一、概述

从DDoS的角度来看,第三季度相对平静。即使网络犯罪分子在Q2持续对一些老的恶意软件进行开发,但他们并没有明显的创新。例如,某个DDoS僵尸网络新增了对Docker环境的攻击方法。犯罪分子渗透到目标服务器,创建了一个受感染的容器,并在其中放置了与挖矿工具匹配的Kaiten僵尸工具(也称为Tsunami)。

Lucifer僵尸网络在上个季度首次被研究人员发现,目前已知该僵尸网络与DDoS攻击和加密货币挖矿有关,在本季度该僵尸网络进行了更新,现在不仅可以感染Windows,还会感染Linux设备。新版本在进行DDoS攻击的过程中,可以使用所有常见协议(TCP、UDP、ICMP、HTTP)并仿冒流量源的IP地址。

Mirai漏洞的攻击者正积极利用新的漏洞。7月,趋势科技的同事们发现了一个僵尸网络的变种,该变种利用了Comtrend VR-3033路由器中的CVE-2020-10173漏洞,从而影响存在漏洞的路由器以及与之连接的网络。然后在8月,有消息声称Mirai变种利用CVE-2020-5902漏洞攻击BIG-IP产品。BIG-IP产品包括防火墙、负载均衡、访问控制程序和僵尸网络防护系统。该漏洞可以用于执行任意命令、上传和删除文件、禁用服务以及运行JavaScript脚本。

对于实际的DDoS攻击来说,第三季度似乎不是那么瞩目。其中比较关键的是各类APT团体背后攻击者开展的勒索软件攻击,例如FancyBear、Armada、Collective、Lazarus等。勒索分子向世界各地的组织发送比特币勒索邮件,索取5比特币到20比特币不等,并威胁对方一旦不付款就会进行强大且持续的DDoS攻击。随后,受害者会被大量垃圾邮件淹没,由此说明这个威胁远未消除。

在8月和9月初,新西兰的一些组织遭受攻击,包括新西兰证券交易所(NZX),该组织已经被攻击下线数日。受害者还有印度银行YesBank、Paypal、Worldpay、Braintree和其他金融公司。另一波以DDoS作为威胁的勒索攻击影响了许多欧洲的ISP。但是,不太确定这是否属于同一个恶意组织所为。9月底,匈牙利的金融和电信公司遭受了强大的DDoS攻击。根据Magyar Telekom,这些恶意流量来自俄罗斯、中国和越南。不清楚攻击者是否在攻击过程中进行了勒索。

9月底,公共航班追踪服务遭受了一系列DDoS攻击,受害者包括瑞典网站Flightradar24和英国平台Plane Finder,这些网站和平台可以实时查看飞机的动态。这些服务的用户需求量非常大——接机人可以查询航班是否准点,媒体在发布与飞机相关的事件时也会使用这些信息。由于这次攻击,直接导致这些服务只能间断地工作,其官方Twitter帐户也公布了遭受攻击的消息。例如,Flightradar24的推文表示,他们在短时间内遭受了三次以上的攻击。美国公司FlightAware也公布了服务可用性存在问题,但没有具体说明是由于攻击还是由于故障。

在第三季度也存在针对媒体的传统攻击。俄罗斯电视台Dozhd在8月24日发生了一起DDoS攻击事件。未知的网络攻击者尝试在白天和晚上的新闻时段对其进行攻击,使资源不可用。9月初,网络犯罪分子将新闻机构UgraPRO作为目标。据媒体报道,攻击流量来自俄罗斯和国外的IP地址,每秒的请求数量超过5000。在9月下旬,新闻门户网站《土库曼斯坦纪事报》和《俄罗斯卫星通信社》报告了对其网站的攻击。

最后,由于俄罗斯的新冠疫情大流行和相关限制,俄罗斯毕业生参加的统一国家考试已经推迟到今年7月份。这个事件也影响了DDoS方面,在7月中旬,教育和科学领域的联邦监督服务局(Rosobrnadzor)报告了针对考试结果查询门户的攻击活动。但幸运的是,此时考试结果还没有上传,因此攻击是毫无意义的。

