2022年第二季度的DDoS攻擊趨勢分析
與上一季度一樣,出于政治動機的網絡攻擊在2022年第二季度主導了DDoS攻擊潮流。以北約及其合作伙伴為目標的組織ALtahrea Team攻擊了以色列和英國的公共交通網站。以色列機場管理局(Airports Authority)遭到網絡攻擊,英國倫敦港務局(Port of London Authority)遭到網絡攻擊。該組織還對土耳其國防部下屬網站發起了網絡攻擊。
與俄烏沖突有關的襲擊也在繼續。2022年1月首次出現的親俄黑客組織Killnet聲稱對4到6月對歐洲多家組織網站的DDoS攻擊負責。從4月18日開始,捷克政府和公共交通網站,包括鐵路局和機場的網站,都受到了攻擊。4月29日,黑客攻擊了羅馬尼亞政府的網站,包括邊境警察、國家鐵路運輸公司和Optbank的網站,5月8日,攻擊了德國聯邦議院和聯邦警察的網站。意大利的參議院、國家衛生研究所和意大利汽車俱樂部的網站在5月11日受到了打擊。
攻擊者采用HTTP慢速技術,以極低的速率傳輸HTTP請求對象,發送不完整的請求,使目標服務器分配偵聽資源。后來,被認為是“Killnet”所為的網絡攻擊影響了意大利外交部和國家地方法官協會的網站。6月下旬,黑客攻擊了立陶宛的國家安全數據傳輸網絡以及該國的其他政府機構。在整個季度的不同時刻,該組織對多個歐洲組織的DDoS攻擊負責,但這些組織沒有公開證實這些事件。
在一些案件中,沒有任何實體聲稱對被認為是出于政治動機的攻擊負責。例如,屬于Vltava Labe Média出版社的網站在4月6日至7日關閉。該出版商表示,自烏克蘭沖突開始以來,它已多次受到DDoS攻擊。4月8日,當澤倫斯基(Volodymyr zelensky)在芬蘭議會發表演講時,芬蘭國防部和外交部的網站無法訪問。4月中旬,冰島成為數起網絡攻擊的目標,包括媒體機構在內的多個組織的網站都受到了影響。今年3月,韓國宣布增加國防預算,警方懷疑這是出于政治動機。一些目標資源通過地理屏蔽來保持在線狀態。
另一個可以被歸類為政治動機的匿名攻擊是4月22日針對烏克蘭郵政服務的DDoS攻擊,該攻擊發生在印有俄羅斯巡洋艦“莫斯科”號的郵票發行之后。從4月21日到至少4月25日,包括信息系統管理局(RIA)在內的愛沙尼亞政府網站一直受到攻擊。5月9日,愛沙尼亞政府再次遭到攻擊,該國外交部網站被關閉。
一些烏克蘭和親烏克蘭的網站被入侵的WordPress網站攻擊。黑客在網站的主文件中嵌入了一個腳本,代表訪問者向不同的目標發送請求。從技術上講,這與我們在第一季度報道的俄羅斯網站上的黑客攻擊相似,不同的是,在早期的案例中,黑客活動分子正在制作DIY的壓力網站,讓有同情心的訪問者幫助他們的DDoS攻擊。有趣的是,其中一個被黑的WordPress網站是一個黑客主義網站,在上個季度曾被用來攻擊俄羅斯媒體。
俄羅斯網站在第二季度仍然是DDoS攻擊的目標。襲擊和以前一樣,通過親烏克蘭的Telegram渠道進行協調。支持圣彼得堡國際經濟論壇(SPIEF)的信息系統遭到黑客攻擊,導致俄羅斯總統在會議上的講話被推遲了一個小時。SPIEF新聞通行證發放系統和新聞發布室也遇到了問題。
DDoS攻擊的另一個目標是Gosuslugi電子政府網站和移動應用程序。俄羅斯數字發展部報告稱,這些資源的負載增加了10倍。其他遭受網絡攻擊的聯邦機構包括消費者健康監督機構Rospotrebnadzor和農業安全監督機構Rosselkhoznadzor。后者的網站稱,網絡犯罪分子主要針對的是電子獸醫認證系統Mercury。
其他電子文件管理系統也被列為目標。由于美國統一自動化信息系統(EGAIS)遭到網絡攻擊,酒類生產商和分銷商在向商店運送商品時遇到了困難。由于財政數據運營商OFD.ru的網站中斷,向國內稅務局交付收據的時間大大延遲。Chestny ZNAK國家跟蹤和跟蹤數字系統也被垃圾流量淹沒了。
Perm Krai省行政和立法機構的網站是遭受網絡攻擊的政府資源之一,黑客活動也沒有放過媒體:novgorod.ru、Zebra TV、Amurskaya Pravda、sibkrayu .ru、Lotos國家廣播公司和其他省級新聞媒體都出現了服務中斷。
