自2020年初以來，由于COVID-19大流行，人們的生活幾乎完全轉(zhuǎn)移到了網(wǎng)絡(luò)上——世界各地的人們開始在網(wǎng)上工作、學(xué)習(xí)、購(gòu)物和在線娛樂，這種情況是前所未有的。而最近的DDoS攻擊目標(biāo)也很好地反映了這一點(diǎn)，第一季度攻擊者集中針對(duì)的資源是醫(yī)療組織、交付服務(wù)以及游戲和教育平臺(tái)的網(wǎng)站。

 

　　例如，在3月中旬，攻擊者試圖阻斷美國(guó)衛(wèi)生與公共服務(wù)部(HHS)的網(wǎng)站。攻擊者的目的似乎是阻止公民獲取有關(guān)該流行病的相關(guān)信息和政府已采取措施的官方數(shù)據(jù)。同時(shí)，未知的攻擊者通過社交網(wǎng)絡(luò)、短信和電子郵件等方式，發(fā)送關(guān)于全國(guó)封鎖的虛假消息。然而，攻擊者的這些嘗試以失敗告終——盡管加大了流量，但HHS網(wǎng)站仍然持續(xù)運(yùn)行。

 

　　另一個(gè)DDoS攻擊的受害者是總部位于巴黎的大型醫(yī)院AssistancePublique-HôpitauxdeParis。網(wǎng)絡(luò)犯罪者試圖破壞醫(yī)療機(jī)構(gòu)的基礎(chǔ)設(shè)施，最終導(dǎo)致醫(yī)院的遠(yuǎn)程工作人員在一段時(shí)間內(nèi)無法使用程序和電子郵件。然而，攻擊者并沒有導(dǎo)致整個(gè)醫(yī)院的工作癱瘓。

 

　　針對(duì)送餐服務(wù)Lieferando(位于德國(guó))和Thuisbezorgd(位于荷蘭)的攻擊則更為明顯，由于攻擊者的DDoS攻擊，導(dǎo)致這兩家公司可以接收訂單，但無法處理訂單，最終必須返還客戶的付款。并且，針對(duì)Lieferando的網(wǎng)絡(luò)犯罪分子向該公司勒索2BTC(在撰寫本文時(shí)，對(duì)應(yīng)金額超過13000美元)，這樣才能停止DDoS攻擊。

 

　　德國(guó)的遠(yuǎn)程學(xué)習(xí)平臺(tái)Mebis在遠(yuǎn)程開學(xué)的第一天就遭受到攻擊，通過這一平臺(tái)，巴伐利亞州的教師可以與學(xué)生共享資料、發(fā)布作業(yè)和進(jìn)行測(cè)試。在遭受攻擊之后，該服務(wù)中斷了幾個(gè)小時(shí)。

 

　　由于居家隔離，在線游戲的人氣一路飆升。在此期間，攻擊者對(duì)Battle.net和EveOnline的服務(wù)器發(fā)動(dòng)流量攻擊，其中對(duì)EveOnline的攻擊活動(dòng)長(zhǎng)達(dá)9天的時(shí)間。同時(shí)，白羅斯公司W(wǎng)argaming也遭到了攻擊，其WorldofTanks、WorldofWarships和其他一些游戲的玩家連續(xù)幾天都發(fā)現(xiàn)在服務(wù)器速度方面存在問題。但是，也有一些持懷疑態(tài)度的用戶聲稱，這些問題與網(wǎng)絡(luò)犯罪分子無關(guān)。

 

　　在3月下旬，澳大利亞當(dāng)局報(bào)告了MyGov社交服務(wù)門戶網(wǎng)站遭受到DDoS攻擊，但在這一重大聲明發(fā)表后的幾個(gè)小時(shí)，他們又被迫承認(rèn)自己之前的結(jié)論是錯(cuò)誤的。事實(shí)證明，由于新冠病毒的大流行，導(dǎo)致大量公民失業(yè)，并涌向該網(wǎng)站提出真實(shí)要求，其網(wǎng)站無法承受這樣的訪問流量。

 