在本学年开始时,可以预期会发生更多与学校相关的攻击。例如,在佛罗里达州的迈阿密戴德县,DDoS的浪潮席卷了当地教育机构的网站,导致在线课程中断。有一名青少年网络犯罪分子遭遇了近乎实时的打击,FBI进入学校进行搜捕,该网络犯罪分子并在9月3日被逮捕。而其他肇事者仍在追查中。

提到FBI,该机构在第二季度面向企业发布了两条防范DDoS的告警。在7月,他们发布了一份文档,其中简要介绍了新的攻击方法、检测方式和预防措施。8月下旬,他们发布了有关DDoS勒索活动的详尽报告,并再次提供了应对此类攻击的技巧。

二、季度趋势

在第三季度,我们观察到所有指标与上一季度相比均大幅下降。这很可能是由于第二季度出现了异常的DDoS活动,而不是本季度攻击活动有所平息。如果我们将本季度与2019年同期数据进行比较,会明显发现总攻击次数是之前的1.5倍,而智能攻击的次数几乎翻了一番。

2020Q2、2020Q3、2019Q3 DDoS攻击数量对比,其中将2019Q3的数据作为100%参考值:

与上一季度不同,第三季度可以说是正常的,我们终于在这个季度迎来了原本应该在5月和6月出现的下降趋势。我们原本预计这种情况会在2020年初出现,但实际却在第二季度出现了异常的高点。我们可以通过以下两个因素来解释这种趋势:

1、在新冠病毒大流行期间,全球市场比较稳定。从实施检疫措施到现在已经9个月了,逐步转移到远程工作已经不再是大新闻。公司已经适应了新的工作模式,IT部门也已经填补了远程基础架构中存在的漏洞,并对关键节点进行了加固。因此,适合攻击的目标就变得更少了。

2、加密货币市场的增长。例如,以太坊价格图表可以参考下图,从中我们能看到第三季度的明显上涨。加密货币挖矿和DDoS攻击都是竞争的市场。有很多僵尸网络可以同时实现这两种功能,并且其运营商会根据潜在收益在不同时间转换其目标。在第三季度,某些僵尸网络可能已经进入到挖矿模式。

2019年10月13日到2020年10月13日以太坊价格变化情况(来源:coindesk.com):

三、季度统计

3.1 方法论

卡巴斯基在打击网络威胁方面有长时间的积累,我们接触过各种类型以及复杂的DDoS攻击。企业专家使用卡巴斯基DDoS智能系统来监控僵尸网络。

DDoS智能系统是卡巴斯基DDoS防护解决方案的组成部分,可以拦截和分析从C&C服务器发送到僵尸主机的命令。这个系统是主动的,不是被动的,这意味着它无需等待用户设备被感染或命令被执行。

本报告中,包含2020年第三季度的DDoS情报统计数据。

在这篇报告的上下文中,仅当僵尸网络活动时间间隔不超过24小时时,该事件才会被视为一次DDoS攻击。如果相同的Web资源被相同的僵尸网络攻击,时间间隔为24小时或更长时间,那么就将其视为两次攻击。来自不同僵尸网络但针对同一个资源的僵尸请求也被视为单独的攻击。

DDoS受害者的地理位置是根据他们的IP地址来确定。在报告中,DDoS攻击的唯一目标数量是根据季度统计中唯一IP地址数量来计算的。

DDoS情报统计信息仅限于使用卡巴斯基进行检测和分析到的僵尸网络。请注意,僵尸网络只是用于DDoS攻击的工具之一,并且我们并不能涵盖在时间范围之内的所有DDoS攻击。

3.2 季度统计结果

在攻击次数和目标数量方面,前三名保持不变:中国(71.20%和72.83%)、美国(15.30%和15.75%)以及香港特别行政区(4.47%和4.27%)。

在攻击次数前十名中,出现了新的面孔,是荷兰和越南。

在目标数量的排名中,针对亚洲的攻击兴趣显著下降:香港下降了2.07个百分点,新加坡下降了0.3个百分点,日本和韩国甚至都没有上榜。但中国是个例外,针对中国目标的占比上升了6.81个百分点。

