您所在的位置: 首頁 >
新聞資訊 >
威脅情報(bào) >
2022年第三季度DDoS攻擊
在2022年第三季度,DDoS攻擊似乎更多的是出于政治動(dòng)機(jī)。和以前一樣,大多數(shù)新聞都集中在俄羅斯和烏克蘭之間的沖突上,但其他備受關(guān)注的事件也影響了本季度的DDoS攻擊格局。
政治的影響因素
自2022年1月以來親俄組織Killnet就一直非?;钴S,其中愛沙尼亞有200多個(gè)網(wǎng)站成為他們攻擊的受害者,其中包括ESTO AS支付系統(tǒng)。在鄰近的立陶宛,能源公司Ignitis Group的網(wǎng)站和電子服務(wù)遭到攻擊,受影響的組織稱這兩次攻擊是他們在過去10-15年里遇到的最大的攻擊。
Killnet還聲稱對美國聯(lián)邦電子納稅系統(tǒng)網(wǎng)站和服務(wù)的攻擊負(fù)責(zé)。攻擊者在Telegram上表示,他們正在“測試一種新的DDoS方法”。他們說,在攻擊期間,網(wǎng)站管理部門試圖更換DDoS保護(hù)供應(yīng)商,但后來又重新考慮了。此外,Killnet還使美國國會(huì)網(wǎng)站癱瘓了幾個(gè)小時(shí)。而日本4個(gè)不同政府部門的20個(gè)網(wǎng)站受到Killnet的DDoS攻擊。不太知名的親俄組織Noname057(16)聲稱對芬蘭議會(huì)網(wǎng)站進(jìn)行了攻擊,他們設(shè)法暫時(shí)關(guān)閉了這些網(wǎng)站。
反過來,俄羅斯也受到了親烏克蘭黑客組織的DDoS攻擊。受害者包括Unistream、Korona Pay和Mir支付系統(tǒng),以及俄羅斯國家支付卡系統(tǒng),該系統(tǒng)確保Mir和更快支付系統(tǒng)的運(yùn)行。此外,激進(jìn)分子摧毀了俄羅斯天然氣工業(yè)股份公司的網(wǎng)站、呼叫中心和短信提供商,Otkritie Bank注意到其互聯(lián)網(wǎng)銀行服務(wù)和移動(dòng)應(yīng)用程序受到干擾,SberBank報(bào)告在第三季度的前兩個(gè)月?lián)敉肆?50次DDoS攻擊。據(jù)SberBank稱,這一數(shù)字與前五年的總和相同。
電子文件管理系統(tǒng),特別是SKB Kontur和Taxcom,也處于風(fēng)口浪尖。他們的網(wǎng)站不是宕機(jī)就是運(yùn)行緩慢。媒體機(jī)構(gòu)也受到了攻擊,俄新社(RIA Novosti)和俄羅斯衛(wèi)星網(wǎng)(Sputnik)遭受了持續(xù)近24小時(shí)的攻擊,而“辯論法克蒂”(Argumenti i Fakti)網(wǎng)站也有一段時(shí)間無法訪問。與此同時(shí),據(jù)StormWall報(bào)道,布良斯克、卡盧加、車?yán)镅刨e斯克、普斯科夫、鄂木斯克、秋明和索契等14個(gè)俄羅斯城市的70家地方報(bào)紙受到了垃圾流量的沖擊。
一波DDoS攻擊也席卷了許多科技和娛樂公司,攻擊者攻擊了大約20個(gè)俄羅斯視頻會(huì)議平臺(tái)。受影響的服務(wù)包括TrueConf、Videomost、Webinar.ru和iMind。Kinomax、Mori Cinema、Luxor、Almaz Cinema等電影院的網(wǎng)站也受到了攻擊。
除了俄烏沖突,還有報(bào)道稱,在地球上其他熱點(diǎn)地區(qū)發(fā)生了出于政治動(dòng)機(jī)的DDoS攻擊。
Akamai宣布對來自東歐的同一客戶端進(jìn)行兩次重大攻擊。在這兩種情況下,攻擊者每秒發(fā)送的數(shù)據(jù)包數(shù)量都非常驚人。Akamai表示,7月21日的第一次攻擊達(dá)到了每秒6.596億包的峰值,創(chuàng)下了當(dāng)時(shí)的歐洲新紀(jì)錄。這不是一個(gè)孤立的案例:7月份,同一個(gè)客戶遭到了70多次攻擊。該記錄一直保持到9月12日,當(dāng)時(shí)另一次攻擊每秒發(fā)送7.048億包。