　　除了與新冠病毒直接或間接相關(guān)的DDoS攻擊之外，本季度還持續(xù)出現(xiàn)了出于政治目的的攻擊。例如，在1月下旬，未知的網(wǎng)絡(luò)攻擊者曾兩次攻擊希臘政府機(jī)構(gòu)和提供緊急服務(wù)的網(wǎng)站，導(dǎo)致包括總理網(wǎng)站、幾個(gè)部位、消防局和警察局的網(wǎng)站短暫無法訪問。土耳其攻擊組織AnkaNeferlerTim宣稱對(duì)第一次攻擊活動(dòng)負(fù)責(zé)，但希臘當(dāng)局并未急于做出任何最終結(jié)論，并且尚未有組織宣稱對(duì)第二次攻擊活動(dòng)負(fù)責(zé)。

 

　　今年，將舉行下一屆美國(guó)總統(tǒng)大選，我們推測(cè)該選舉將和往常一樣，伴隨著DDoS攻擊。舉例來說，在2月初，有一個(gè)選民注冊(cè)的信息網(wǎng)站遭到攻擊，攻擊者使用PRSD(偽隨機(jī)子域名攻擊)技術(shù)，將大量請(qǐng)求發(fā)送到網(wǎng)站原本不存在的子域名。但是，這次DDoS的嘗試未能成功。

 

　　金融機(jī)構(gòu)也同樣未能幸免。2月，加密貨幣交易所OKEx和Bitfinex遭受了復(fù)雜的DDoS攻擊。OKEx在保證用戶未受到影響的情況下處理了該事件，而Bitfinex則被迫下線一個(gè)小時(shí)。根據(jù)Bitfinex管理層的說法，臨時(shí)下線是為了建立專門的保護(hù)措施。目前，我們無法判斷這兩起事件之間是否具有關(guān)聯(lián)。

 

　　加密貨幣交易所BitMEX同樣在本季度發(fā)現(xiàn)了一次DDoS攻擊，攻擊者選擇了比特幣市值急劇下降的時(shí)機(jī)發(fā)動(dòng)攻擊，導(dǎo)致該網(wǎng)站出現(xiàn)訪問問題，這引起了一些客戶對(duì)平臺(tái)的懷疑。一些人認(rèn)為，交易所是故意下線，以防止用戶大量拋售。后來，BitMEX承諾支付賠償，但僅僅針對(duì)156個(gè)在ETH/USD交易過程中丟失訂單的用戶。

 

　　與上一季度一樣，知名APT組織的勒索軟件攻擊也成為了新聞。2月下旬，澳大利亞金融機(jī)構(gòu)收到了要求使用加密貨幣門羅幣支付大量贖金的勒索郵件。攻擊者自稱是SilenceGroup，并威脅如果不支付贖金，就會(huì)對(duì)目標(biāo)進(jìn)行DDoS攻擊。此前，新加坡、土耳其、南非和其他國(guó)家的公司也收到了具有類似威脅的電子郵件。這些勒索者使用了CozyBear、FancyBear、Anonymous、Carbanak、Emotet等不同著名攻擊團(tuán)伙的名稱，希望受害者能Google搜索這些組織，并感到害怕，最終服從勒索者提出的條件。

 

　　與這些國(guó)際勒索組織不同，來自O(shè)dessa的一名少年在去年試圖向一家拒絕合作的公司開展DDoS攻擊，在2020年1月被警方抓獲。這名少年試圖威脅烏克蘭互聯(lián)網(wǎng)服務(wù)提供商交出有關(guān)客戶的信息。在遭到拒絕后，他嘗試攻擊該公司的網(wǎng)絡(luò)。據(jù)報(bào)道，這次攻擊的流量非常強(qiáng)大。

 

　　總體而言，在過去一個(gè)季度，執(zhí)法機(jī)構(gòu)也逮捕了不少的犯罪分子。2月，ArthurDam在美國(guó)被拘留，罪名是于2018年四次對(duì)國(guó)會(huì)候選人BryanCaforio的網(wǎng)站進(jìn)行DDoS攻擊，導(dǎo)致該網(wǎng)站離線長(zhǎng)達(dá)21個(gè)小時(shí)。檢方指出，Dam的妻子是為Caforio的競(jìng)爭(zhēng)對(duì)手KatieHill工作，而后者最終贏得了選舉。

