2017年第4季度DDoS攻擊報告

譯文聲明本文是翻譯文章，文章原作者Alexander Khalimonenko, Oleg Kupreev, Kirill Ilganaev，文章來源：http://securelist.com

原文地址：https://securelist.com/ddos-attacks-in-q4-2017/83729/

一、新聞概覽

在DDoS攻擊方面，2017年最後一個季度的新聞熱度明顯比之前的更為高漲。人們發現並銷毀了幾個主要的殭屍網路。例如，12月初FBI、微軟以及歐洲刑警組織聯手打擊了從2011年起開始活躍的仙女座（Andromeda）)殭屍網路。10月下旬，印度計算機應急相應小組（CERT）發布了一則安全警告，警告黑客組織正使用Reaper以及IoTroop惡意軟體來構建一個規模龐大的殭屍網路；10月上旬，研究人員發現並阻止了藉助被感染的Google Play應用廣泛傳播的Sockbot。

除了與木馬有關的殭屍網路艱苦搏鬥之外，在2017年最後3個月內我們可以看到3種比較典型的DDoS趨勢：因為政治原因發起的攻擊行為、意圖藉助價格瘋漲的比特幣（Bitcoin）來謀取經濟利益的攻擊行為以及更加強硬的執法過程。

帶有政治動機的DDoS攻擊仍然引人矚目，但實際取得的效果非常一般。10月下旬，在捷克共和國議會選取期間，該國統計局在投票過程中遭受到DDoS攻擊。受到DDoS攻擊的確讓人有點煩惱，但此次攻擊並沒有掀起太大水花，選舉結果依然按時公布。

另一起帶有政治因素的DDoS攻擊與西班牙政府對加泰羅尼亞問題的處理有關。來自Anonymous組織的黑客成員攻破了西班牙憲法法院的網站，同時成功染指了公共工程及運輸部的官網，在網頁上留下「Free Catalonia.」信息。

關於政治方面的故事大概就是這樣，來談談經濟方面。我們曾在上個季度中指出，比特幣以及比特幣周邊事物已經攀登上了商業熱點的高峰。這一點並不奇怪，因為過去一段時間比特幣的價值已呈現爆炸性增長。當比特幣黃金（Bitcoin Gold，BTG）剛從比特幣分支中誕生時，BTG網站立刻遭受到了DDoS攻擊。隨著11月份加密貨幣價格的飛漲，DDoS攻擊風頭轉向了Bitfinex交易所，顯然攻擊者的目的是通過拒絕服務攻擊，導致比特幣價格出現波動，從中獲利。Bitfinex剛從11月份的攻擊中脫身，在12月初又遭受了兩次攻擊。

在攻擊後果方面，不得不提到深網（deep web）中四個暗網市場（Trade Route、Tochka、Wall Street Market、Dream Market）的覆滅事件，人們通過這幾個市場進行各種非法交易。從10月份起，這幾個市場的運營狀態已經不太正常，剛開始時大家都不知道是誰在背後發起這種規模龐大、協調一致的攻擊行為，不知道是執法機構（最近剛摧毀AlphaBay以及Hansa）還是意圖擴張領土的利益競爭者在主導這一切。隨著12月初其他所有平台也被攻擊，此時大多數分析人員已經可以確認，這是毒品犯罪分子發起的一次全面網路戰爭。

然而，法律（或者更具體一些，也就是司法系統）並沒有袖手旁觀。在Q4季度，我們可以看到司法系統處理並判決了與DDoS有關的大量案件。其中，美國司法系統最為突出：12月中旬，Paras Jha、Josiah White以及Dalton Norman這三名被告承認他們是Mirai殭屍網路的幕後黑手。

12月下旬，惡名遠揚的黑客組織Lizard Squad以及PoodleCorp的創始人（來自美國的Zachary Buchta以及來自荷蘭的Bradley Jan Willem van Rooy）被判決有罪。

英國方面，關於利物浦年輕黑客Alex Bessell的案件也進入訴訟階段。由於在2011年到2013年期間攻擊過Skype、Google以及Pokemon，Bessell已經被監禁過。還有一名更為年輕的英國黑客因為攻擊NatWest銀行、國家犯罪調查局（National Crime Agency）、Vodafone、BBC以及Amazon被法院判處16個月拘留，緩期2年執行。

