网安 - 专业的网络安全产业、社区、知识平台

卡巴斯基发布《2022年第二季度的DDoS攻击》报告

VSole2022-08-05 18:07:16

近日,卡巴斯基发布《2022年第二季度的DDoS攻击》报告,与上一季度相同出于政治动机的网络攻击在2022 年第二季度主导了DDoS 领域,俄罗斯网站仍然是第二季度DDoS攻击的目标。攻击地域没有显著变化,但值得注意的是,与并发地缘政治事件相关的攻击,可能会利用僵尸网络统计数据中未考虑的特殊创建的资源

季度趋势

2022年第二季度延续了上一季度的趋势:超长攻击次数增加。这些攻击持续时间长,造成网站持续处于高压之下。与上一季度相比,DDoS攻击逐渐淡出公众视野,业余黑客攻击基本停止。也就是说,并未造成重大损失,从DDoS防御的角度来看,攻击停止的影响很小。


2021年第二季度、2022年第一季度和第二季度的DDoS攻击数量对比(2021年第二季度的数据取为100%)

本季度,卡巴斯基DDoS保护组击退的攻击同比增加了约2.5倍。虽然攻击的绝对数量减少了,但整体的DDoS情况可能已经恶化。如上所述,造成上一季度激增的黑客活动逐渐减少。这些攻击中的绝大多数既没有专业的管理,持续时间较短,除了计入统计数据外,并未产生其他特别影响。在第二季度处于观察期的攻击,其性质有些不同。它们持续数天,甚至数周,本季度的记录是41441分钟。遭受攻击最多的资源几乎一直处于高压状态。

DDoS攻击持续时间,2021年第二季度,2022年第一季度和第二季度(2021年第二季度的数据取为100%)

第二季度DDoS攻击的平均持续时间约为3000分钟。与2021年第二季度的平均30分钟相比:这个数字指数级增长。维持长时间的攻击的成本十分高昂,尤其是被网络安全系统阻挡的无效攻击。持续的僵尸活动增加了僵尸网络主机磨损或被检测的风险,甚至C2中心本身也会被追踪。

就DDoS攻击的质量而言,趋势更为复杂。2022年第二季度,智能攻击占比高达50%,接近历史记录。历史记录出现在四年前DDoS市场处于谷底时。

2021年第二季度、2022年第一季度和第二季度智能攻击的份额

更有趣的是,2022年第二季度出现了大量的高级定向攻击,这些攻击针对特定的网站设计的,并考虑到其特点和漏洞。攻击复杂且成本高昂,需要攻击方和防守方都拥有高超的经验和能力。一般这些攻击是以个位数发生的,在第二季度,有两次该类型攻击,这一趋势十分令人震惊。

第二季度的另一个极其重要的趋势是加密货币崩盘,它以Terra(Luna)的瞬间崩溃开始,此后态势一直在加剧。DDoS市场对加密货币市场的波动高度敏感,在加密货币下跌时不可避免地增长,从各种迹象来看,这种状态将持续下去:例如,矿工已经开始向游戏玩家出售农场。俄罗斯的DDoS情况已经十分紧张,该地区很难捕捉到任何变化。在全球范围内,DDoS活动很有可能会加剧。

DDoS攻击统计

1 方法

在本报告中,只有在僵尸网络活动时间间隔不超过24小时的情况下,事件才被算作一次DDoS攻击。例如,如果同一资源在间隔24小时或更长时间后被同一僵尸网络攻击,则会被计算为两次攻击。源自不同僵尸网络但针对一个资源的僵尸请求也算作单独的攻击。

DDoS攻击受害者和用于发送命令的C2服务器的地理位置由其各自的IP地址决定。本报告中的DDoS攻击的独特目标数量是由季度统计中的独特IP地址数量来计算的。

DDoS情报统计数据仅限于卡巴斯基检测和分析的僵尸网络。请注意,僵尸网络只是用于DDoS攻击的工具之一,本节并不涵盖审查期间发生的每一次DDoS攻击

2 季度总结

  • 在2022年第二季度。
  • DDoS情报系统记录了78,558次DDoS攻击。
  • 25%的目标位于美国,占所有攻击的45.95%。
  • 6月20日和21日是最疯狂的日子,分别有1815和1735次攻击,而4月10日和11日以及5月17日是最平静的日子,分别有335、294和267次攻击。
  • 短时攻击占总数的95.42%。
  • 17%的僵尸网络C2服务器位于美国。
  • UDP攻击占比62.53%

3 DDoS攻击的地理分布

美国仍然是DDoS攻击数量的领导者,占比从第一季度的44.34%略微上升到45.95%;德国紧随其后,占6.47%,增长了1.41个百分点。

2022年第一季度和第二季度按国家和地区划分的DDoS攻击分布

法国和加拿大涨幅极小,分别为4.60%和3.57%,位列第四和第五位。英国以3.51%降至第六位,其次是巴西的3.2%和荷兰的2.91%。新加坡紧随其后,排名第九,是前十名中除美国和德国外唯一一个攻击率增长超过一个百分点的国家,从1.86%增至2.9%。新加坡的目标份额(3.22%)增长更为明显,比2022年第一季度增长了一倍总的来说,TOP10的构成与按攻击次数排名的传统相似。