 

　　3月中旬，另一名網(wǎng)絡(luò)犯罪分子因攻擊俄羅斯Cherepovets一家公司的在線商城而在Krasnodar被拘留。盡管該犯罪分子試圖掩蓋DDoS攻擊的來源，但網(wǎng)絡(luò)警察還是設(shè)法追蹤到他本人。其本人聲稱，他只是想展示自己的技術(shù)，并向該公司提供防御DDoS攻擊的服務(wù)。但是，這個(gè)想法顯然是失敗的，因?yàn)樗揪蜔o法成功攻擊公司的站點(diǎn)。

 

　　上面這位犯罪分子顯然不是DDoS世界中唯一的“雙面間諜”。在新澤西州，DDoS防護(hù)企業(yè)BackConnect的創(chuàng)始人TuckerPreston也承認(rèn)犯有類似的罪名。自2015年12月到2016年2月，Preston聘請(qǐng)第三方對(duì)一家不知名組織位于新澤西的服務(wù)器進(jìn)行轟炸。這項(xiàng)罪行可以判處最高10年的有期徒刑，最高罰款為250000美元。

 

　　曾經(jīng)用于發(fā)起自定義DDoS攻擊的網(wǎng)站所有者也存在法律風(fēng)險(xiǎn)。視頻游戲廠商Ubisoft發(fā)現(xiàn)有站點(diǎn)對(duì)TomClancy的RainbowSixSiege服務(wù)器發(fā)起一系列攻擊之后，對(duì)該資源提起了訴訟。根據(jù)開發(fā)人員的說法，這個(gè)網(wǎng)站據(jù)稱可以幫助客戶測(cè)試自己的安全性，實(shí)際上專門從事對(duì)游戲服務(wù)器的DDoS。目前，Ubisoft要求強(qiáng)制關(guān)停該站點(diǎn)，并向站點(diǎn)所有者尋求經(jīng)濟(jì)損失的賠償。

 

 

　　本季度，主要的攻擊活動(dòng)都與新冠病毒大流行相關(guān)，隨著病毒的擴(kuò)散蔓延，已經(jīng)影響了包括DDoS趨勢(shì)在內(nèi)的許多方面。與我們?cè)谏弦患径葓?bào)告中預(yù)測(cè)相反，在2020年第一季度，我們發(fā)現(xiàn)DDoS攻擊的數(shù)量和質(zhì)量均呈現(xiàn)出顯著增加的趨勢(shì)。與上一個(gè)報(bào)告周期相比，攻擊次數(shù)增長(zhǎng)了一倍;與2019年第一季度相比，攻擊次數(shù)增長(zhǎng)了80%。與此同時(shí)，攻擊的持續(xù)時(shí)間也變得更長(zhǎng)，我們觀察到本季度的平均持續(xù)時(shí)間和最大持續(xù)時(shí)間均呈現(xiàn)明顯增長(zhǎng)。在每年的第一季度，DDoS活動(dòng)的數(shù)據(jù)都會(huì)有一定程度的增長(zhǎng)，但我們沒有想到會(huì)是這樣的激增。

 

　　2020年第一季度DDoS攻擊總數(shù)與2019年第一季度和第四季度的比較，以2019年第一季度為100%參考值：

 

　　2020年第一季度DDoS攻擊持續(xù)時(shí)間與2019年第一季度和第四季度的比較，以2019年第一季度為100%參考值：

 

　　在總體增長(zhǎng)的背景下，智能攻擊的占比在過去一年中幾乎保持不變。2019年和2020年的第一季度都處于相同水平，約為42%。這表明，專業(yè)攻擊者和業(yè)余攻擊者對(duì)DDoS攻擊的興趣都在增長(zhǎng)，攻擊總數(shù)與智能攻擊的數(shù)量是在以相同速度進(jìn)行增長(zhǎng)，因此比例沒有改變。

