媒体热议的都是出于政治动机的DDoS攻击。4月中旬,英、美执法局警告称,俄罗斯黑客(疑似由克里姆林宫赞助)已成功入侵美国、欧盟和澳大利亚的大量设备,伺机在未来发起攻击。然而几天后,也就是4月下旬,俄罗斯最大政党的网站——United Russia,因DDoS攻击而整整下线了两天,公众对于幕后黑手的猜测却很少。

对丹麦铁路公司DSB的攻击事件据称也是出于政治动机,事件造成约1.5万客户旅客无法通过该公司的应用程序、售票机、网站和商店购买火车票,运营商只得人工售票。对此,有人认为这是对去年秋天瑞典基础设施遭遇攻击的延续。

本季度末,焦点事件是墨西哥选举以及针对反对党网站的攻击事件,该网站有大量关于竞争对手非法活动的黑料。根据受害者的说法,此次攻击始于选举前的辩论赛,当时政党候选人向观众展示了一张带有网站地址的海报。然而,事后立即有传言称DDoS不是罪魁祸首,而是Slashdot效应(指的是当一个受众广泛的网站介绍了另一个小众的网站后,小众网站流量激增的现象),Reddit用户也称之为“the hug of death”(死亡拥抱)。这种现象自互联网出现以来就一直存在,彼时带宽是主要问题,但到目前为止,在媒体炒作的背景下,小众网站遭受大量合法网络流量冲击的影响仍然存在。

卡巴斯基DDoS防御团队在今年初夏也监测到了Slashdot效应。在俄罗斯总统召开新闻发布会后,一家负责报道此事的主流新闻媒体在同一时间接收到了数万个HTTP GET请求。假设的僵尸网络大小表明新一轮的攻击涉及IoT设备,但KDP专家深入分析后发现,用户代理HTTP header的所有可疑查询都包含子串“XiaoMi MiuiBrowser”。事实上,是安装了浏览器应用的小米手机用户收到了关于发布会的推送通知,似乎有很多人感兴趣并访问了链接,才导致请求过多的情况。

与此同时,执法机构一直致力于防止有组织的攻击活动:4月下旬,欧洲刑警(Europol)阻止成功关闭了世界上最大的DDoS租赁服务Webstresser.org。该网站拥有超过136000个用户,并且成为近年来超过400万次DDoS攻击的来源。网站关闭后,安全报告中出现了一些互相矛盾的趋势:一些公司监测到欧洲的DDoS攻击活动有显著下降的趋势(尽管他们警告过这种下降趋势只在相对较短的时间内),但是,其他安全厂商则指出,所有地区的攻击次数都有所增加,这可能是黑客试图通过创建新的僵尸网络并扩张旧的僵尸网络的补偿结果。

最重要的是,一些DDoS攻击的幕后黑手被抓获并被定罪。德国黑客ZZboot因攻击德国和英国的大公司并勒索赎金而被判刑,缓期22个月执行;台北黑客Chung因涉嫌攻击台湾调查局、总统府、中华电信和中央银行而被捕;海峡另一边,一名自称hacktivist的黑客因扰乱俄亥俄警方的工作而在美国被捕。

另有一个个不重要但新奇的逮捕事件发生在美国:一名来自亚利桑那州的业余黑客因为一个熟人在网上以他的名义发布了一条推文而被捕入狱,并处以罚款。具备基本技能的网络犯罪分子“Bitcoin Baron”多年来恐吓美国城镇,攻击政府机构的网站并索要赎金,其中还有一次严重妨碍了应急响应服务。他也试图把自己定位成网络主义者(cyberactivist),但其不良行径毁掉了他本可能拥有的声誉,特别是他曾试图入侵一家儿童医院的网站,使其充斥着儿童色情内容。

季度性趋势

2018上半年与2017年同期相比,攻击力的平均值和最大值均显著下降,这是因为通常年初观测到的攻击行为都有季节性降幅所致。但是,自去年以来,通过2017上半年和2018上半年的指标对比,可以明显看到攻击力的上升趋势。

卡巴斯基:2018 Q2 DDoS攻击报告2017~2018 DDoS攻击力变化趋势图

增加攻击力的方法之一就是第三方放大攻击。正如威胁概述部分提到的,黑客正在通过流行软件中的新漏洞(或是已被遗忘的老洞)寻找放大DDoS攻击的方法,不幸的是,已有成功案例。此次,KDP团队监测并击退了一次流量达数百Gbit/s的攻击活动,攻击利用了一个存在于CHARGEN协议中的漏洞,这是1983年以RFC 864方式定义的一个简单旧协议。