谷歌本季度阻止了一次基于HTTPS的DDoS攻擊,該攻擊的峰值為每秒4600萬次請求,比我們先前報(bào)告中提到的破紀(jì)錄的HTTPS攻擊多77%。據(jù)專家稱,此次攻擊涉及來自132個(gè)國家的5000多個(gè)IP地址,其中約30%的流量來自巴西、印度、俄羅斯和印度尼西亞。地理分布和僵尸網(wǎng)絡(luò)特征表明攻擊者使用了Mēris家族。
除了政治的影響因素,商業(yè)攻擊一如既往
Lumen報(bào)告在其客戶端的服務(wù)器上停止了一次容量超過每秒1TB的攻擊。攻擊發(fā)生時(shí),目標(biāo)服務(wù)器正在托管一項(xiàng)游戲服務(wù)。在事件發(fā)生前的一周,攻擊者測試了各種DDoS方法,并通過向來自三個(gè)不同C2服務(wù)器的木馬發(fā)出命令來研究受害者的保護(hù)能力。
游戲服務(wù)經(jīng)常受到DDoS攻擊。在第三季度,開發(fā)了《戰(zhàn)爭雷霆》、《入圍》和《穿越》的蓋金娛樂公司的服務(wù)器遭到了一系列攻擊。
8月初,《最終幻想14》的北美數(shù)據(jù)中心遭到攻擊。玩家遇到了連接、登錄和數(shù)據(jù)共享問題。暴雪的多人游戲《使命召喚》、《魔獸世界》、《守望者》、《爐石》和《暗黑破壞神:不朽》也遭受攻擊。
國家層面的防御
國家層面也在實(shí)施對DDoS的防御。例如,以色列宣布啟動(dòng)旨在保護(hù)國家數(shù)字資源的“Cyber-Dome”項(xiàng)目。據(jù)以色列國家網(wǎng)絡(luò)理事會(huì)(Israel National Cyber Directorate)稱,擁有一個(gè)單一的保護(hù)綜合體將“通過在國家網(wǎng)絡(luò)周邊實(shí)施新機(jī)制,大規(guī)模減少網(wǎng)絡(luò)攻擊的危害,從而提升國家網(wǎng)絡(luò)安全?!?/span>
在孟加拉國,政府的計(jì)算機(jī)事件響應(yīng)小組要求所有關(guān)鍵組織,包括那些負(fù)責(zé)國家IT基礎(chǔ)設(shè)施的組織,制定并實(shí)施防DDoS措施。
與此同時(shí),任何DDoS攻擊都構(gòu)成網(wǎng)絡(luò)犯罪的共識(shí)在第三季度也發(fā)生了改變,比如匈牙利有線通信協(xié)會(huì)(MKSZ)要求修改法律,正式允許MKSZ成員和電信行業(yè)的合法企業(yè)實(shí)施DDoS攻擊,作為打擊IPTV盜版的手段。MKSZ稱,傳統(tǒng)的措施,如阻止IP地址和域名,速度緩慢且無效,而法律制裁的網(wǎng)絡(luò)攻擊可能真正迫使用戶放棄盜版服務(wù)。
并非只有匈牙利電信公司有打擊網(wǎng)絡(luò)犯罪的想法。勒索軟件組織LockBit攻擊了專業(yè)網(wǎng)絡(luò)安全公司Entrust,并開始發(fā)布機(jī)密數(shù)據(jù)后,不明身份的黑客攻擊了信息被泄露的網(wǎng)站。他們發(fā)送的數(shù)據(jù)包包含了一個(gè)明確的信息:DELETE_ENTRUSTCOM_[BAD_WORD]。
季度趨勢
首先值得注意的是,與上一個(gè)報(bào)告期相比,所有類型的DDoS攻擊數(shù)量都顯著增加。同時(shí),第四季度的情況相當(dāng)標(biāo)準(zhǔn):一個(gè)相對平靜的夏季,隨后DDoS活動(dòng)急劇激增。9月,卡巴斯基DDoS防護(hù)團(tuán)隊(duì)擊退了本季度51%的所有攻擊,這一數(shù)字與前兩個(gè)月大致相同,這是我們每年觀察和報(bào)告的正常情況,DDoS攻擊的數(shù)量在9月份總是急劇增加。
然而,不尋常的是,智能攻擊的份額持續(xù)增長,其中53%已經(jīng)占了大多數(shù),創(chuàng)造了我們觀察歷史上的新紀(jì)錄。此外,本季度針對HTTP(S)的DDoS攻擊首次超過了針對TCP的攻擊,盡管后者更易于組織,仍然是最常見的DDoS。
最有趣的是,從絕對值來看,過去一年中,針對HTTP(S)的攻擊在過去的一年里相當(dāng)穩(wěn)定。TCP攻擊的份額呈下降趨勢,這很好地反映了總體趨勢。dumb DDoS攻擊占比在下降,而智能攻擊占比在上升。隨著進(jìn)攻和防守雙方的工具不斷發(fā)展并變得更容易使用,這種情況遲早會(huì)發(fā)生。