還有一個奇怪的案件與明尼蘇達州46歲的John Gammell有關，檢方控告他依託3種黑客服務攻擊前僱主、當地司法系統網站以及曾任職承包商的其他公司。一般來說我們很難查到DDoS攻擊的發起者，但Gammel貪圖便利，在攻擊過程中使用了自己的電子郵箱，這也是他被捕的原因所在。根據調查報告，黑客平台以非常專業及接地氣的方式來為Gammel提供服務，感謝Gammel購買他們的服務，順便升級了他的會員等級。

二、攻擊趨勢

Q4季度攻擊情況表明，DDoS攻擊已經成為持續在線的一種「串線」噪音（想像一下電話串線）。現如今垃圾數據的範圍非常廣泛，伺服器由於收到太多請求無法正常提供服務，這種情況可能並沒有與特定攻擊事件有關，而只是殭屍網路活動的副作用而已。比如，在12月份時，我們觀察到大量DNS請求，這些報文請求不存在的二級及三級域名，給RU域上的DNS伺服器帶來極大的負載。最後我們發現這一切都是修改版的Lethic木馬所造成的。這款木馬非常出名，可以勝任各種應用場景，主要功能與代理伺服器類似，能夠讓垃圾郵件流量穿透被感染的設備。

我們發現的這款修改版與大多數修改版不同，這款木馬會使用多線程，大量請求不存在的域名。研究表明，攻擊者希望通過這種行為，將真實的命令控制（C&C）伺服器地址淹沒在大量垃圾請求中。由於惡意軟體沒有經過精心設計，因此導致DNS伺服器負載過重。不論如何，使用垃圾請求對DNS伺服器發起DDoS攻擊是非常普遍且易於實現的一種方案。我們的專家已經多次幫助客戶來應對這種難題。這種攻擊過程中，比較有趣的是攻擊者具體採用的方法以及可能造成的意想不到的後果。

三、統計數據

3.1 統計方法

卡巴斯基實驗室在打擊網路威脅方面（比如各種複雜類型及範圍的DDoS攻擊）擁有豐富的經驗。我們的專家會通過DDoS Intelligence 系統持續跟蹤殭屍網路的行動軌跡。

DDoS Intelligence系統是卡巴斯基DDoS防護解決方案中的一部分，可以攔截並分析從C&C伺服器發往殭屍節點的命令，這個過程既不會有任何用戶設備被感染，也不會真正執行網路犯罪分子發送的命令。

本報告中包含了DDoS Intelligence系統針對2017年Q4季度的統計數據。

在本報告中，如果殭屍網路活動時間間隔不超過24個小時，我們就認為該事件是一次獨立的DDoS攻擊事件。比如說，如果同一個殭屍網路時隔24小時（或者更長時間）攻擊了同一個Web資源，那麼我們認為這是2次攻擊事件。此外，如果來自不同殭屍網路的殭屍請求攻擊的是同一個資源，我們也認為這是同一次攻擊事件。

我們根據IP地址來判斷DDoS攻擊受害者以及發送命令的C&C伺服器的地理位置。在季度統計報告中，我們會根據不同的IP地址數量來統計DDoS攻擊目標的數量。

DDoS Intelligence僅統計了由卡巴斯基實驗室檢測並分析的殭屍網路。需要注意的是，殭屍網路只是執行DDoS攻擊的一個組成部分，因此，本文中提供的數據並沒有完全涵蓋該時間跨度內所有的DDoS攻擊事件。

3.2 統計結果

1、2017年Q4季度，DDoS攻擊了84個國家（Q3季度為98個）。然而，與上一個季度一樣，絕大多數攻擊事件針對的是排名前十的那些國家（分別佔比94.48%以及93.56%）。

2、Q4季度中，超過一半的攻擊事件（51.84%）針對的是中國，這個數字從Q3以來幾乎沒有什麼變化（51.56%）。

3、從攻擊次數以及目標數量來看，韓國、中國以及美國仍然名列前茅。但從殭屍網路的C&C伺服器數量來看，俄羅斯與這3個國家並駕齊驅，所佔份額與中國相當。

4、2017年Q4季度中時間最長的DDoS攻擊總共持續了146個小時（6天多一點）。這個數字與上個季度相比要小得多（上季度為215個小時，將近9天時間）。2017年最長的攻擊時間（227個小時）出現在Q2季度中。

