新(xin)聞(wen)概述
自2020年初以來,由于COVID-2019大流行,人們的生活幾乎完全轉移到了網絡上-世界各地的人們現在正在工作,學習,購物和在線娛樂,這是前所未有的。最近的DDoS攻擊的目標反映了這一點,第一季度針對性最強的資源是醫療組織,交付服務以及游戲和教育平臺的網站。
例如,3月中旬的攻擊者試圖禁用美國衛生與公共服務部(HHS)的網站。攻擊的目的似乎是剝奪公民獲取有關該流行病以及針對該流行病采取的措施的官方數據。與此同時,身份不明的網絡傳播的演員誤傳在社交網絡,并通過文本和電子郵件關于引進在美國全國范圍內檢疫。嘗試失敗:盡管負載增加,HHS網站仍繼續運行。
另一個DDoS攻擊的受害者是總部位于巴黎的大型醫院AssistancePublique-Hôpitauxde Paris。網絡罪犯試圖破壞醫療機構的基礎設施。結果,遠程醫院的工作人員一段時間無法使用程序和公司電子郵件。但是,攻擊者未能使整個組織癱瘓。
送餐服務Lieferando(德國)和Thuisbezorgd(荷蘭)發現自己的處境更加尷尬。對兩家公司的DDoS攻擊意味著,盡管他們可以接受訂單,但他們無法處理訂單,必須退還客戶的錢。而且,針對Lieferando的網絡犯罪分子要求2 BTC(在撰寫本文時,金額超過13,000美元)才能停止DDoS。
德國遠程學習平臺Mebis 在偏遠的上學第一天就遭到襲擊。該服務中斷了幾個小時,該服務使巴伐利亞州的教師可以與學童交換材料,作業和測試。
由于隔離檢疫,在線游戲的人氣一路飆升。特別是,攻擊者充斥著垃圾流量,充斥著Battle.net和Eve Online的服務器,后者連續面臨9天的轟炸。白俄羅斯公司Wargaming也遭到了抨擊:《戰車世界》,《戰艦世界》和其他游戲的玩家連續幾天都在服務器速度方面遇到問題。但是,持懷疑態度的用戶聲稱,這些問題與網絡犯罪分子完全無關。
3月下旬,澳大利亞當局報告了MyGov社交服務門戶網站上的DDoS攻擊,但在重大聲明發布幾小時后,他們被迫承認自己犯了一個錯誤。事實證明,該站點無法應對由于大流行而失業的公民提出的完全真實的要求。
除了直接或間接與無所不能的冠狀病毒相關的DDoS攻擊外,本季度還繼續出現出于政治目的的攻擊。例如,在一月下半月,未知的網絡參與者曾兩次嘗試關閉希臘政府機構和緊急服務的網站。暫時離線使用的資源包括總理,幾個部委,消防局和警察局的網站。在土耳其安卡組添Neferler聲稱對第一次進攻的責任,但希臘當局并不急于定論,尤其是第二次攻擊的肇事者還沒有宣布自己。
今年將舉行下屆美國總統大選,而且選舉將如往常一樣伴隨著DDoS攻擊。例如,一個選民注冊和信息網站在2月初遭到攻擊。攻擊者使用PRSD(偽隨機子域攻擊)技術將大量請求發送到站點的不存在子域。但是,DDoS嘗試失敗:保護資源免受此類攻擊。
金融機構也沒有幸免。2月,加密貨幣交易所OKEx和Bitfinex遭受了復雜的DDoS攻擊。第一個保證了它在不損害用戶的情況下處理了該事件,而第二個則被迫離線一個小時。根據Bitfinex管理層的說法,這是建立專門保護的必要條件。事件是相似還是相關尚不清楚。
該BitMEX加密交換同樣宣布了DDoS攻擊本季度-不是一次,而是兩次。它的訪問問題與比特幣的價值急劇下降同時發生,這引起了客戶的懷疑。一些人認為交易所有意下線以防止大量拋售。后來,BitMEX承諾支付賠償,但只賠償156個在ETH / USD對中丟失交易的用戶。
與上一季度一樣,知名APT組織的勒索軟件攻擊也成為了新聞。2月下旬,澳大利亞金融機構收到了要求使用加密貨幣門羅幣的大筆電子郵件。攻擊者將自己介紹為沉默組,并威脅要對DDoS攻擊進行不付款。此前,新加坡,土耳其,南非和其他國家的公司收到了具有類似威脅的電子郵件。這些勒索分子使用了“舒適熊”,“花式熊”,“匿名者”,“卡爾巴納克”和“ Emotet”的各種名稱,希望受害者能用谷歌搜索并害怕服從。