請注意2022年第一季度的統(tǒng)計(jì)數(shù)據(jù):針對HTTP(S)的DDoS攻擊是針對TCP的一半。如上所述,由于地緣政治局勢,2月和3月非職業(yè)攻擊事件顯著增加。黑客活動(dòng)者熱情高漲,但變化無常。他們很快厭倦了DDoS,轉(zhuǎn)而使用其他攻擊,DDoS的份額開始下降。到第三季度,它趨向于零。與此同時(shí),高質(zhì)量職業(yè)攻擊的數(shù)量在第一季度增加后仍保持在較高水平。目標(biāo)也沒有改變,主要是金融和政府部門。
就DDoS攻擊持續(xù)時(shí)間而言,沒有新的記錄:如果第二季度被記錄為有史以來最長的攻擊,第三季度則更為平靜,平均而言,攻擊持續(xù)時(shí)間約為8小時(shí),最長的只有不到4天。與上一季度相比,這似乎相當(dāng)溫和,但數(shù)字仍然巨大:去年第三季度,DDoS攻擊的持續(xù)時(shí)間以分鐘而不是小時(shí)為單位。
DDoS攻擊統(tǒng)計(jì)
卡巴斯基在防御網(wǎng)絡(luò)威脅方面有著悠久的歷史,包括各種類型和復(fù)雜性的DDoS攻擊。公司專家使用卡巴斯基DDoS智能系統(tǒng)監(jiān)控僵尸網(wǎng)絡(luò)。
作為卡巴斯基DDoS保護(hù)的一部分,DDoS智能系統(tǒng)攔截并分析木馬從C2服務(wù)器接收的命令。該系統(tǒng)是主動(dòng)的,而不是被動(dòng)的,這意味著它不會(huì)等待用戶設(shè)備被感染或命令被執(zhí)行。
本報(bào)告包含2022年第3季度的DDoS智能統(tǒng)計(jì)數(shù)據(jù)。在本報(bào)告中,僅當(dāng)僵尸網(wǎng)絡(luò)活動(dòng)時(shí)間間隔不超過24小時(shí)時(shí),該事件才被視為一次DDoS攻擊。例如,如果同一資源在間隔24小時(shí)或更長時(shí)間后被同一僵尸網(wǎng)絡(luò)攻擊,則將計(jì)算兩次攻擊。來自不同僵尸網(wǎng)絡(luò)但指向一個(gè)資源的僵尸請求也被視為單獨(dú)的攻擊。DDoS攻擊受害者和用于發(fā)送命令的C2服務(wù)器的地理位置由其各自的IP地址確定。本報(bào)告中DDoS攻擊的唯一目標(biāo)數(shù)是按季度統(tǒng)計(jì)中的唯一IP地址數(shù)計(jì)算的。
DDoS情報(bào)統(tǒng)計(jì)數(shù)據(jù)僅限于卡巴斯基檢測和分析的僵尸網(wǎng)絡(luò)。請注意,僵尸網(wǎng)絡(luò)只是用于DDoS攻擊的工具之一,本節(jié)并未涵蓋監(jiān)測期間發(fā)生的每一次DDoS攻擊。
季度總結(jié)
2022年第三季度:
卡巴斯基的DDoS智能系統(tǒng)檢測到57116次DDoS攻擊;
在39.6%的攻擊目標(biāo)中,39.61%位于美國;
一周中最繁忙的一天(15.36%的攻擊)是星期五,最平靜的一天是星期四(12.99%);
7月的對比最為明顯,1日和5日分別發(fā)生了1494次和1492次攻擊,24日只有135次;
持續(xù)時(shí)間不到4小時(shí)的攻擊占攻擊總持續(xù)時(shí)間的60.65%,占攻擊總數(shù)的94.29%;
UDP flood占攻擊總數(shù)的51.84%,SYN flood占26.96%;
試圖入侵卡巴斯基SSH蜜罐的木馬所占比例最大的國家是美國(17.60%);
DDoS攻擊區(qū)域
2022年第三季度,排名前四的國家與前一報(bào)告期保持不變。美國(39.60%)雖然下降了6.35個(gè)百分點(diǎn),但仍位居第一。中國大陸的份額(13.98%)增長幾乎相同,增長6.31個(gè)百分點(diǎn),位居第二。德國(5.07%)位列第三,法國(4.81%)位居第四。
DDoS攻擊數(shù)量
