您所在的位置: 首頁 >
新聞資訊 >
威脅情報(bào) >
2022年第一季度DDoS攻擊趨勢分析
2022 年第一季度的 DDoS攻擊趨勢受到俄烏沖突的影響:所有重磅DDoS 相關(guān)新聞都與其有關(guān)。
1月中旬,基輔市長維塔利·克里琴科的網(wǎng)站遭到DDoS攻擊,烏克蘭多個政府部門的網(wǎng)站遭到破壞。2 月中旬,DDoS 攻擊影響了烏克蘭國防部的網(wǎng)站、Oschadbank 和 PrivatBank 的在線服務(wù)以及托管服務(wù)提供商 Mirohost。大約在同一時(shí)間,PrivatBank 客戶收到了關(guān)于 ATM 停止服務(wù)的虛假短信,這么做似乎是為了制造恐慌。2月23日,另一波DDoS攻擊席卷了烏克蘭政府的資源,而烏克蘭國家特殊通信和信息保護(hù)局(State Service of Special Communication and Information Protection)報(bào)告稱,2月底和3月初發(fā)生了一系列連續(xù)攻擊。盡管垃圾通信量在峰值沖擊時(shí)超過了100gb /s,但與去年反復(fù)發(fā)生的1tb/s或更多容量的攻擊相比,這是微不足道的。
3月初,Zscaler的研究人員發(fā)表了一份分析報(bào)告,分析了DanaBot的一名操作員對烏克蘭發(fā)起的攻擊。這種銀行木馬通過惡意軟件即服務(wù)(MaaS)模型傳播。買家使用DanaBot將DDoS木馬下載到受感染的設(shè)備上其唯一功能就是攻擊硬編碼域。最初的目標(biāo)是烏克蘭國防部的郵件服務(wù)器。對該資源的攻擊從3月2日持續(xù)到3月7日,之后攻擊者將目標(biāo)對準(zhǔn)烏克蘭國家安全與國防委員會(National Security and Defense Council of Ukraine)該網(wǎng)站專門提供有關(guān)俄羅斯戰(zhàn)俘的信息。
提供俄烏沖突實(shí)時(shí)監(jiān)控的信息資源LiveUAMap也成為DDoS攻擊的目標(biāo),此外,北約國家的烏克蘭媒體和信息資源也受到攻擊。特別是烏克蘭門戶網(wǎng)站espresso遭受了DDoS攻擊。據(jù)烏克蘭供應(yīng)商稱,他們在整個3月份都面臨著針對某些資源的DDoS攻擊。
從2月24日開始,一系列DDoS攻擊攻擊了俄羅斯的網(wǎng)站。目標(biāo)包括媒體、地區(qū)(例如在Yugra)和聯(lián)邦一級的政府當(dāng)局、俄羅斯航天局、俄羅斯鐵路公司(RZD)、國家服務(wù)(Gosuslugi)門戶網(wǎng)站、電信公司和其他組織。3月底,DDoSer(一款集壓力測試與安全觀測的全功能產(chǎn)品)攻擊了俄羅斯域名注冊商Ru-Center,使其客戶的網(wǎng)站癱瘓了一段時(shí)間。據(jù)加拿大皇家銀行稱,至少有一些針對媒體的攻擊是從呼吁杜絕錯誤信息的網(wǎng)站進(jìn)行的。黑客組織 Anonymous 已就烏克蘭問題向俄羅斯宣戰(zhàn),聲稱對數(shù)次攻擊負(fù)責(zé),其中包括針對今日俄羅斯新聞臺的 DDoS。
Anonymous 并不是唯一一個站出來支持烏克蘭的黑客組織。該國政府號召志愿者加入“IT 軍隊(duì)”,其任務(wù)包括 DDoS 攻擊。此類攻擊主要通過 Telegram 進(jìn)行協(xié)調(diào),組織者在 Telegram 上發(fā)布了目標(biāo)列表。此外,多個網(wǎng)站似乎邀請具有任何 IT 素養(yǎng)水平的同情者加入針對俄羅斯組織的 DDoS 攻勢。用戶所要做的就是在瀏覽器中打開網(wǎng)站,以便開始向給定的網(wǎng)絡(luò)資源列表發(fā)送垃圾請求。
黑客活動家還分發(fā)允許普通用戶參與 DDoS 攻擊的應(yīng)用程序,與這些網(wǎng)站一樣,他們的開發(fā)人員將它們宣傳為攻擊俄羅斯資源的工具。據(jù) Avast 稱,至少有 900 名來自烏克蘭的用戶下載了此類應(yīng)用程序。此類應(yīng)用程序不僅代表用戶進(jìn)行攻擊,還會收集有關(guān)用戶的數(shù)據(jù),例如 IP 地址、大致位置、用戶名、系統(tǒng)信息、時(shí)區(qū)、語言等。