與這些國際勒索軟件組織不同,來自敖德薩的一名少年去年試圖向一家拒絕合作的公司進行DDoS攻擊,于2020年1月被警方抓獲。這名少年想強迫烏克蘭互聯網服務提供商移交有關客戶的信息。在遭到拒絕后,他試圖禁用該公司的網絡。據報道,這次攻擊非常強大。
總體而言,過去一個季度的逮捕人數相當豐富。2月,亞瑟·達姆(Arthur Dam)在美國被拘留,罪名是于2018年在國會候選人布萊恩·卡福里奧(Bryan Caforio)的網站上進行了四次DDoS攻擊,使其離線總共21個小時。控方指出,達姆的妻子為卡福里奧的競爭對手凱蒂·希爾工作,后者最終贏得了投票。
3月中旬,另一名網絡犯罪分子因攻擊俄羅斯Cherepovets一家公司的在線商店而在克拉斯諾達爾被拘留。盡管他仔細掩蓋了DDoS攻擊的來源,但網絡警察還是設法追蹤了他。該個人聲稱,他只是想展示自己的技能,并向公司提供服務以防御DDoS攻擊。但是,這個想法甚至在他被捕之前就失敗了,因為他無法撤下現場。
這個家伙絕不是DDoS世界中唯一的“雙重代理”。在新澤西州,DDoS緩解公司BackConnect的創始人Tucker Preston承認犯有類似罪行。從2015年12月到2016年2月,普雷斯頓(Preston)聘請第三方來轟炸一家不知名組織的新澤西服務器,該組織的通信量很大。這項罪行可判處最高十年徒刑,最高罰款為250,000美元。
據稱曾經用來發起自定義DDoS攻擊的網站的所有者也可能被迫出賣。視頻游戲發行商育碧(Ubisoft)在湯姆克蘭西(Tom Clancy)的《彩虹六號:圍攻》(Rainbow Six Siege)服務器遭受一連串攻擊后,對該資源提起了訴訟。根據開發人員的說法,該網站(據稱可以幫助客戶測試自己的安全性)實際上專門從事DDoSing游戲。育碧正在尋求資源的關閉和所有者的損失。
季度(du)趨勢
本季度主要由冠狀病毒大流行所控制,該大流行已經撼動了包括DDoS市場在內的世界上許多事情。與我們上一份報告中的預測相反,在2020年第一季度,我們發現DDoS攻擊的數量和質量均顯著增加。與上一個報告期相比,攻擊次數增加了一倍,與2019年第一季度相比,攻擊次數增加了80%。攻擊次數也變得更長:我們觀察到平均持續時間和最大持續時間均明顯增加。每年第一季度DDoS活動都有一定的增長,但是我們沒有想到這種激增。
在(zai)(zai)(zai)總體(ti)增(zeng)長的(de)背景下(xia),智能攻(gong)擊的(de)份額在(zai)(zai)(zai)過(guo)去(qu)一年(nian)(nian)(nian)中幾乎保持不變(bian)(bian):2019年(nian)(nian)(nian)和(he)20�������20年(nian)(nian)(nian)第一季度處于相(xiang)同(tong)水平,約為42%。這(zhe)表明專業(ye)人士(shi)和(he)業(ye)余愛好者對DDoS攻(gong)擊的(de)興趣都在(zai)(zai)(zai)增(zeng)加:總體(ti)攻(gong)擊的(de)數量(liang)與智能攻(gong)擊的(de)數量(liang)以相(xiang)同(tong)的(de)速度增(zeng)長,因此比例沒有改變(bian)(bian)。
有趣的是,對教育和行政Web資源的DDoS攻擊數量與2019年同期相比增加了兩倍。此外,此類攻擊在2020年第一季度占事件總數的19%,而一年前僅為11%。
網絡犯罪分子對此類資源的興趣的上升可能與COVID-19的傳播有關,COVID-19的傳播引起了對遠程學習服務和官方信息來源的更多需求。自2020年初以來,大流行影響了所有行業。因此,它也影響DDoS市場是合乎邏輯的。展望未來,這種影響可能會更加明顯。