5、「黑色星期五」（Black Friday）以及「網路星期一」（Cyber Monday）前後幾天，在專門設計的Linux伺服器（蜜罐）上可以看到更多的攻擊行為，攻擊行為可以持續到12月初。

6、SYN DDoS仍然是最常用的攻擊方法，最少用的攻擊方法為ICMP DDoS。根據卡巴斯基DDoS防護數據的統計結果，越來越多的攻擊事件開始採用多種方法進行攻擊。

7、2017年Q4季度的所有攻擊活動中，Linux殭屍網路的份額略微提升，達到了71.19%。

3.3 地理分布

2017年Q4季度，有84個國家受到DDoS攻擊影響，與上季度相比情況有所改善，當時有98個國家受到影響。根據歷史統計數據，雖然中國被攻擊的比例有所下降（從63.30%下降到59.18%，接近Q2季度時的水平），但仍處於被攻擊的最前線。美國及韓國依然保持在第2及第3位，比例小幅上漲至16.00%以及10.21%。

第4位為巴西（佔比2.70%），上漲了1.4%，排名已經超過俄羅斯。雖然俄羅斯被攻擊的次數有所下降（下降了0.3%），但仍然可以排在第6位，位於越南之後（越南佔比1.26%），這樣就成功將香港擠出前10，重新回到排行榜上。

圖1. 2017年Q3及Q4季度受DDoS攻擊影響的國家分布情況

針對前10個國家的攻擊活動比例與上個季度相比有所提升（但提升幅度不大），從91.27%提升到了92.90%，整體情況與之前差不多。

被攻擊的所有目標中有一半位於中國內（51.84%），其次是美國（19.32%），美國被攻擊的次數在Q3季度有所下滑，但Q4季度又再次接近20%。韓國以10.37%的份額排在第3位。越南以1.13%的份額排在第9位，再次成功將香港擠出前10，俄羅斯的份額（1.21%）下降了1%，排在第7位。英國（3.93%）、法國（1.60%）、加拿大（1.24%）以及荷蘭（1.22%）的份額與上個季度相比變化不大。

圖2. 受DDoS攻擊影響的具體目標數（按國家分布，2017年Q3及Q4季度）

3.4 攻擊動態

根據專用Linux伺服器（也就是蜜罐）的統計結果，本季度殭屍網路活動的峰值出現在假期促銷的前後一段時間。在「黑色星期五」以及「網路星期一」附近我們可以觀察到比較明顯的黑客犯罪活動，在12月份的2/3處接近尾聲。

最明顯的峰值出現在11月24日以及29日，當時我們的資源池觀測到的IP數量增長了一倍之多。此外，10月下旬也可以看到攻擊活動有所提升，這很有可能與萬聖節有關。

這種波動數據表明，網路犯罪分子企圖在銷售旺季時提升殭屍網路的火力。節假日之前是網路犯罪活動的高發期，原因有兩個：首先，此時用戶警覺性有所下降，潛意識地會讓自己的設備「借給」入侵者使用；其次，在猛烈攻擊下，互聯網公司可能會因為損失利潤而被攻擊者成功勒索，或者迫不得已在四面楚歌中勉強提供服務。

圖3. 2017年Q4季度基於Linux的攻擊數量動態圖

3.5 攻擊類型及持續時間

在Q4季度中，SYN DDoS攻擊佔比有所下降（從60.43%下降到55.63%），這主要是因為基於Linux的Xor DDoS殭屍網路活躍度有所下降。然而，這類攻擊仍然排名第1。ICMP攻擊的佔比仍然排在最後1位（3.37%），這類攻擊比例也有所下降。其他類型的攻擊佔比有所提升。在上個季度中，TCP攻擊排在SYN之後，處於第2位，然而本季度UDP攻擊類型更加突出，從上個季度的倒數第2位變成了本季度的第2位（Q4季度中，UDP類型攻擊佔比為15.24%）。

圖4. DDoS攻擊類型分布圖（2017年Q4季度）

根據卡巴斯基DDoS防護的年度統計數據，僅使用HTTP以及HTTPS泛洪技術的DDoS攻擊數量有所下降。越來越多的攻擊活動中用到了多種方法。話雖如此，1/3的攻擊活動中仍會包含HTTP或者HTTPS泛洪技術。這可能是因為HTTP(s)攻擊比較複雜也比較昂貴，在混合攻擊中，網路犯罪分子可以在不引入額外成本的前提下，利用這些攻擊技術提升整體攻擊效率。

