僵尸網(wǎng)絡(luò)近年來已經(jīng)成為企業(yè)的大敵，近期發(fā)現(xiàn)有這樣一群僵尸機(jī)“捆綁銷售”，常年堅(jiān)持多渠道僵尸網(wǎng)絡(luò)活動(dòng)和DDoS攻擊，“不拋棄”“不放棄”。

人設(shè)：

◆ “C位成員”(僅占攻擊者中2%)以一己之力發(fā)起了20%的攻擊;“核心成員”(僅占攻擊者中的20%)發(fā)起了80%的攻擊;

◆全員酷愛反射攻擊，特別是大流量攻擊;

我們將這樣的團(tuán)體稱為“IP團(tuán)伙”(IP Chain-Gang)。每個(gè)IP團(tuán)伙由某個(gè)或者一組黑客控制者。因此，同一個(gè)團(tuán)伙在不同的攻擊中必然會(huì)表現(xiàn)出相似的行為。

綠盟科技根據(jù)近兩年所搜集的DDoS攻擊數(shù)據(jù)、多個(gè)IP團(tuán)伙并研究了他們的團(tuán)伙行為，近期推出了《IP團(tuán)伙行為分析》。本文簡(jiǎn)要介紹報(bào)告中的IP團(tuán)伙的識(shí)別手段，分析IP團(tuán)伙的規(guī)模、攻擊次數(shù)、攻擊時(shí)長(zhǎng)和攻擊流量。希望，通過研究團(tuán)伙的歷史行為建立團(tuán)伙檔案，以便更準(zhǔn)確地描述其背后一個(gè)或多個(gè)攻擊控制者的行動(dòng)方式，同時(shí)更有效地防御這些團(tuán)伙未來可能發(fā)起的攻擊，防患于未然。

[[256531]]

1識(shí)別IP團(tuán)伙

為識(shí)別IP團(tuán)伙，我們首先分析了綠盟科技自2017年以來所搜集的DDoS攻擊數(shù)據(jù)，并按步驟進(jìn)行了下述操作：

a. 確定一次協(xié)同攻擊中的攻擊者并將其劃歸一組。這里，我們將協(xié)同攻擊定義為針對(duì)同一目標(biāo)幾乎同時(shí)發(fā)起的攻擊。由于這些攻擊者協(xié)同工作，因此有理由相信他們?yōu)橥粋€(gè)攻擊控制者控制。

b. 如果上一步中有兩個(gè)組重疊或其行為非常相似，則將其合并為一個(gè)更大的組。重復(fù)此合并過程，直到不再存在重疊的組。在此過程中，使用復(fù)雜的機(jī)器學(xué)習(xí)算法來確定“相似性”閾值。

c. 清除組中的“偶然攻擊者”(僅參與一小部分攻擊的攻擊者)，提取每個(gè)攻擊組的核心成員，得出我們所稱的“IP團(tuán)伙”。

通過這一步驟，我們確定了80多個(gè)活躍的IP團(tuán)伙。在本研究報(bào)告中，我們?cè)谒惴ㄖ羞x擇了相當(dāng)嚴(yán)格的參數(shù)，因此，這些團(tuán)伙中的所有成員都是實(shí)實(shí)在在的慣犯。每個(gè)慣犯都在我們的研究期間進(jìn)行了多次攻擊。因此，盡管這些團(tuán)伙成員的數(shù)量?jī)H占我們數(shù)據(jù)集中所有攻擊者的2%，但它們發(fā)起的攻擊約占所有攻擊的20%。

應(yīng)該注意的是，任何團(tuán)伙的組成都會(huì)動(dòng)態(tài)變化。本報(bào)告中，我們將研究期間的團(tuán)伙行為視為靜態(tài)。在未來的研究中，我們將考慮動(dòng)態(tài)性質(zhì)。

2 IP團(tuán)伙統(tǒng)計(jì)分析

在確定團(tuán)伙之后，我們從幾個(gè)不同的角度研究了各團(tuán)伙的行為。除非另有說明，本節(jié)中提及的數(shù)字為同一團(tuán)伙所有成員的累計(jì)計(jì)數(shù)。

2.1 IP團(tuán)隊(duì)規(guī)模：千人團(tuán)體占主導(dǎo)

下圖展示了IP團(tuán)伙規(guī)模的分布情況。大多數(shù)團(tuán)伙成員不到1000人，但我們也發(fā)現(xiàn)有一個(gè)團(tuán)伙的成員高達(dá)26,000多人。

圖1 IP團(tuán)伙規(guī)模

2.2 20/80法則，到哪里都適用

下圖展示了各團(tuán)伙發(fā)起的DDoS攻擊事件的數(shù)量，按事件次數(shù)統(tǒng)計(jì)。毫不意外，大約20%的團(tuán)伙發(fā)起了80%的攻擊。

圖2 攻擊總次數(shù)(按各團(tuán)伙攻擊統(tǒng)計(jì))

攻擊事件次數(shù)

2.3 團(tuán)伙最長(zhǎng)總攻擊時(shí)長(zhǎng)超過13“年”

下圖展示了同一團(tuán)伙所有成員的總累計(jì)攻擊時(shí)長(zhǎng)的分布情況。有些團(tuán)伙的總攻擊時(shí)長(zhǎng)高達(dá)5000多天(>13“年”)，但多數(shù)團(tuán)伙不到1000天。

圖3 團(tuán)伙總攻擊時(shí)長(zhǎng)

2.4 更少的團(tuán)員、更多攻擊次數(shù)、更大攻擊流量

我們一般總感覺，較大的團(tuán)伙會(huì)發(fā)動(dòng)較多攻擊時(shí)間，且產(chǎn)生的攻擊總流量也較大，但事實(shí)并非如此。

如下圖所示，與更大規(guī)模的IP團(tuán)伙相比，擁有較少成員的團(tuán)伙可能會(huì)發(fā)動(dòng)更多攻擊并發(fā)出更多攻擊流量。這說明，特定團(tuán)伙中的攻擊者可能擁有更多渠道可以利用。

下圖展示了按總流量排名的前10個(gè)團(tuán)伙，攻擊總流量以不同大小的橙色氣泡表示。

圖4 團(tuán)伙規(guī)模、攻擊次數(shù)及攻擊總流量對(duì)比

如上圖所示，發(fā)動(dòng)攻擊次數(shù)最多(> 50K)的團(tuán)伙僅擁有274名成員，超過了所有其他團(tuán)伙。而最大的氣泡(即攻擊總流量最大)對(duì)應(yīng)的團(tuán)伙攻擊次數(shù)竟然較少(<10K)。

結(jié)語

據(jù)我們所知，將DDoS攻擊作為協(xié)同團(tuán)伙活動(dòng)進(jìn)行研究尚屬首次。從這一全新角度來研究，可以獲得一些獨(dú)特見解，有助于我們更好地檢測(cè)、緩解、取證分析甚至預(yù)測(cè)DDoS攻擊。

本報(bào)告是IP團(tuán)伙主題系列中的開篇之作。在后續(xù)報(bào)告中，綠盟科技計(jì)劃進(jìn)一步研究團(tuán)伙成員構(gòu)成如何演化與聯(lián)系，以及如何基于此構(gòu)建更有效的防御措施。

了解更多，可查看綠盟科技《IP團(tuán)伙行為分析》報(bào)告完整版 http://blog.nsfocus.net/behavior_analysis_of_ip_chain_gangs/