私人服務提供商受到網絡攻擊的數量也在激增。據CNews報道,俄羅斯企業軟件開發商1C的1C- edo、1C- ofd、1C:Reporting等服務已連續數日無法使用。私有的RosDorBank記錄了令人印象深刻的惡意流量:高達每秒300萬次請求。一些俄羅斯航空公司——Rossiya、Aurora、ALROSA和其他公司,大約在同一時間表示,他們的網站已成為DDoS攻擊的目標。藥學雜志《Moskovskiye apteki》報道稱,從3月到6月,aptekamos.ru和其他知名藥學報告、藥學聚合商和連鎖店的網站每天都受到攻擊。
模仿AppStore和GooglePlay的俄羅斯手機應用商店NashStore在正式發布當天就遭遇了宕機。隨著招生委員會開始審查申請人,廣泛的DDoS攻擊以俄羅斯大學為目標。中斷影響了RUDN大學和莫斯科理工大學、阿斯特拉罕國立大學、西伯利亞聯邦大學、雅羅斯拉夫爾、彼爾姆和伊爾庫茨克的大學以及韃靼斯坦、科米共和國、阿爾泰邊疆區、阿穆爾州和其他省份的學校的部分網站的訪問者。眾所周知,學生通常是DDoS攻擊學校的幕后黑手,尤其是在關鍵的學術日期,但在這種情況下,網絡攻擊也是通過親烏克蘭的Telegram渠道精心策劃的。
和往常一樣,游戲行業也成為了攻擊目標。5月11日,《魔獸世界》、《守望先鋒》、《使命召喚》和《暗黑破壞神3》的粉絲在訪問這些游戲時出現了宕機,因為Battle.net的服務器遭到了DDoS攻擊。
針對加密貨幣相關網站的DDoS攻擊非常罕見。它們的時間安排往往與具有里程碑意義的事件相吻合,比如新加密貨幣的推出和利率波動。在2022年第二季度,盡管與美元掛鉤,但在匯率下降后,Tether穩定幣的網站成為了DDoS攻擊的目標。
在2020年和2021年經常成為新聞的“勒索式DDoS攻擊”幾乎已經銷聲匿跡:唯一受到廣泛報道的攻擊是一個聲稱是臭名昭著的REvil勒索軟件背后的運營商的組織發起的攻擊。Cloudflare的同事在其2022年第一季度報告中承認了這一趨勢。
Cloudflare還報告了兩起前所未有的強大的HTTPS DDoS攻擊。與使用不安全的HTTP協議的DDoS攻擊相比,這些攻擊對攻擊者和受害者來說代價更高。在第一種情況下,攻擊率達到每秒1500萬次請求,垃圾流量轟炸目標的時間不到15秒。受害者是一家運營加密發射臺的公司。兩周后,該記錄被每秒2600萬次請求的攻擊打破。
這兩次攻擊都是由相對較小的僵尸網絡發起的,每個僵尸網絡由5000到6000臺設備組成。與由物聯網設備組成的大型但功能較弱的僵尸網絡不同,這些網絡利用了web服務器和虛擬機。第二次HTTPS攻擊的幕后操作者是迄今為止最強大的一次,他被戲稱為Mantis。
由路由器、攝像頭和其他消費設備構建的僵尸網絡也沒有消失。360 Netlab公司發布了一份關于名為Fodcha的新僵尸網絡的報告,該網絡通過暴力攻擊和利用物聯網設備中的已知漏洞進行擴展。截至2022年4月10日,僅中國的Fodcha僵尸網絡數量就超過了6萬個,每天活躍的僵尸網絡超過1萬個。Fodcha C2服務器最初托管在一個云提供商的網絡上,但在這些服務器被屏蔽后,運營商不得不重建他們的基礎設施。在這項研究發表的時候,命令和控制功能分布在幾個供應商的云上,命令從不同國家的12個IP地址傳遞給僵尸網絡。
Enemybot是另一個新的DDoS僵尸網絡,它屬于Keksec勒索集團,借用Mirai和Gafgyt僵尸網絡的代碼,并在其感染的設備上放置一個帶有網絡罪犯簽名的文件。該僵尸網絡專門攻擊含有已知漏洞的路由器和網絡服務器,包括在2022年發現的漏洞。
至于之前已知的僵尸網絡,2022年第二季度有一系列關于它們近期活動的報告。Fortinet在4月初報道了被稱為野獸模式的Mirai變種武器化的兩個漏洞。其中很大一部分漏洞是在2022年在TOTOLINK路由器中發現的。今年5月,微軟發布了一份報告https://www.microsoft.com/security/blog/2022/05/19/rise-in-xorddos-a-deeper-look-at-the-stealthy-ddos-malware-targeting-linux-devices/,稱針對Linux設備的XorDdos僵尸網絡活動激增。
