Level 3最新出爐的僵尸網(wǎng)絡(luò)研究報(bào)告分析了全球僵尸網(wǎng)絡(luò)的行為特征和趨勢(shì)，發(fā)現(xiàn)了很多出人意料的結(jié)果。

Level 3的僵尸網(wǎng)絡(luò)研究報(bào)告出爐

每天，網(wǎng)絡(luò)服務(wù)商Level 3通信公司的安全團(tuán)隊(duì)都能監(jiān)測(cè)到將近13億次的安全事件;減輕大約22次DDoS[注]攻擊;平均清除掉至少一個(gè)所謂控制及命令(C2)服務(wù)器網(wǎng)絡(luò)。在其最新發(fā)布的僵尸網(wǎng)絡(luò)研究報(bào)告“保衛(wèi)互聯(lián)網(wǎng)”中，Level 3利用自己的威脅情報(bào)系統(tǒng)，再綜合其他的數(shù)據(jù)來源，確定出了一些有關(guān)僵尸網(wǎng)絡(luò)、DDoS攻擊以及惡意軟件的趨勢(shì)性行為。以下是其中的一些突出亮點(diǎn)。

美國(guó)哪個(gè)城市遭受的攻擊最多?

根據(jù)Level 3對(duì)惡意C2服務(wù)器所發(fā)出的的流量所作的分析，硅谷位列前十大遭受攻擊最多的美國(guó)城市之首。根據(jù)往返于惡意僵尸網(wǎng)絡(luò)與其肉雞之間的流量，緊隨硅谷之后的是舊金山、斯科特斯戴爾、亞特蘭大、西雅圖、紐約、芝加哥、洛杉磯、阿什本(隸屬于華盛頓特區(qū))和圣路易斯。

??

僵尸網(wǎng)絡(luò)的流量都來自哪里?

今年一季度，產(chǎn)生C2流量最多的國(guó)家是美國(guó)(20%的惡意C2服務(wù)器處在北美)，其次是烏克蘭、俄羅斯、荷蘭與德國(guó)。

報(bào)告摘抄：“美國(guó)擁有豐富的基礎(chǔ)設(shè)施，本身就很便于發(fā)動(dòng)攻擊。而因其對(duì)國(guó)內(nèi)外一些重要目標(biāo)的接近程度，也往往使美國(guó)成為一個(gè)非常理想的攻擊地點(diǎn)，犯罪分子可以輕松建立起一個(gè)個(gè)連接性很好而又穩(wěn)定的控制點(diǎn)。”

??

哪些國(guó)家遭受的攻擊最多?

根據(jù)對(duì)2015年第一季度全球肉雞流量的分布情況分析，挪威境內(nèi)的流量最多，其次是美國(guó)、西班牙、瑞典、土耳其、烏克蘭、中國(guó)、巴基斯坦、波蘭和埃及。

而受災(zāi)最嚴(yán)重的國(guó)家，則根據(jù)被C2網(wǎng)絡(luò)所侵占的肉雞/唯一IP地址的絕對(duì)數(shù)量來排列。第一季度受災(zāi)最嚴(yán)重的前五個(gè)國(guó)家是：中國(guó)有532000個(gè)唯一-肉雞IP地址，美國(guó)528000，挪威213000，西班牙129000,和烏克蘭124000。

報(bào)告摘抄：“挪威的C2數(shù)量反映出在一個(gè)特定的Web托管環(huán)境中C2主機(jī)數(shù)量的增長(zhǎng)，它導(dǎo)致了可確認(rèn)的C2流量的激增。而在荷蘭，較高的攻擊流量也是因其與挪威和瑞典比較接近有關(guān)。對(duì)攻擊目標(biāo)的接近性在這些攻擊活動(dòng)中發(fā)揮著不小的作用，因?yàn)檫@種接近性可以大大提高攻擊效率?！?/p>

??