CHARGEN协议主要用于测试和测量,可以监听TCP和UDP套接字。在UDP模式下,CHARGEN服务器可响应字符串长度为0到512个随机ASCII字符的数据包的任意请求。黑客利用该机制向存在该漏洞的CHARGEN服务器发送请求,并将发送地址替换成受害者的地址。US-CERT预估这个放大率(amplification factor)为358.8x,但这个数值是随机的,因为响应是随机产生的。

尽管该协议颇具年代感且范围有限,互联网上仍可以找到许多开放的CHARGEN服务器,主要是打印机和拷贝设备,这些软件都默认开启了网络服务。

正如KDP和其他供应商(如Radware,、Nexusguard)报道的,利用CHARGEN漏洞的UPD攻击表明,使用更方便的协议(如DNS或NTP)的攻击效果正在弱化,因为业界已有完善的方案来对抗此类UDP洪水攻击。但此类简单易行的攻击方式又成了网络犯罪分子难以舍弃的鸡肋,相反,他们希望现代安全系统无法抵御那些已过时的攻击方式。尽管寻找非标漏洞的努力会毫无疑问地继续下去,但由于易受攻击的服务器缺乏补给来源(老式复印机联网的频率有多高?),因此CHARGEN类型的放大攻击不大可能席卷全球。

如果网络犯罪分子的攻击方法变得复杂化,在面对攻击目标时就相当于开辟新天地。针对家庭用户的DdoS攻击很简单,但是不盈利,针对企业的攻击有利可图,但是又复杂。现在的DdoS攻击者策划者在两者之间找到了最佳的折衷方案——充分利用网络游戏行业和流媒体。我们就以电子竞赛的日益普及为例,胜利者可从中获取数十美元至数千美元的奖励。最盛大的赛事通常会在特殊的场地举办,配有特别设置的大屏幕和观众席,但在此之前的资格赛则是在家里进行的。在这种情况下,针对某个团队精心策划的DDoS攻击就可以轻而易举地在早起阶段将其淘汰出锦标赛。比赛用的服务器也可能成为攻击目标,中断比赛的威胁可以轻易说服大赛组织者为此支付赎金。根据卡巴斯基实验室的客户端数据,针对电竞玩家和网站的DDoS攻击并最终导致拒绝访问的情况正在越来越普遍。

同样的,网络犯罪分子正试图把视频游戏流媒体渠道的市场货币化。流媒体专业人士对当下流行游戏进行现场直播,观众会为此捐赠少量金额以示支持。观众越多,流媒体每次直播的收益也就自然而然地水涨船高了;顶级玩家可以从中赚取数百或数千美元,已成为其基本职业。电竞市场的竞争激烈,DDoS攻击干扰直播的活动更是使其雪上加霜,导致订阅用户流失。

和电竞玩家一样,家用流媒体玩家面对DDoS攻击同样不堪一击,基本上只能依赖互联网提供商。目前唯一的解决方案,可能就是建立一个专门的平台为其提供有效的保护。

 

季度性汇总

本季度始于DDoS攻击爆发时期,尤其是4月中旬;相比之下,5月下旬和6月初相对平静。

按攻击次数排名,中国占比高达59.03%居首,其次是香港17.13%,同时香港也是按唯一攻击目标数量来算的第三名,占比为12.88%,仅次于中国(52.36%)和美国(17.75%)。

这些攻击在一周中的几天内均匀分布,最受欢迎和最不受欢迎的分别是星期二和星期四,但差别很小。

SYN攻击的比例激增至80.2%,UDP攻击以10.6%的占比位居第二。

Linux僵尸网络的攻击占比,在所有单一家庭攻击事件显著增长到94.47%。

攻击事件的地域分布

新季度也有些惊喜,攻击数量方面的领头羊仍然是中国(59.03%),较之Q1季度的59.42%几乎没变化。但是,自监控开始以来,香港首次跻身前三,排名从第四名上升至第二名:其占比从3.67%激增至17.13%,增幅近5倍,成功挤掉了美国(12.46%)和朝鲜 (3.21%)。

地域排名分布中的另一个惊喜是马来西亚(1.30%),排名上升至第五位;澳大利亚(1.17%)和越南(0.50%)均进了前十,而此前大热的日本、德国和俄罗斯则纷纷跌出前十;英国(0.50%)和加拿大(0.69%)分别位列第八和第七。

就整体攻击数量而言,Q2季度的前十占比(96.44%)较之Q1季度的数据95.44%也是略胜一筹。

卡巴斯基:2018 Q2 DDoS攻击报告

2018年Q1、Q2的DDoS攻击国家分布图

唯一目标的地域分布和攻击数量的分布基本匹配:中国占比高达52.36%,较上一季度上升了5个百分点。接下来是美国(17.5%)和香港(12.88%),其中香港替代韩国(4.76%)从第四名上升至第三名。请注意,目前香港最流行的攻击目标是微软的Azure服务器。英国(0.8%)则从第四名跌至第八名。