5月16日,Stackoverflow網站發布了它遭受網絡攻擊的詳細情況,描述了一些有趣的技術,并解釋了Stackoverflow是如何進行自我防御的。例如,在其中一種情況下,攻擊者使用從大量IP地址觸發的代價很高的SQL查詢。這意味著IP阻塞不是一個有效的保護方法,罪犯設法將一些后端服務器加載到最大容量。
Positive Technologies和Qrator Labs的專家表示,第二季度DDoS攻擊者中出現了一個新趨勢:在企業開始嚴重依賴地理屏蔽技術后,他們開始尋找繞過該技術的方法。特別是,他們使用VPN、代理服務器和與目標位于同一區域的受感染設備,使阻塞變得毫無意義。
在攻擊者與其目標之間的戰斗中,俄羅斯通信監管機構Roskomnadzor表示將采用深度數據包檢測(DPI)技術來對抗DDoS。批評者說,雖然技術上可行,但DPI的功能有限,而且不是萬能的。此外,系統需要更新和培訓以使其符合目的。
與此同時,其他國家繼續打擊出租DDoS能力的運營商:在荷蘭和比利時當局的支持下,FBI查獲了兩個用于銷售服務的域名。
季度趨勢
2022年第二季度延續了從春季開始的趨勢:超長攻擊次數增加。這種情況持續了很長時間,網站持續承受著壓力。與上一季度相比,DDoS攻擊逐漸淡出公眾視野,業余黑客攻擊幾乎停止。也就是說,他們之前沒有造成重大損害,所以從DDoS防御的角度來看,停止攻擊的影響很小。
本季度,卡巴斯基DDoS防護組阻止的攻擊是去年同期的2.5倍。這個數字是巨大的,但與2022年第一季度相比就相形見絀了,當數量幾乎是第一季度的兩倍。我們似乎看到攻擊者的活動有所下降,但事實上,事情更有趣。雖然從絕對數量上看攻擊次數較少,但總體DDoS情況可能已經惡化。
如上所述,導致上一季度激增的黑客活動逐漸減少。這些攻擊絕大多數既沒有經過專業管理,也沒有持續很長時間,所以它們除了對純粹的統計數據產生任何特別的影響。我們在第二季度觀察到的以及仍在觀察到的攻擊具有某種不同的性質。它們持續數天,甚至數周,本季度的記錄是41441分鐘,約29天。
DDoS攻擊持續時間分別為2021年Q2、2022年Q1和Q2。2021年第二季度數據為100%(下載)
第二季度DDoS攻擊的平均持續時間約為3000分鐘(約50小時或約2天)。將此與2021年第二季度的平均30分鐘進行比較:這個數字增長了數百倍。維持如此長時間的攻擊是極其昂貴的,尤其是被網絡安全系統阻止的無效攻擊。持續的活動增加了僵尸網絡主機消耗或被檢測到的風險,甚至C2中心本身被跟蹤的風險。這些攻擊確實發生的事實讓人想知道運營商的真實能力和隸屬關系是什么。
在DDoS攻擊質量方面,我們看到了一種越來越復雜的趨勢。2022年第二季度,智能攻擊的比例幾乎達到50%。
更有趣的是,2022年第二季度出現了大量針對特定網站的高級針對性攻擊,并考慮了其功能和漏洞。這些是非常昂貴、非常復雜的攻擊,需要攻擊者和防御方都具備高標準的能力和廣泛的知識。通常情況下,這些攻擊以個位數的數量出現,因此即使一年中發生一次攻擊也是一件了不起的事情。在第二季度,我們看到了兩個。這是一個相當驚人的趨勢,這讓人想知道這些網絡犯罪分子掌握了多少資源。
第二季度的另一個非常重要的趨勢是加密貨幣崩盤,它始于Terra(Luna)的瞬間崩盤,DDoS市場對加密市場的波動高度敏感,并且在加密貨幣下跌時不可避免地會增長。我們已經很長時間沒有看到加密貨幣如此迅速地崩盤了,而且各種跡象表明,這將持續下去:例如,礦工已經開始將他們的農場出售給游戲玩家。期望DDoS市場很快開始增長并不是沒有道理的。俄羅斯的DDoS局勢已經非常緊張,因此我們不太可能注意到該地區的任何變化。在全球范圍內,DDoS活動很可能會加劇。
季度總結
2022年第二季度:
我們的DDoS情報系統記錄了78558次DDoS攻擊。
25%的目標位于美國,占所有攻擊的45.95%。
6月20日和21日是最瘋狂的日子,分別有1815和1735次攻擊,而4月10日和11日以及5月17日是最平穩的日子,分別有335、294和267次攻擊。
非常短的攻擊占總數的95.42%。
17%的僵尸網絡C2服務器位于美國。
UDP flood占攻擊總數的62.53%。
攻擊卡巴斯基Telnet蜜罐的設備中,41%位于中國。
DDoS攻擊的區域分布