2022年第三季度DDoS攻擊數(shù)量再次下降。在上一個(gè)報(bào)告期內(nèi),與上一個(gè)報(bào)告期內(nèi)相比下降了13.72%,本季度進(jìn)一步下降了27.29%,為57116家。8月是最繁忙的一個(gè)月,卡巴斯基的DDoS情報(bào)系統(tǒng)平均每天檢測到824次攻擊。另一方面,7月份比較平靜,45.84%的攻擊發(fā)生在前7天,保持了6月份(平均每天1301起)的態(tài)勢;然而,從第二周開始,每天的平均攻擊次數(shù)下降到448次。因此,7月平均每天只有641次DDoS攻擊,略高于更安靜的9月,平均每天628.5次。與此同時(shí),9月份的襲擊事件在當(dāng)月的分布更為均勻。
本季度的高峰和低谷都出現(xiàn)在7月,攻擊數(shù)量最多的一天是第1天(1494次攻擊);最平靜的是第24天(135天)。8月,僅8日和12日就記錄了1000多起攻擊事件(分別為1087起和1079起),最安靜的一天是30日(373起)。9月份沒有出現(xiàn)值得注意的高點(diǎn)或低點(diǎn)。
第三季度的周日(13.96%)比上一個(gè)報(bào)告期下降了1.85個(gè)百分點(diǎn)。周六的份額也有所下降,但仍保持在15%以上。DDoS攻擊數(shù)量排名第一的是周五,從13.33%增加到15.36%。周四是唯一一個(gè)跌破13%的日子,跌至12.99%。
DDoS攻擊的持續(xù)時(shí)間和類型
2022年第三季度,持續(xù)20小時(shí)或以上的攻擊占攻擊總持續(xù)時(shí)間的19.05%。這一數(shù)字在上一個(gè)報(bào)告期下降后幾乎翻了三倍,幾乎達(dá)到年初的水平。因此,長期攻擊的比例在數(shù)量上有所增加:從0.29%增加到0.94%。
持續(xù)4小時(shí)的短時(shí)間攻擊顯示,略微下降至94.29%。與此同時(shí),他們在DDoS攻擊總持續(xù)時(shí)間中所占的份額大幅下降,從74.12%降至60.65%。持續(xù)5至9小時(shí)的攻擊仍排在第二位(3.16%的攻擊);持續(xù)10至19小時(shí)的發(fā)作占第三位(1.60%)。
第三季度最長的攻擊持續(xù)了451小時(shí)(18天19小時(shí))。這遠(yuǎn)遠(yuǎn)領(lǐng)先于第二名241小時(shí)(10天1小時(shí))。攻擊的平均持續(xù)時(shí)間略有上升,約為2小時(shí)2分鐘,鑒于持續(xù)攻擊的比例增加,而短時(shí)間攻擊的比例減少,這并不奇怪。
2022年第3季度,DDoS攻擊類型的排名與前一報(bào)告期保持不變。UDP flood的占比從62.53%下降到51.84%,但仍然是最常見的DDoS類型。第二常見的SYN flood恰恰相反,它的份額增加到了26.96%。TCP flood(15.73%)扭轉(zhuǎn)了下滑趨勢,增加了4個(gè)百分點(diǎn),繼續(xù)保持在第三位。GRE flood和HTTP flood分別占攻擊總數(shù)的3.70%和1.77%。
僵尸網(wǎng)絡(luò)的地理分布
僵尸網(wǎng)絡(luò)C2服務(wù)器仍然主要位于美國(43.10%),但其份額下降了3個(gè)百分點(diǎn)。荷蘭(9.34%)上季度排名第二,下滑超過5個(gè)百分點(diǎn),再次與德國(10.19%)互換了位置,俄羅斯(5.94%)排在第四位。亞洲國家緊隨其后:第五名是新加坡(4.46%),第六名是越南(2.97%),越南在第三季度的份額繼續(xù)增長,盡管沒有第二季度那么快。緊隨其后的是保加利亞(2.55%),其份額增長了六倍多。法國從第五位降至第八位(2.34%),英國(1.91%)降至第九位。加拿大和克羅地亞在上季度排名前十位。
對物聯(lián)網(wǎng)蜜罐的攻擊
在第三季度,中國大陸份額降至10.80%。排名第一的是美國(17.60%)。第三、第四和第五位分別屬于印度(5.39%)、韓國(5.20%)和巴西(5.01%)。德國(4.13%)從上個(gè)季度的第三位下降到第七位。
參考及來源:https://securelist.com/ddos-report-q3-2022/107860/
來源:嘶吼專業(yè)版