估算肉雞數(shù)量

Level 3發(fā)現(xiàn)，每臺(tái)C2服務(wù)器可感染的平均主機(jī)數(shù)是1700臺(tái)。22%的C2服務(wù)器會(huì)執(zhí)行多項(xiàng)功能，例如分發(fā)惡意軟件、DDoS[注]攻擊和釣魚服務(wù)。在第一季度內(nèi)，一臺(tái)C2的平均壽命為38天。

報(bào)告摘抄：“根據(jù)我們的研究，每臺(tái)C2所感染的平均主機(jī)數(shù)量為1700臺(tái)。在一年時(shí)間內(nèi)，我們跟蹤了600到1000臺(tái)C2服務(wù)器，它們控制了數(shù)百萬臺(tái)受感染的主機(jī)。而C2與其肉雞之間可測(cè)到的高流量也意味著安全社區(qū)有機(jī)會(huì)進(jìn)行合作，以便主動(dòng)出擊，減少互聯(lián)網(wǎng)上C2的數(shù)量。”

??

DDoS攻擊在上升

Level 3稱，大多數(shù)的DDoS攻擊(56%)的目標(biāo)都在美國(guó)境內(nèi)。DDoS攻擊在歐洲也呈現(xiàn)出上升勢(shì)頭。如若按照行業(yè)劃分，2015年第一季度，最大的攻擊目標(biāo)是游戲行業(yè)，其次是互聯(lián)網(wǎng)服務(wù)提供商、Web托管企業(yè)、科研機(jī)構(gòu)和金融行業(yè)。

報(bào)告摘抄：“在過去兩年間，攻擊的體量和應(yīng)用層攻擊的頻次都在增加?；旌鲜降墓粢苍谠黾印DoS攻擊如果摻雜其他的攻擊手段(+微信關(guān)注網(wǎng)絡(luò)世界)，效果會(huì)更大，例如利用粗心大意的IT員工將惡意軟件植入到后端系統(tǒng)，便可盜取大量的數(shù)據(jù)?！?/p>

??

歐洲的惡意流量都來自哪些國(guó)家?

在歐洲各國(guó)中，今年一季度，烏克蘭是產(chǎn)生C2流量最多的國(guó)家。其次是俄羅斯、荷蘭、德國(guó)、法國(guó)、英國(guó)、羅馬尼亞、西班牙、瑞士和意大利。

報(bào)告摘抄：“盡管在前十大全球罪犯國(guó)中，各大洲差不多都有，但最大的C2流量主要來自歐洲和美國(guó)。我們所跟蹤的C2服務(wù)器中，平均20%在北美，差不多相當(dāng)于烏克蘭和俄羅斯C2的總和。西歐和英國(guó)貢獻(xiàn)了另外12%的C2流量。拉美所產(chǎn)生的流量?jī)H為整體C2流量的2%?！?/p>

??

歐洲的受攻擊目標(biāo)

按照肉雞的分布數(shù)量，歐洲的第一大攻擊目標(biāo)是挪威，其次是西班牙、瑞典、烏克蘭、波蘭、俄羅斯、德國(guó)、英國(guó)、希臘和法國(guó)。

??

來自拉美的惡意流量

在拉美國(guó)家中，巴拿馬是今年一季度產(chǎn)生C2流量最多的國(guó)家，其次是阿根廷、巴西和墨西哥。

??

拉美的受攻擊目標(biāo)

按照肉雞數(shù)量統(tǒng)計(jì)，拉美的第一大攻擊目標(biāo)是巴西、其次是阿根廷、墨西哥、委內(nèi)瑞拉、厄瓜多爾、哥倫比亞、智利、哥斯達(dá)黎加和玻利維亞。

??

西亞/中亞/南亞的受攻擊目標(biāo)

西亞/中亞/南亞的受攻擊目標(biāo)國(guó)家第一是土耳其，其次是巴基斯坦、埃及、以色列、約旦、沙特、巴勒斯坦、黎巴嫩、阿曼和也門。

??

東亞/東南亞的受攻擊目標(biāo)

西亞/東亞的受攻擊目標(biāo)第一是中國(guó)大陸，其次是越南、中國(guó)臺(tái)灣、韓國(guó)、日本、印尼、泰國(guó)、菲律賓、馬來西亞和新加坡。(波波編譯)