為了應(yīng)對 DDoS 攻擊,許多俄羅斯資源使用地理圍欄來暫時(shí)限制來自國外的訪問。此外,俄羅斯國家計(jì)算機(jī)事件協(xié)調(diào)中心發(fā)布了據(jù)稱發(fā)起攻擊的 IP 地址和域列表,以及針對組織的安全建議。DDoS 來源清單包括美國情報(bào)機(jī)構(gòu)的域以及一些媒體渠道等。
除了俄羅斯和烏克蘭外,朝鮮的網(wǎng)站也多次癱瘓。朝鮮在1月中旬進(jìn)行了一系列導(dǎo)彈試驗(yàn)后首次下線,切斷了對大多數(shù)朝鮮網(wǎng)站和郵件服務(wù)器的訪問。監(jiān)控朝鮮互聯(lián)網(wǎng)的研究員Junade Ali表示,這一事件類似于DDoS攻擊。本月末,該國的網(wǎng)絡(luò)連接也出現(xiàn)了中斷。雖然許多人最初將這些事件歸咎于朝鮮日益增加的軍事活動,但聲稱對此事負(fù)責(zé)的是一名綽號為P4x的美國信息安全專家。用他自己的話說,他的行動是為了回應(yīng)朝鮮黑客對安全專家發(fā)起的一系列網(wǎng)絡(luò)攻擊??吹矫绹?dāng)局沒有反應(yīng),P4x決定自己動手,他在朝鮮的網(wǎng)絡(luò)設(shè)備中發(fā)現(xiàn)了幾個漏洞,他用這些漏洞使該國的關(guān)鍵路由器和服務(wù)器過載。
今年3月,以色列ISP Cellcom成為大規(guī)模DDoS攻擊的目標(biāo)。這一事件導(dǎo)致政府資源,尤其是政府部門網(wǎng)站癱瘓了一段時(shí)間。以色列另一家主要供應(yīng)商Bezeq也遭到了襲擊。以色列國家網(wǎng)絡(luò)理事會(INCD)認(rèn)為伊朗是這次攻擊的幕后主使。
另一個遭受 DDoS 攻擊的國家是安道爾。以安道爾電信為目標(biāo),當(dāng)?shù)匚ㄒ坏腎SP,暫時(shí)切斷了該國所有人的通信。攻擊者的動機(jī)與政治無關(guān),目標(biāo)似乎是 Twitch Rivals Squidcraft Games 的參與者,這是一個基于 Squid Game 的 Minecraft 錦標(biāo)賽。該比賽面向歐洲和拉丁美洲的西班牙語主播,最高獎金為 100,000 美元。
第一季度并非沒有針對區(qū)塊鏈和NFT等流行技術(shù)供應(yīng)商的DDoS攻擊。就在今年年初,Solana平臺在經(jīng)歷了2021年的多次DDoS攻擊后,再次遭到攻擊,最近的DDoS攻擊徹底激怒了用戶,他們指責(zé)開發(fā)人員未能確保系統(tǒng)的安全。
新NFT市場LooksRare剛一開業(yè)就被關(guān)閉了。該平臺的網(wǎng)站暫時(shí)關(guān)閉,用戶在連接錢包和獲取購買的代幣信息方面遇到了困難。錢包的問題持續(xù)了一段時(shí)間,甚至在網(wǎng)站恢復(fù)后也是如此。
DDoS勒索者偽裝成臭名昭著的REvil組織,不僅繼續(xù)攻擊公司,還開發(fā)了新的功能。
除了攜帶勒索信息的請求,攻擊者開始使用配置錯誤的Mitel MiCollab和MiVoice Business Express協(xié)作解決方案,將攻擊擴(kuò)大了400多萬倍。這兩種解決方案都具有用于VoIP的TP-240接口。tp240dvr驅(qū)動程序充當(dāng)與該接口交互的橋梁,其任務(wù)包括接收命令以產(chǎn)生大量流量以用于調(diào)試和測試系統(tǒng)性能。通常情況下,這個驅(qū)動程序不應(yīng)該從互聯(lián)網(wǎng)上獲得,但大約2600個Mitel系統(tǒng)被發(fā)現(xiàn)接受來自外部的命令。攻擊者迫使脆弱的系統(tǒng)向受害者發(fā)送壓力測試,從而實(shí)現(xiàn)多重放大。這些攻擊自 2 月中旬以來就已被觀察到,并針對 ISP 以及金融、物流和其他組織。
第一季度攻擊趨勢
本季度,我們看到攻擊次數(shù)較歷史最高記錄增長了近1.5倍(46%),較去年同期增長了4.5倍。
2022 年第一季度、2021 年第一季度和第四季度比較
這么大的變化主要是由俄烏沖突引起的,我們看到新的攻擊的高峰發(fā)生在2022年的第8周,也就是2月21—2月27日。