 

　　2020年第一季度智能攻擊在DDoS攻擊總數(shù)中所占的比例與2019年第一季度和第四季度的比較：

 

　　有趣的是，對(duì)教育和行政網(wǎng)絡(luò)資源的DDoS攻擊數(shù)量與2019年同期相比卻增加了兩倍。此外，此類攻擊在2020年第一季度占事件總數(shù)的19%，而上一年僅是11%。

 

　　網(wǎng)絡(luò)犯罪分子對(duì)這類資源興趣的上升，可能與COVID-19的傳播有關(guān)。隨著COVID-19的傳播，引起了人們對(duì)遠(yuǎn)程學(xué)習(xí)服務(wù)和官方消息來源的更多需求。自2020年初以來，病毒大流行影響了幾乎所有行業(yè)。因此，它也同樣影響了DDoS的領(lǐng)域，這也是在情理之中。我們展望未來，認(rèn)為這樣的影響可能會(huì)更加明顯。

 

　　在目前全球不穩(wěn)定的局勢(shì)下，我們很難去預(yù)測(cè)任何事情，但是我們可以推測(cè)攻擊活動(dòng)并不會(huì)減少。原因在于，有越來越多的組織都逐步轉(zhuǎn)向了遠(yuǎn)程工作，并且可攻擊目標(biāo)的數(shù)量正在增加。在平時(shí)，可攻擊的目標(biāo)通常都是企業(yè)的公共資源，但現(xiàn)在的可攻擊目標(biāo)可能會(huì)轉(zhuǎn)移到關(guān)鍵基礎(chǔ)設(shè)施上來，例如公司VPN網(wǎng)關(guān)、郵箱、公司知識(shí)庫等非公共Web資源。這樣的范圍變化，無疑為攻擊者打開了新的大門，并可能導(dǎo)致DDoS市場(chǎng)的增長(zhǎng)。

 

 

 

　　卡巴斯基在打擊網(wǎng)絡(luò)威脅方面具有悠久的歷史，我們?cè)鉀Q過各種類型的攻擊和復(fù)雜的DDoS攻擊。我們的專家使用卡巴斯基DDoS智能系統(tǒng)來監(jiān)控僵尸網(wǎng)絡(luò)的動(dòng)態(tài)。

 

　　DDoS智能系統(tǒng)是卡巴斯基DDoS防護(hù)的組成部分，可以攔截并分析僵尸主機(jī)從C&C服務(wù)器接收到的命令。該系統(tǒng)屬于主動(dòng)出擊類型，并不是被動(dòng)型，因此無需等待用戶設(shè)備被感染或命令被執(zhí)行。

 

　　本報(bào)告中體現(xiàn)2020年第一季度的DDoS情報(bào)統(tǒng)計(jì)信息。

 

　　在本報(bào)告中，我們將時(shí)間間隔不超過24小時(shí)的僵尸網(wǎng)絡(luò)活動(dòng)視為是一次DDoS攻擊。舉例來說，如果同一個(gè)Web資源被相同的僵尸網(wǎng)絡(luò)攻擊兩次，但這兩次的間隔為24小時(shí)或更長(zhǎng)時(shí)間，那么我們會(huì)將其視為是兩次攻擊。同時(shí)，來自不同僵尸網(wǎng)絡(luò)，但目標(biāo)是同一個(gè)資源的僵尸請(qǐng)求也被視為是單獨(dú)的攻擊。

 

　　用于發(fā)送命令的DDoS攻擊受害者和C&C服務(wù)器的地理位置是根據(jù)其各自的IP地址來確定。本報(bào)告中DDoS攻擊的唯一目標(biāo)數(shù)量是根據(jù)季度統(tǒng)計(jì)中的唯一IP地址數(shù)量來計(jì)算的。

 

　　DDoS情報(bào)統(tǒng)計(jì)信息僅限卡巴斯基檢測(cè)和分析的僵尸網(wǎng)絡(luò)。需要注意的是，僵尸網(wǎng)絡(luò)只是用于DDoS攻擊的工具之一，并且我們沒有涵蓋到在監(jiān)測(cè)期間發(fā)生的每一起DDoS攻擊。