美國仍然是DDoS攻擊最多的國家,占總數的比例從第一季度的44.34%小幅上升至45.95%。中國仍然以7.67%位居第二,但其份額下降了3.93%。德國以6.47%緊隨其后,增長了1.41%。
對香港特別行政區的襲擊事件連續第三個季度大幅下降(至1.75%)。在份額再次減半之后,香港排名第十,幾乎與2021年第二季度持平。法國和加拿大的增幅最小,分別為4.60%和3.57%,英國和香港分列第四和第五。英國以3.51%的得票率跌至第六位,其次是巴西(3.2%)和荷蘭(2.91%)。緊隨其后排在第九位的是新加坡,這是除美國和德國之外,唯一一個攻擊次數增長超過1%的國家,從1.86%增至2.9%。
DDoS攻擊次數動態變化情況
與第一季度相比,2022年第二季度DDoS攻擊減少了13.72%(至78 558次)。整個季度,攻擊活動穩步增加:從4月的平均每天731起,到5月的845起,再到6月的1195起。事實證明,6月20日和21日是最繁忙的,分別有1815和1735次攻擊,而4月10日和11日是最平靜的,卡巴斯基DDoS情報系統分別記錄了335次和294次攻擊,而5月17日,我們只看到了267次攻擊。
每周DDoS攻擊的分布比2022年第一季度略微均勻。周五(13.33%)上漲了0.56%,超過了周三(13.02%)最平靜的一天,而周日的份額從16.35%下降到15.81%,盡管它仍然是最繁忙的一天。
周二(14.06%)和周六(15.59%)都有所增長,周一(14.22%)有所下降。因此,周六和周日的DDoS活動水平最高。
DDoS攻擊持續時間和攻擊類型
在2022年第二季度,長時間(20小時及以上)攻擊在DDoS攻擊總持續時間中的占比顯著下降,從第一季度的近20%降至略高于7%。從數量上看,這些攻擊僅占總數的0.3%,持續20-49小時的攻擊占0.24%。
超過4小時的較短DDoS攻擊占總攻擊時間的74.12%,占總攻擊時間的95.24%。持續5 - 19小時的攻擊占總攻擊的比例幾乎保持不變(4.28%,而2022年第一季度為4.32%),但該比例略微轉向了5 - 9小時的攻擊。
該季度最長的攻擊持續了423和403小時(約17.5和17天),這比第一季度的549小時(近23天)的攻擊記錄縮短了126小時。平均攻擊時間從近2小時下降到1小時45分鐘左右。
我們觀察到,UDP flood(僵尸網絡使用的主要DDoS技術)的份額在2022年第二季度再次上升至62.53%。SYN flood仍然以20.25%的份額位居第二。TCP flood的份額下降到以前的一半,為11.40%,但這種類型的flood仍然保持在第三位。HTTP flood占比保持不變(2.43%),GRE flood占比上升至3.39%,上升至第四位。
位于美國的僵尸網絡控制服務器的份額(46.17%)比2022年第一季度下降了9.3%,但該國仍然保持領先地位。其次是荷蘭(14.49%),其次是德國(9.11%),這兩個國家的排名互換。此前排名第四的捷克共和國幾乎跌出前十,與加拿大和克羅地亞(1.24%)并列第九、第十和第十一名。因此,俄羅斯(4.76%)和法國(3.52%)各上升了一位。
新加坡(2.69%)和越南(2.48%)分別排在第六位和第七位,比上一季度增加了4倍。英國(2.07%)降至第8位。
物聯網蜜罐攻擊
第二季度,中國(14.22%)仍然是卡巴斯基SSH蜜罐遭受攻擊次數最多的國家,盡管與美國(13.52%)的差距明顯縮小。德國(5.64%)和巴西(5.43%)也分別排在第3、4位。新加坡(4.71%)繼香港(4.35%)之后,排在第5位,印度(4.70%)緊隨其后。韓國(4.21%)排在第8,俄羅斯(3.41%)排在第9,英國(3.33%)排在前10名。
來自俄羅斯的僵尸網絡攻擊次數為54.93%,領先于其他國家和地區。美國對SSH蜜罐的攻擊數量和與之相關的僵尸網絡數量位居第二,為7.82%。越南(6.74%)排名第三:位于該國的僵尸網絡在2022年第二季度對我們的蜜罐發起了150多萬次攻擊。中國在上一季度排名第二,目前下滑至第四,占4.96%。
總結
就DDoS攻擊的一般規律而言,第二季度總體比第一季度平靜許多。然而,本季度內攻擊次數的變化并不符合這一趨勢,這可能與發生的地緣政治事件相關。