2021 年 4 月至 2022 年 3 月按周劃分的 DDoS 攻擊數(shù)量比較
也就是說,2 月下旬之前的攻擊相對較少,如果沒有在月底 DDoS 活動激增,我們會看到相對于上一季度的下降。值得注意的是,2月底到3月初的許多攻擊都是由黑客組織的,并且是在用戶自愿連接到僵尸網(wǎng)絡(luò)的個人設(shè)備上進(jìn)行的。
2022年第一季度,2021年第一季度和第四季度的智能攻擊比例
3月底,數(shù)量又恢復(fù)到正常水平。就絕對數(shù)量而言,這類攻擊的數(shù)量和DDoS攻擊的數(shù)量仍比以往多。
如果以前的攻擊是以分鐘計(jì)算的,那么現(xiàn)在的平均攻擊是以小時(shí)計(jì)算的,而且許多攻擊會持續(xù)好幾天。3月29日發(fā)現(xiàn)了最長的一次攻擊,持續(xù)了177個多小時(shí),也就是一個多星期。
DDoS攻擊持續(xù)時(shí)間
這與常見的DDoS 攻擊極為不同,尤其是那些被安全解決方案過濾的攻擊。這種長度的攻擊代價(jià)很高,而且會暴露僵尸網(wǎng)絡(luò),因?yàn)榛顒庸?jié)點(diǎn)更容易被檢測和禁用。因此,專業(yè)的DDoSer總是試圖盡快阻止無效的攻擊。然而,現(xiàn)在我們看到了相反的情況,不管其有效性如何,攻擊仍在繼續(xù)。與此同時(shí),絕大多數(shù)超長(超過一天)攻擊的目標(biāo)是政府機(jī)構(gòu)和銀行。所有這些都再次表明,本季度的DDoS攻擊并非出于財(cái)務(wù)動機(jī)。
2021年4月至2022年3月按周計(jì)算的DDoS攻擊平均持續(xù)時(shí)間
第一季度DDoS攻擊的數(shù)據(jù)統(tǒng)計(jì)
在統(tǒng)計(jì)時(shí),只有當(dāng)僵尸網(wǎng)絡(luò)活動周期之間的間隔不超過24小時(shí)時(shí),該事件才被算作一次DDoS攻擊。例如,如果同一資源在24小時(shí)或24小時(shí)以上被同一僵尸網(wǎng)絡(luò)攻擊,則統(tǒng)計(jì)兩次攻擊。來自不同僵尸網(wǎng)絡(luò)但針對同一資源的Bot請求也算作不同的攻擊。
DDoS 攻擊受害者和用于發(fā)送命令的 C2 服務(wù)器的地理位置由它們各自的 IP 地址確定。本報(bào)告中 DDoS 攻擊的唯一目標(biāo)數(shù)按季度統(tǒng)計(jì)中的唯一 IP 地址數(shù)計(jì)算。
DDoS 情報(bào)統(tǒng)計(jì)僅限于卡巴斯基檢測和分析的僵尸網(wǎng)絡(luò)。請注意,僵尸網(wǎng)絡(luò)只是用于 DDoS 攻擊的工具之一,本節(jié)并未涵蓋審查期間發(fā)生的每一次 DDoS 攻擊。
2022 年第一季度總體情況如下:
1.卡巴斯基DDoS情報(bào)系統(tǒng)檢測到91052次DDoS攻擊;
2.44.34%的襲擊目標(biāo)位于美國,占所有目標(biāo)的45.02%;
3.DDoS攻擊(16.35%)發(fā)生在周日;
4.大多數(shù)攻擊(94.95%)持續(xù)時(shí)間小于4小時(shí),但最長的攻擊持續(xù)了549小時(shí)(近23天)。
5.53.64% 的攻擊是 UDP flood;
6.55.53%的C&C服務(wù)器位于美國;
DDoS攻擊地理
2022年第一季度,美國受到DDoS攻擊的頻率最高(44.34%)。排名第二的是中國(11.60%),其比例也略有上升,德國(5.06%)升至第三位。
2021年第四季度和2022年第一季度DDoS攻擊的國家和地區(qū)分布。法國(3.65%)和加拿大(3.37%)分別下降到第6位和第7位,荷蘭(2.36%)仍然排在第8位。巴西(2.24%)和新加坡(1.86%)分列第九和第十。第一季度大部分目標(biāo)位于美國(45.02%),其次是中國(9.34%)和德國(4.95%)。這三個國家的比例自2021年底以來略有增長。第四名是英國(4.30%),法國(3.31%)和加拿大(2.93%)分別排在第六位和第七位,巴西(2.44%)上升到第八位。相比之下,荷蘭跌至第九位(2.32%),澳大利亞(1.90%)位居前十。