 

　　2.季度總結(jié)

 

　　在2020年第一季度，大多數(shù)C&C服務(wù)器仍然是在美國(guó)注冊(cè)(39.93%)，而大多數(shù)僵尸主機(jī)位于巴西。

 

　　就整體攻擊次數(shù)的動(dòng)態(tài)變化而言，本季度與上一季度非常相似，2月14日和15日的攻擊次數(shù)超過了230次，1月25日的攻擊次數(shù)下降到16次。

 

　　DDoS攻擊者在星期一最為活躍，一些攻擊者會(huì)選擇在星期三休息。

 

　　SYN泛洪仍然是最流行的攻擊類型(以92.6%的攻擊占比鞏固了其地位)，而ICMP攻擊出人意料地躍居所有攻擊類型的第二位。

 

　　Windows僵尸網(wǎng)絡(luò)持續(xù)受到歡迎，其攻擊占比上升了3個(gè)百分點(diǎn)，達(dá)到了5.64%。

 

 

　　本季度，我們決定開始研究僵尸主機(jī)及其組成的僵尸網(wǎng)絡(luò)的國(guó)家分布。為此，我們基于之前部署的蜜罐，分析了攻擊所使用的唯一IP地址的位置。

 

　　在僵尸主機(jī)數(shù)量排名前十的國(guó)家中，巴西位居第一，其唯一IP地址占其中的12.25%。排在第二位的是中國(guó)(11.51%)，僅落后兩個(gè)百分點(diǎn)。而埃及(7.87%)排在第三，與前兩名的差距較大。其余位于前十的國(guó)家，其僵尸網(wǎng)絡(luò)占比分別在6.5%到2.5%之間不等。我們關(guān)注到，前十名中還包含一些亞洲國(guó)家，越南(6.41%)排名第四，臺(tái)灣(3.96%)排名第七，伊朗(5.56%)排名第五，俄羅斯(4.65%)排名第六，美國(guó)(3.56%)排名第九，土耳其(2.86%)位居第十。

 

　　2020年第一季度僵尸網(wǎng)絡(luò)的地理位置分布：

 

　　奇怪的是，這種分布只與攻擊維度的統(tǒng)計(jì)信息相關(guān)。盡管中國(guó)長(zhǎng)期以來一直是攻擊次數(shù)排名第一的國(guó)家，而越南是經(jīng)常進(jìn)入到排名前十的游客，但按照唯一IP數(shù)量的排名領(lǐng)先者巴西僅僅在過去一年中進(jìn)入到TOP20的范圍。在2019年第一季度，巴西排名第20位。在更多時(shí)候，巴西都位于TOP30的靠后位置，這一點(diǎn)不同于伊朗等國(guó)家。而對(duì)于埃及來說，其僵尸網(wǎng)絡(luò)數(shù)量排名第三，但該國(guó)很少發(fā)生已知的攻擊，因此它甚至排在了前30名開外。

 

 

　　攻擊設(shè)備主要位于南美、亞洲和中東，而C&C服務(wù)器與上一季度相同，主要位于美國(guó)和歐洲。美國(guó)的C&C數(shù)量保持在第一位，在2020年第一季度，美國(guó)的C&C數(shù)量幾乎占總注冊(cè)量的40%，于去年年底相比下降了18.5個(gè)百分點(diǎn)。荷蘭從第八名上升到第二名，占比10.07%。第三名是德國(guó)(9.55%)，在上個(gè)季度德國(guó)未進(jìn)入到前十之中。就像之前所說，在C&C服務(wù)器數(shù)量前三名的國(guó)家中，只有美國(guó)托管了大量的僵尸主機(jī)。

 

　　C&C數(shù)量排名中位居第四的是另一個(gè)歐洲國(guó)家，在本季度是法國(guó)(8.51%)，與上季度相比排名上升了兩位。而中國(guó)本季度呈現(xiàn)出完全相反的趨勢(shì)，從第三名(上一季度的9.52%)下降到第五名(3.99%)。加拿大(2.95%)從第九名上升到第六名。并列第七名的分別是俄羅斯、羅馬尼亞和新上榜的克羅地亞，這些國(guó)家的占比是2.43%。排名第十位的是另外一個(gè)新成員，新加坡，占總數(shù)的2.08%。