2022年第一季度和第二季度按国家和地区划分的独特目标分布

4 DDoS攻击数量的动态变化

2022年第二季度,DDoS攻击与上一报告期相比下降了13.72%(至78558次)。整个季度的活动稳步增加:从4月的平均每天731次攻击到5月的845次,到6月的1195次。事实证明,6月20日和21日攻击最为频繁,分别有1815次和1735次攻击,而4月10日和11日最为平静,卡巴斯基DDoS情报系统分别记录了335次和294次攻击;5月17日,只捕捉到267次攻击。

2022年第二季度DDoS攻击数量的动态变化

每周DDoS 攻击的分布略高于2022 年第一季度。周五(13.33%)增长了0.56个百分点,周日的占比从16.35%下降到15.81%。

2022年第二季度DDoS攻击按星期的分布情况


周二(14.06%)和周六(15.59%)均有所增长,周一(14.22%)有所下降。因此,周六和周日的DDoS活动水平最高。

5 DDoS攻击的持续时间和类型

2022年第二季度,长时间(20小时及以上)的攻击在整个DDoS持续时间中的占比明显减少,从第一季度的近20%降至略高于7%。从数量上看,这些攻击仅占总数的0.3%,其中0.24%是持续20-49小时的攻击。

持续时间不超过4小时的短时DDoS攻击占总时间的74.12%,占总数的95.24%。持续5-19小时的攻击比例几乎没有变化(占总数的4.28%,2022年第一季度为4.32%),但比例略微转向持续5-9小时的攻击。

本季度最长的攻击持续了423和403小时(约17.5和17天),比第一季度创纪录的549小时(近23天)的攻击缩短了126小时。平均攻击时间从近两小时下降到约1小时45分钟。

2022年第一季度和第二季度DDoS攻击的持续时间分布

UDPflood攻击仍是僵尸网络采用的主要技术,其份额在2022年第二季度再次上升到62.53%。SYNflood仍然排在第二位,占比20.25%。TCPflood的占比缩减到以前的一半,为11.40%。HTTPflood的份额(2.43%)保持不变,而GREflood上升到3.39%,上升到第四位。

2022年第二季度DDoS攻击的类型分布

6 僵尸网络的地理分布

位于美国的僵尸网络控制服务器的占比46.17%,比2022年第一季度下降了9.3%,但仍位列前茅。其次是荷兰(14.49%),其次是德国(9.11%),两个国家的排名互换。之前排名第四的捷克共和国几乎跌出了前十名,与加拿大和克罗地亚(1.24%)分列第九、第十和第十一位。俄罗斯(4.76%)和法国(3.52%)的排名因此分别上升了一位。

2022年第二季度僵尸网络C2服务器在各国的分布情况

新加坡(2.69%)和越南(2.48%)分别排在第六和第七位,其份额与上一报告期相比翻了两番。英国(2.07%)下降到第八位。

7 对物联网蜜罐的攻击

美国(13.52%)SSH蜜罐攻击的数量排名第二,德国(5.64%)和巴西(5.43%)也分别保持第三和第四位,而新加坡(4.71%)将香港(4.35%)挤出第五位,并被印度(4.70%)紧随其后。韩国(4.21%)排名第八,俄罗斯(3.41%)排名第九,英国(3.33%)位列前十。

按攻击次数计算,来自俄罗斯的攻击领先于其他国家和地区,占54.93%。美国以对SSH蜜罐的攻击数量和与之相关的机器人数量位居第二,占7.82%。越南(6.74%)位居第三:位于该国的机器人在2022年第二季度对蜜罐发起了超过150万次攻击。

2022年第二季度试图攻击卡巴斯基SSH蜜罐的设备的地理分布

2022年第二季度,攻击卡巴斯基Telnet蜜罐的设备也大多位于中国(其中39.41%)。这些设备也是所有攻击的一半以上(58.89%)的原因。印度按僵尸数量排名第二(6.90%),但在僵尸活动方面仅排名第七(2.5%)。荷兰的僵尸活动水平第二高(8.11%)。俄罗斯在这两份名单上都排在第三位,拥有5.83%的机器人,在蜜罐上发起了7.48%的攻击。

2022年第二季度试图攻击卡巴斯基Telnet蜜罐的设备的地理分布


总结

在DDoS攻击方面,第二季度比第一季度略显平缓。夏季临近时,活动量下降是常规趋势。然而,本季度内攻击数量的变化并不符合这一趋势:僵尸网络活动在4月至6月期间稳步增长,而上一季度末则出现下滑。这与加密货币的崩盘相一致,这一事件通常会助长DDoS攻击。与过去的报告期相比,攻击地域没有明显变化,但值得注意的是,与并发地缘政治事件有关的攻击可能会利用专门创建的资源,而不计入僵尸网络统计数据中。