盡管很難在這種全球不穩定的情況下預測任何事情,但是可以假定攻擊不會減少:許多組織現在都在轉向遠程工作,并且可行目標的數量正在增加。如果在大多數情況下,較早的目標是公司的公共資源,則現在關鍵的基礎結構元素(如公司VPN網關或非公共Web資源(郵件,公司知識庫等))可能會受到威脅。這為攻擊組織者打開了新的壁ni,并可能導致DDoS市場的增長。
統計
方法
卡巴斯基在打擊網絡威脅方面有著悠久的歷史,包括各種類型和復雜性的DDoS攻擊。公司專家使用卡巴斯基DDoS智能系統監控僵尸網絡。
作為Kaspersky DDoS Protection的一部分 ,DDoS Intelligence系統可以攔截并分析機器人從C&C服務器接收的命令。該系統是主動的,不是被動的,這意味著它不等待用戶設備被感染或命令被執行。
該報告包含2020年第一季度的DDoS Intelligence統計信息。
在此報告的上下文中,僅當僵尸網絡活動時間間隔不超過24小時時,該事件才被視為一次DDoS攻擊。例如,如果相同的Web資源被相同的僵尸網絡攻擊間隔為24小時或更長時間,則這被視為兩次攻擊。來自不同僵尸網絡但針對一種資源的Bot請求也算作單獨的攻擊。
用于發送命令的DDoS攻擊受害者和C&C服務器的地理位置由它們各自的IP地址確定。此報告中DDoS攻擊的唯一目標數是按季度統計中的唯一IP地址數來計算的。
DDoS Intelligence統計信息僅限于卡巴斯基檢測和分析的僵尸網絡。請注意,僵尸網絡只是用于DDoS攻擊的工具之一,并且本節并不涵蓋在審核期間發生的每一個DDoS攻擊。
季度(du)總結(jie)
●到2020年第一季度,大多數C&C服務器仍在美國注冊(39.93%),而大多數僵尸程序在巴西。
●就總體攻擊次數的動態而言,本季度與上一季度非常相似-2月14日和15日的攻擊次數超過了230次,而1月25日的攻擊次數則下降至16次。
●DDoS攻擊者在星期一最活躍,而更有可能在星期三休息。
●SYN泛濫仍然是最受歡迎的攻擊類型(甚至以92.6%的攻擊強度鞏固了它的地位),而ICMP攻擊出乎意料地躍居所有其他攻擊類型的第二位。
●Windows僵尸網絡繼續流行:使用它們的攻擊份額增長了3個百分點,達到5.64%。
攻擊中使用的唯一IP地址的地理位(wei)置
本季度,我們決定研究僵尸網絡及其組成的僵尸網絡在國家/地區的分布。為此,我們分析了用于注冊蜜罐攻擊的唯一IP地址的位置。
在漫游器數量排名前十的國家中,第一名是巴西,其唯一IP地址占12.25%。排在第二位的是中國(11.51%),僅落后于一個百分點,而埃及(7.87%)則排在第三位,差距更大。其余前十個國家的僵尸IP地址總數得分從6.5%到2.5%。該評級還包括幾個亞洲國家(越南(6.41%),第四(臺灣(3.96%),第七(3.65%)),伊朗(5.56%),俄羅斯(4.65%),俄羅斯(4.65%)。 ,而美國(3.56%)排名第九。土耳其排名前十,這是用于攻擊的唯一地址的2.86%的來源。
奇怪的是,這種分布只與攻擊統計信息部分相關。盡管中國長期以來一直是攻擊次數排名第一的國家,而越南是常規排名前十的游客,但按獨特IP數量排名的領先者巴西在過去一年僅進入前20名。 ,在2019年第一季度排名第20位。它經常只出現在TOP 30的后三分之一中,與伊朗不同,伊朗在機器人數量上排名TOP 5。至于埃及(按機器人數量排名第三),它是極少發生注冊攻擊的來源,因此,它甚至位于前30名之外。
僵尸網絡分布地理