圖5. 2016年以及2017年攻擊類型的分布圖（由卡巴斯基DDoS防護解決方案提供具體數據）

Q4季度中持續時間最長的攻擊活動明顯短於第3季度，分別為146個小時（約6天）以及215個小時（約9天）。這個數值僅達到了Q2季度的一半（277個小時，也是2017年的記錄）。總的來說，長時間攻擊活動的佔比有所下降，但下降幅度並不大。這種情況也適用於持續時間為100-139個小時以及50-99個小時的攻擊事件（這類攻擊的佔比非常小，即使變化了0.01%也可以當成大動作了）。最常見的還是小型攻擊事件，這類攻擊的持續時間不超過4個小時，佔比有所提升，從Q3季度的76.09%提升到76.76%。此外，持續10-49個小時的攻擊事件佔比也有所提升，但幅度並不大，大約提升了1.5%。

圖6. DDoS攻擊的時長分布圖（2017年Q3以及Q4季度）

3.6 C&C伺服器以及殭屍網路類型

C&C伺服器數量排名前3位的國家依然保持不變，分別為：韓國（46.63%）、美國（17.26%）以及中國（5.95%）。與Q3季度相比，雖然後兩者的佔比有所提升，但實際上中國與俄羅斯並列處於第3梯隊（俄羅斯的佔比為7.14%，提升了2%）。雖然排名靠前國家的佔比變化不大，但這三個國家中的C&C伺服器數量減少了將近一半。這至少與一些殭屍網路活躍度有關，比如許多Nitol殭屍網路管理伺服器停止服務，並且Xor殭屍網路活躍度有所下降。另一方面，與上個季度相比，前10名中新增了加拿大、土耳其以及立陶宛（各佔1.19%），而義大利、香港以及英國則跌出前10。

圖7. 殭屍網路C&C伺服器分布圖（2017年Q4季度）

基於Linux的殭屍網路在本季度持續穩步增長：與Q3季度相比（當時佔比69.62%），Q4季度佔比變為71.19%。與此同時，基於Windows的殭屍網路佔比從30.38%跌到了28.81%。

圖8. 基於Windows以及Linux的殭屍網路的比例（2017年Q4季度）

四、總結

總的來看，2017年Q4季度的DDoS攻擊表現平平：與上個季度相比，DDoS攻擊的數量以及持續時間均有所下降。2017年最後3個月比最開頭的3個月更為風平浪靜。除了結合多種技術（如SYN、TCP Connect、HTTP泛洪、UDP泛洪）的攻擊事件數量有所提升之外，這種現象表明DDoS殭屍網路整體呈現倒退形勢。也許是因為整體經濟局勢以及更為嚴厲的執法使得攻擊者更加難以維護大型殭屍網路，不得不轉換策略，綜合利用各種殭屍網路中的功能組件。

與此同時，在節假日銷售期間，蜜罐上觀察到攻擊數量有所增加，這表明攻擊者喜歡找准最適當的時機來擴充殭屍網路，希望通過向在線商家施加壓力，阻止他們獲取利潤，藉此分一杯羹。無論如何，在「黑色星期五」以及「網路星期一」出現的DDoS攻擊峰值是本季度的一大看點。

攻擊者在初冬季節仍然會攻擊加密貨幣交易所，這沿襲了過去幾個月的趨勢。鑒於比特幣以及門羅幣（Monero）的價格呈現爆炸式增長，網路犯罪分子保持這種熱情也就不足為怪。除非交易率直線下跌（短期波動只會給投機者帶來激情，我們不考慮這種情況），否則這些交易所在2018年仍然是攻擊者的主要目標。

此外，最後一個季度的數據表明，DDoS攻擊不僅能夠獲得金錢利益或者政治利益，而且還會產生意外的副作用。正如我們在去年12月份看到的那樣，Lethic垃圾郵件殭屍節點產生大量垃圾流量，最終造成了其他後果。大家都知道，互聯網現在充斥著各種數字噪音，即使某個資源不是攻擊目標，也不會給攻擊者帶來任何價值，但也有可能被殭屍網路攻擊所影響。