现在预测,只要政治议程保持不变,俄罗斯的情况不太可能很快改变。该国的DDoS活动已经达到了某种程度的高峰。预计2022年第三季度俄罗斯的数据与第二季度类似。考虑到加密货币的情况,预计DDoS市场将在全球范围内增长。这可能会对俄罗斯产生间接影响:僵尸网络租赁的价格可能会下降,使DDoS作为一种服务更加实惠,这意味着以前成本太高无法进行攻击资源现在将成为可获得的目标。特别是,人们可以预测对教育网站的攻击会增加。无论如何,DDoS攻击的数量不会减少。任何地方都没有降低威胁程度的先决条件,而增长因素却很多。

文章来源:天极智库

ddos僵尸网络
本作品采用《CC 协议》,转载必须注明作者和本文链接
DDoS僵尸网络劫持合勤科技设备发动毁灭性攻击
2023-07-24 15:00:23
已经观察到几个分布式拒绝服务僵尸网络利用合勤设备中的一个关键缺陷来远程控制易受攻击的系统。
Swing VPN 是 DDoS 僵尸网络
2023-06-19 14:16:46
在苹果 App Store 和 Google PlayStore 作为免费 VPN 服务提供给用户的应用 Swing VPN 被认为会利用用户设备发动 DDOS 攻击。目前无论是苹果还是 Google 都未将 Swing VPN 下架,而仅仅 Google Play 其安装量逾 500 万次。对 Swing VPN 的分析发现,开发者利用了不同的技术混淆和隐藏其恶意行动,使用 github 和 goodle drive 链接下载额外的设置,这些设置文件充当了指令控制机制,秘密发动 DDoS 攻击。比较奇怪的是,它的 DDOS 攻击对象是土库曼斯坦的政府网站。
新的 Lucifer DDoS 僵尸网络针对具有多种漏洞的 Windows 系统
2020-06-28 13:55:54
一个名为Lucifer的新的僵尸网络出现在威胁领域中,它利用了十几种高严重性漏洞来影响Windows系统。Lucifer机器人的第一个变体于5月29日被发现,这是该运动的一部分,该运动于6月10日停止,并于6月11日以该机器人的更新版本恢复。“ Lucifer是加密劫持和DDoS恶意软件变种的新混合物,它利用旧漏洞在Windows平台上传播和执行恶意活动。强烈建议对受影响的软件应用进行更新和修补。”
一个名为 Mēris 的新僵尸网络是袭击 Yandex 的大规模 DDoS 攻击的幕后推手
2021-09-10 11:33:10
针对互联网巨头 Yandex 的大规模 DDoS 攻击是由一个名为 Mēris 的全新僵尸网络驱动的。
美国警告"德尔塔卡利",朝鲜DDoS僵尸网络恶意软件
2022-08-24 00:00:00
联邦调查局(FBI)和美国国土安全部(DHS)的联合报告详细介绍了德尔塔·查理,“使用的恶意软件变体”隐藏眼镜蛇“作为其DDoS僵尸网络的一部分,黑客集团将在全球范围内感染数十万台计算机。
【安全头条】 新的Fodcha DDoS僵尸网络 每天针对100多名受害者
2022-04-15 08:19:58
这一新发现的恶意软件由360 Netlab的研究人员命名为Fodcha。
fodcha 僵尸网络病毒分析
2022-05-06 07:19:14
概述最近 fodcha 僵尸网络泛滥。fodcha 是最近新发现的快速传播型 DDos 僵尸网络,由于使用 chacha 算法加密网络流量,360 将其命名为 Fodcha[2]。该恶意软件支持多种架构,包括 x86,arm,mips 等。
Mirai僵尸网络正在积极利用已知的关键漏洞CVE-2021-38647
2021-09-18 12:47:34
研究人员说,OMIGOD 漏洞可以给攻击者根特权
专家发现 Abcbot 和 Xanthe 僵尸网络起源相同
2022-01-11 14:03:19
专家将 Abcbot 僵尸网络背后的 C2 基础设施与 2020 年 12 月发现的加密货币挖掘僵尸网络攻击联系起来。
新型 ZHtrap 僵尸网络使用蜜罐找到更多受害者
2021-03-18 11:05:28
Netlab 360的研究人员发现了一个新的基于Mirai的僵尸网络,称为ZHtrap,该僵尸网络实现了蜜罐来查找更多受害者。ZHtrap使用四个漏洞进行传播,专家指出,僵尸网络主要用于进行DDoS攻击和扫描活动,同时集成了一些后门功能。专家注意到,该僵尸程序借用了Matryosh DDoS僵尸网络的某些实现。研究人员分析了ZHtrap bot的多个样本,并根据其功能将其分为3个版本。ZHtrap僵尸网络通过集成用于收集IP地址的扫描IP收集模块来使用蜜罐,这些IP地址用作进一步传播活动的目标。
VSole
网络安全专家