在第二季度过后,第三季度的攻击次数再次出现下降。并且,峰值(每天323次攻击)和谷值(每天1次攻击)之间的差异正急剧增加。

在第三季度,我们观察到8月底和9月初有所下降。在此期间,有3个低谷阶段,分别是8月31日、9月1日和9月7日,每天仅有1次攻击。此外,还有5天,当天的攻击均少于10次。

DDoS僵尸网络泛洪在周四最为活跃,而周五则出现明显下降。

就持续时间而言,第三季度远远落后于第一季度,但有两次攻击的发生时长超过了10天(分别是246小时和245小时),持续5-9天的攻击次数(12次)有所增加。

本季度的攻击类型分布与此前相比没有任何变化,SYN泛洪仍然是主要使用的方式(94.6%),自上一季度以来其占比就保持不变。ICMP攻击占3.4%,HTTP泛洪占比不到0.1%。

Linux僵尸网络仍然领先于Windows僵尸网络,占攻击总数的35.39%。

3.3 攻击地理位置分布

就攻击的地理位置分布而言,2020年第三季度丝毫不令人意外。今年以来,攻击次数排名前三的国家/地区出乎意料的稳定:中国(71.2%,较第二季度增长6.08个百分点),美国(15.3%,下降4.97个百分点),香港特别行政区(4.47%,下降1.61个百分点)。尽管出现了一些变动,但中美之间的巨大差距以及香港所占份额明显下降的形势仍然没有改变。我们在2019年第三季度也看到了类似的状态。

新加坡、澳大利亚和印度都上升了1位,分别是从第五位上升到第四位、从第六位上升到第五位、从第七位上升到第六位。南非则从第四位下降到第八位。其原因并不是这些国家的攻击占比有所增高,而是因为南非已经转为平静。在7月至9月,南非的攻击占比下降了0.88个百分点,下降到0.4%。同时,相对而言,新加坡的攻击数量与上一季度相比变得更少,DDoS攻击占到了0.85%(下降0.28个百分点)。澳大利亚和印度的占比增长大致相同(分别为0.27个百分点和0.24个百分点),前者的占比达到0.65%,后者的占比约为0.57%。

在印度和南非之间是排名第七的荷兰,这个国家在2019年第三季度没有进入到前十名之中。在这一季度,荷兰占据了所有攻击的0.49%。

越南和英国的攻击数量进入了前十。越南的攻击占比与第二季度相比增长了0.23个百分点,这是他们今年第二次以0.39%进入前十。而英国则保持相对稳定,从第二季度的0.18%,小幅上升至0.25%。

2020Q3和Q3按国家/地区列出的DDoS攻击分布:

目标的地理分布也发生了一些微小的变化,只有两名新成员进入到前十。

前三名与第一季度相同,分别是中国、美国和香港。中国的目标占比持续增长,相比上一季度,本季度增长了6.81个百分点之多,已经接近占据所有目标的四分之三,即72.83%。美国下跌了2.07个百分点,目标占比降至4.27%。

第四名是新加坡,尽管其目标数量有所减少(下降0.3个百分点,达到0.74%),但是排名却升高一位,取代了南非。越南位居第五,占比为0.5%,在上一季度他们排名第七。而之前已经提过的南非,则以0.47%的占比排名第六。

英国(0.35%)和荷兰(0.27%)分别获得第七名和第八名。这是他们自2019年第四季度和第三季度以来,首次进入到前十排名。这些欧洲国家超过了位于亚洲的日本和韩国。在第三季度,澳大利亚(0.25%)和印度(0.23%)分别占据了第六名和第八名的位置。

2020年第三季度和第四季度按国家/地区分布的唯一DDoS攻击目标:

3.4 DDoS攻击数量的动态变化

本季度的攻击数量差异很大。关于高峰时期,DDoS攻击者在本季度打破了上一季度的记录,在7月2日,我们记录到了323次攻击(此前峰值为4月的298次)。另外,本季度也出现了一些令人惊讶的平静日期,比如8月31日、9月1日、9月7日分别仅发生了1次被记录的攻击。总体而言,8月下旬和9月上旬的攻击比较温和,在8月25日至9月7日期间的两周中,攻击次数在一天之内就超过了100次(9月5日为181次),而多达8天的攻击次数是小于10天的。

我们的另一个关注点是峰值和最接近峰值的指标之间的差异。在过去的几个季度中,最活跃的2-3天的攻击次数没有明显差异。在第三季度,就打破了常规,除了最高的7月2日峰值以外,接下来攻击强度排名第二的就是7月13日,攻击次数与7月2日相比减少了近20%,总共减少了260次。第三季度平均每天大约有106次攻击,比上一季度减少了10次。

2020年第三季度DDoS攻击数量的动态变化:

网络犯罪分子最受青睐的日期在本季度再次发生了变化。最为活跃的星期三被星期四(19.02%)取代,而最为安静的星期六被星期五(10.11%)取代。二者之间的差距也被拉大,由上一季度的4.93个百分点增加到8.91个百分点。这主要是由于星期四是本季度最为活跃的一天。

除了周六和周四外,周一的攻击占比也有所增加,但幅度并不大,其余几天的攻击占比是有相应下降的。

2020年第二季度和第三季度按照星期分布的DDoS攻击情况:

3.5 DDoS攻击的持续时间和类型

第三季度的平均攻击时间持续缩短,可以根据超短时间攻击的占比增加来说明这一点,实际上增加了5.09个百分点。但是,与上一季度不同,长时间(100-139小时)的攻击占比下降并不明显(仅下降0.08个百分点),而超长时间攻击的占比略有上升(增长0.18个百分点)。在第二季度,最长的攻击甚至没有超过9天,而本季度我们发现了两次持续10天以上的攻击(246小时和245小时),持续5-10天的攻击次数也增加了1.5倍。

这样一来,就出现了这样的情况:大部分攻击(91.06%)都持续了4个小时,有4.89%的攻击持续5-9小时,2.25%持续10-19小时,2.09%持续了20-49小时,0.4%持续了50-99小时,仅有0.08%持续了100-139小时。与此前不同,本季度持续140小时及以上的攻击次数远多于前一档,占DDoS攻击总数的0.23%。

2020年第二季度和第三季度按照攻击时长(小时)分布的DDoS攻击情况:

与上一季度相比,不同攻击类型的分布没有变化,最常见的SYN泛洪也是一样,在第三季度为94.6%,此前的第二季度占比是94.7%。ICMP泛洪占比小幅下降,从之前的4.9%下降到3.4%,但排名保持不变。TCP攻击占总数的1.4%,增长了1.2个百分点。UDP攻击占0.6%。而HTTP攻击的占比最少,甚至都没有达到0.1%。

2020年第三季度按攻击类型分布的DDoS攻击情况:

在第三季度,Windows僵尸网络的占比持续下降,这次它们的数量相比上一季度下降了0.61个百分点,为4.61%。Linux僵尸网络的占比也有相应增加。

2020年第二季度和第三季度Windows和Linux僵尸网络攻击占比分布:

四、总结

如果说2020年第二季度的DDoS攻击数量之多还会让我们感到惊讶,那么在第三季度的数字表明已经恢复了正常化。从唯一目标的数量来看,与上一季度相比,欧洲对于网络犯罪分子的吸引力似乎更大,日本和韩国等亚洲国家对网络犯罪分子的吸引力较小,但针对中国的兴趣仍然较高,并且其攻击目标占比和攻击来源占比都在持续增长。本季度的单日最高攻击次数和单日最低攻击次数之间形成了鲜明对比。从DDoS的分析角度来看,这些所有的指标综合在一起,表示2020年第三季度出现了一些矛盾的情况。

我们非常期待Q4的数据。除非有重大事件,否则我们预计Q4将类似于2019年第四季度的统计数值。在2019Q4,经过近两年的增长,DDoS的趋势或多或少地趋于稳定。