前十排名告别了日本和德国,但是迎来了第四名的马来西亚(2.27%)和第五名的澳大利亚(1.93%)。就唯一攻击活动的整体次数而言,Q2季度的占比(95.09%)较Q1季度(94.17%)有略微增加。

卡巴斯基:2018 Q2 DDoS攻击报告

2018年Q1、Q2的唯一DDoS攻击目标国家分布图

动态DDoS攻击次数

2018年Q2季度的活动高峰期在4月中旬:本月中旬发生了多次攻击事件,其中两次大规模攻击仅间隔短短几天,即4月11日(1163)和4月15日(1555)。本季度活动次数的冰点发生在后期及季末,分别是5月24日(13)和6月17日(16)。

卡巴斯基:2018 Q2 DDoS攻击报告

2018年Q2动态DDoS攻击次数曲线图

2018年Q2季度中,原本是网络犯罪分子最安静的星期天,成为其第二活跃的日子:当天攻击次数占比14.99%,高于上一季度的10.77%。不过攻击次数的黄金时期是周二,占比高达17.49%,到周三又大跌至12.75%。总体来说,正如下图所示,4~6月期间,攻击次数在一周内几天的分布情况比年初的数据更平均。

卡巴斯基:2018 Q2 DDoS攻击报告

2018 Q1~Q2 DDoS攻击一周内按天分布情况

DDoS攻击的持久性及类型

Q2季度中最长的攻击时长持续了258个小时(将近11天),略短于上一季度297个小时(12.4天)的记录,此次黑客锲而不舍的攻击对象是中国电信名下的一个IP地址。

总的来说,攻击时长的占比为0.12%,下降了0.02个百分点。虽然100~139小时之间的攻击持时长占比几乎没变,但10~50小时之间的攻击占比却几乎翻了一倍,从8.28%增加至16.27%;同时,5~10小时的攻击时长占比也增长了近一半,从10.73%升至14.01%。4小时及以下的短期攻击时长占比从1月的80.73%大幅降至3月份的69.49%。

卡巴斯基:2018 Q2 DDoS攻击报告

2018 Q1~Q2 DDoS攻击时长(按小时计)分布图

所有其它类型的DDoS攻击占比均有所下降;UDP攻击(10.6%)排第二,至于TCP、HTTP和ICMP所占的比例则更小。

卡巴斯基:2018 Q2 DDoS攻击报告

2018 Q2 DDoS攻击类型分布图

卡巴斯基:2018 Q2 DDoS攻击报告

2018 Q2 基于Windows和Linux的僵尸网络攻击之间的相关性

僵尸网络的地理分布

僵尸网络中,C&C服务器数量排名前十的地区发生了重大变化,排名第一位的美国(44.75%)几乎占了所有C&C服务器的一半,而这一数据在Q1的时候仅为29.32%。韩国占比11.05%,从第一位下滑至第二位,降幅接近20个百分点,中国地区占比降幅也较明显,从8%降到了5.52%。取代中国排名的是意大利,其占比从上一季度的6.83%攀升至8.84%。此次排名香港跌出前十,但越南却有史以来意外入围,以3.31%的成绩排名第七。

卡巴斯基:2018 Q2 DDoS攻击报告

2018 Q2僵尸网络C&C服务器国家分布图

结语

在2018年Q2季度中,网络犯罪分子延续了在UDP传输协议中寻找可利用漏洞的趋势,因此在不久的将来,我们就可以听到其它复杂的攻击放大方法了。

另一点值得注意的,就是利用UPnP协议创建僵尸网络的潜在威胁;幸运的是,尽管已经有迹可循,但其在野利用仍然非常罕见。

Windows僵尸网络活动减少,特别是Yoyo活动出现了成倍下降的情况,此外Nitol、Drive和Skill也都有所下降。与此同时,Linux Xor僵尸网络的攻击次数显著增加,而另一个臭名昭著的Linux僵尸网络Darkai则略有减少。因此,最流行的攻击类型是SYN flooding。

自上一季度以来,总体攻击持续时长的变化不大,但是中等攻击时长的占比有所增加,而较短攻击时长的占比则有所下降。整体攻击强度也在增加。对于网络犯罪分子而言,来钱最快的攻击目标似乎是加密货币,但是我们将很快就能看到针对电竞比赛的高端攻击,以及针对个别流媒体和玩家的小型勒索攻击。因此,市场需要个人可负担得起的DDoS防御保护。

www.idc126.com

始发于微信公众号: 秋雨绸缪

本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
1
r5c1

发表评论