如果單個攻擊設備主要位于南美,亞洲和中東,則與上一季度一樣,C&C服務器在美國和歐洲的注冊頻率更高。美國的C&C數量排名第一,在美國,到2020年第一季度,美國的C&C數量幾乎占總注冊量的40%(與去年年底相比下降了18.5個百分點)。荷蘭位居第二(10.07%),從第八位上升,第三位是德國(9.55%),上個季度在前十名中無人可及。如前所述,在前三名中在C&C服務器數量的國家/地區中,只有美國托管了大量的漫游器。
C&C數量排名第四的是另一個歐洲國家,這次是法國(8.51%),在梯級上爬了兩個梯級。中國呈現出完全相反的趨勢,從第三下降到第五(2019年第四季度為3.99%vs 9.52%)。加拿大(2.95%)從第九位上升到第六位,而俄羅斯,羅馬尼亞(每季度休息后回到前十名)和新來的克羅地亞則排在第七位。這些國家/地區分別占C&C服務器總數的2.43%。排名前十的是另一位新進入者,新加坡,占2.08%。
DDoS攻擊(ji)數量(liang)的動態變化(hua)
2020年第一季度的攻擊數量動態在許多方面與我們在2019年底所看到的類似。峰值指標每天不超過250次攻擊(最熱的是2月14日和15日,即在情人節之后(分別是242次和232次攻擊),以及當月的3日和10日。該季度最平靜的日子是1月25日和3月18日,一天的攻擊次數不足20次(回想一下,2019年第四季度最安靜的一天只有8次已記錄的攻擊)。
在過去的一個季度中,星期一的攻擊次數顯著增加-幾乎增加了4 pp。如果在上一個報告期內,這一天僅占攻擊的14%,則現在已接近18%。該季度最平靜的一天是星期三(攻擊率略高于11%,比上一季度下降3.7個百分點),在攻擊強度方面,周四僅稍低于前一個評級的反領導者(下降1.5個百分點)。
DDoS攻擊(ji)類型
在過去的一個季度中,DDoS攻擊的類型分布發生了一些顯著變化:ICMP泛洪增加了2個百分點,并且自信地從最后一位移至第二位(上一報告期為3.6%,而上一報告期為1.6%)。因此,HTTP泛濫以自2019年1月以來的最低分數(僅為0.3%)排名最低。UDP和TCP泛洪再次交換了位置。唯一未采取行動的是排名最高的SYN洪水,其份額持續增長,并在觀察期內達到92.6%的歷史新高(超過了上個季度創下的歷史記錄84.6%)。
Windows僵尸網絡越來越流行。如果在上一個報告期內,他們僅從Linux表親那里搶走了0.35 pp,那么這次他們采取了3 pp的策略(從攻擊的2.6%上升到5.64%)。話雖如此,它們仍然是一個嚴重的競爭對手:十分之九的攻擊繼續部署Linux僵尸網絡(94.36%)。
結論
2020年第一季度沒有(you)帶來任何重(zhong)(zhong)大沖擊。C&������C服務器數量(liang)(liang)排名前10位的(de)國家/地區歡迎了(le)兩個(ge)新(xin)(xin)條目(克羅(luo)地亞和新(xin)(xin)加(jia)坡),并且看到(dao)了(le)兩個(ge)熟悉(xi)的(de)面孔(羅(luo)馬尼亞和德國)的(de)回歸。盡管我們觀察(cha)到(dao)Windows僵尸(shi)���網絡和ICMP泛濫有(you)所(suo)增加(jia),但這(zhe)并沒有(you)顯著影響(xiang)整體情況。僅(jin)攻擊在(zai)星期(qi)幾的(de)分(fen)布發(fa)生了(le)實質性變化,但是(shi)即使如此,也僅(jin)表示重(zhong)(zhong)新(xin)(xin)分(fen)配了(le)工作(zuo),而不是(shi)定量(liang)(liang)轉移。在(zai)情人節(jie)(jie)那天,DDoS攻擊數量(liang)(liang)增加(jia),隨后(hou)出現(xian)平靜,這(zhe)也是(shi)可(ke)預見的(de)季節(jie)(jie)性現(xian)象。