DDoS攻擊次數(shù)動態(tài)變化情況
在2022年第一季度,卡巴斯基的DDoS情報(bào)系統(tǒng)檢測到91052次DDoS攻擊。在整個1月和2月的大部分時(shí)間里,我們看到平均每天有1406起攻擊事件。在這段時(shí)間里,最平靜的一天是2月2日,DDoS情報(bào)系統(tǒng)發(fā)現(xiàn)了809次攻擊,最激烈的一天是1月19日,2250次DDoS攻擊。從2月26日開始,每天的DDoS攻擊次數(shù)減少了一半,只有697次。在季度末,最活躍的一天是2月28日,有1362次攻擊,最安靜的一天是3月3日,有479次攻擊。
DDoS攻擊數(shù)量變化
與2021年第四季度相比,每周DDoS攻擊的分布略微均勻一些。最活躍和最安靜的日子之間的差異是2.72 %。在上一個報(bào)告期內(nèi),周日(16.35%)攻擊最猛,最低的是周五(12.77%)。
2022年第一季度每周DDoS攻擊的分布情況
除周五、周日外,周一(14.83%)、周二(13.63%)、周六(14.09%)表現(xiàn)較為平靜,周三(14.12%)、周四(14.21%)有所上漲。
DDoS攻擊持續(xù)時(shí)間和攻擊類型
2022年前3個月DDoS攻擊的平均持續(xù)時(shí)間與2021年第四季度相同,略低于兩小時(shí)。與此同時(shí),非常短的攻擊(94.95%)和長時(shí)間攻擊的比例都增加了,持續(xù)140小時(shí)以上的DDoS攻擊占0.03%,持續(xù)100-139小時(shí)的攻擊也占了0.03%。持續(xù)50-99小時(shí)的攻擊比例攀升至0.15%。四分之一的最長攻擊持續(xù)時(shí)間也從218小時(shí)增加到549小時(shí)。相反,5-49小時(shí)的比例下降。
2021年第四季度和2022年第一季度DDoS攻擊持續(xù)時(shí)間分布
UDP flood(53.64%)占了第一季度所有DDoS攻擊的一半以上,增加了3.33%, SYNflood(22.37%)上升到第二,增加了6.08%,而TCPflood(20.17%)的比例下降了三分之一,降至第三位。HTTPflood(2.42%)和GREflood(1.41%)的比例略有上升,但仍分別保持在第四位和第五位。
DDoS攻擊類型分布情況
僵尸網(wǎng)絡(luò)的地理分布
縱觀僵尸網(wǎng)絡(luò) C&C 的地理分布,研究人員發(fā)現(xiàn)第一季度活躍的 C&C 中有一半以上位于美國(55.53%),增長 9.04 個百分點(diǎn)。從 2021 年底開始,德國 (8.30%) 升至第二位 (8.30%),其次是荷蘭 (8.09%)。捷克共和國(4.68%)和俄羅斯(4.68%)并列第四。
2022 年第一季度按國家/地區(qū)劃分的 C&C 僵尸網(wǎng)絡(luò)服務(wù)器分布
第一季度 C&C 服務(wù)器數(shù)量排名第六的是法國(3.40%),排名第七的是英國(2.77%),支撐 TOP 10 的是加拿大(1.06%)。上季度未進(jìn)入前 10 名的國家分別排名第八和第九位:新加坡(1.91%)和印度(1.49%)。
對物聯(lián)網(wǎng)蜜罐的攻擊
第一季度試圖攻擊 SSH 蜜罐的木馬占比最大的是中國(20.41%)。盡管如此,與上一報(bào)告期相比還是下降了 6.32%;與此同時(shí),美國的比例從 11.20% 上升到 15.24%。在發(fā)起攻擊的國家和地區(qū)列表中排名第三的是德國(7.05%),其次是巴西(4.91%)和香港(4.79%)。然而,并不是所有的木馬都同樣活躍。例如,幾乎一半的蜜罐攻擊來自俄羅斯(47.23%)
第一季度的DDoS攻擊情況受到了地緣政治形勢的強(qiáng)烈影響,自2月底以來,黑客活動激增,以及大量用戶自愿連接的自發(fā)僵尸網(wǎng)絡(luò)的出現(xiàn)。唯一可以確定的是,在俄烏沖突結(jié)束之前,我們不太可能看到DDoS活動的下降。
參考及來源:https://securelist.com/ddos-attacks-in-q1-2022/106358/
來源:嘶吼專業(yè)版