 

　　2020年第一季度僵尸網(wǎng)絡(luò)C&C服務(wù)器的地理位置分布：

 

 

　　分析2020年第一季度攻擊數(shù)量的動(dòng)態(tài)變化，可以發(fā)現(xiàn)其中的許多方面都與我們?cè)?019年底所看到的類似。攻擊數(shù)量的峰值每天不超過250次攻擊，其中數(shù)量最多的兩天是2月14日和2月15日，分別是242次攻擊和232次攻擊，以及2月3日和2月10日。在本季度中，最平靜的兩天分別是1月25日和3月18日，這兩天的攻擊次數(shù)分別都沒有超過20次。回想2019年第四季度，最平靜的一天僅發(fā)生了8次已記錄的攻擊。

 

　　2020年第一季度DDoS攻擊數(shù)量動(dòng)態(tài)變化趨勢(shì)：

 

　　在過去的一個(gè)季度中，在星期一發(fā)生的攻擊次數(shù)出現(xiàn)顯著增加，上升了將近4個(gè)百分比，從上一季度的14%上升到了將近18%。本季度中，一周最為平靜的時(shí)間是星期三，占比略高于11%，比上一季度下降了3.7個(gè)百分點(diǎn)。在攻擊強(qiáng)度方面，周四也同樣相對(duì)比較平靜。

 

　　2019年第四季度和2020年第一季度DDoS攻擊時(shí)間分布：

 

 

　　在過去的一個(gè)季度中，DDoS的攻擊類型分布發(fā)生了一些明顯的變化，ICMP泛洪攻擊增長(zhǎng)了2個(gè)百分點(diǎn)，并從最后一名(1.6%)上升到了第二名(3.6%)。隨之，HTTP泛洪達(dá)到了自2019年1月以來的最低占比，僅為0.3%，排名最后。UCP和TCP泛洪再次互換位置。唯一不變的是排名第一的SYN泛洪，其占比持續(xù)增長(zhǎng)，達(dá)到了92.6%的歷史新高，超過了上個(gè)季度創(chuàng)下的歷史記錄84.6%。

 

　　2020年第一季度DDoS攻擊類型分布：

 

　　本季度，Windows僵尸網(wǎng)絡(luò)逐漸流行。在上一個(gè)季度，該類型僅占0.35個(gè)百分點(diǎn)，而本季度則上升了3個(gè)百分點(diǎn)，從2.6%直接升至5.64%。盡管如此，Linux僵尸網(wǎng)絡(luò)仍然占據(jù)著主導(dǎo)地位，有十分之九的攻擊活動(dòng)中持續(xù)部署Linux僵尸網(wǎng)絡(luò)(94.36%)。

 

　　2019年第四季度和2020年第一季度Windows/Linux僵尸網(wǎng)絡(luò)攻擊占比：

 

 

　　在2020年第一季度，沒有產(chǎn)生任何重大的沖擊。C&C服務(wù)器數(shù)量排名前十的榜單中迎來了克羅地亞和新加坡這兩個(gè)新成員，同時(shí)看到了羅馬尼亞和德國(guó)這兩個(gè)熟悉面孔的回歸。盡管我們觀察到的Windows僵尸網(wǎng)絡(luò)和ICMP泛洪占比有所增加，但這并沒有對(duì)整體情況產(chǎn)生重大影響。只有在一周中的攻擊時(shí)間分布發(fā)生了實(shí)質(zhì)性變化，但盡管如此，也只能表明攻擊者重新分配了工作，并沒有發(fā)生本質(zhì)性的變化。在情人節(jié)當(dāng)天，DDoS攻擊的數(shù)量出現(xiàn)增長(zhǎng)，隨后歸于平靜，這也是可以預(yù)見的季節(jié)性現(xiàn)象。