事件回顧

Lucifer僵尸網(wǎng)絡(luò)于上個(gè)季度首次出現(xiàn)，它會(huì)同時(shí)感染W(wǎng)indows和Linux設(shè)備，使用TCP，UDP，ICMP，HTTP協(xié)議并欺騙流量源的IP地址。

8月Mirai變種通過CVE-2020-5902漏洞攻擊BIG-IP產(chǎn)品。該漏洞可用于執(zhí)行任意命令，上載和刪除文件，禁用服務(wù)以及運(yùn)行JavaScript腳本。

網(wǎng)絡(luò)犯罪分子向世界各地的組織發(fā)送比特幣勒索郵件，贖金從5 BTC到20 BTC不等，若拒絕付款就會(huì)進(jìn)行持續(xù)的DDoS攻擊。

8月和9月初，新西蘭的一些組織受到打擊，包括新西蘭證券交易所(NZX)，印度銀行YesBank，PayPal，Worldpay，Braintree和其他金融公司也在受害者名單中。DDoS比特幣勒索影響了許多歐洲ISP，但不確定是否由同一組織發(fā)起。

9月底，匈牙利的金融和電信公司被DDoS攻擊，垃圾流量來自俄羅斯，中國(guó)和越南。

9月初，網(wǎng)絡(luò)犯罪分子對(duì)新聞機(jī)構(gòu)UgraPRO發(fā)起攻擊，垃圾流量來自俄羅斯和國(guó)外的IP地址，每秒的請(qǐng)求數(shù)量超過5,000。

第三季度趨勢(shì)

在第三季度DDoS攻擊各項(xiàng)指標(biāo)顯著下降，與2019年同期數(shù)據(jù)相比，總攻擊次數(shù)增加了1.5倍，智能攻擊次數(shù)幾乎翻倍。

本季度中，在冠狀病毒流行全球市場(chǎng)穩(wěn)定情況下，遠(yuǎn)程工作已不再是新聞，公司已經(jīng)適應(yīng)了新的工作模式，IT部門已經(jīng)填補(bǔ)了遠(yuǎn)程基礎(chǔ)架構(gòu)中的漏洞并加強(qiáng)了關(guān)鍵節(jié)點(diǎn)，適合攻擊的目標(biāo)減少。

加密貨幣市場(chǎng)增長(zhǎng)。例如，以太坊價(jià)格在第三季度的明顯上漲。挖礦和DDoS競(jìng)爭(zhēng)激烈，許多僵尸網(wǎng)絡(luò)可以同時(shí)實(shí)現(xiàn)這兩種功能，并且根據(jù)收益選擇將資源定向到何處。在第三季度，某些僵尸網(wǎng)絡(luò)可能已切換到采礦任務(wù)。

季度要點(diǎn)：

• 在攻擊次數(shù)和目標(biāo)數(shù)量方面，TOP3保持不變：中國(guó)(71.20和72.83%)，美國(guó)(15.30和15.75%)和中國(guó)香港(4.47和4.27%)。
• 按目標(biāo)數(shù)量排名中，亞洲顯著下降：中國(guó)香港下跌了2.07個(gè)百分點(diǎn)，新加坡0.3分。中國(guó)除外，中國(guó)的目標(biāo)份額上升了6.81個(gè)百分點(diǎn)。
• 第三季度的攻擊次數(shù)下降。
• DDoS僵尸網(wǎng)絡(luò)在周四最為活躍，周五明顯下降。
• 就持續(xù)時(shí)間而言，第3季度遠(yuǎn)遠(yuǎn)落后于第1季度，但有兩次記錄的攻擊持續(xù)時(shí)間超過10天(246和245小時(shí))，持續(xù)5–9天的攻擊次數(shù)(12次持續(xù)121-236小時(shí)的攻擊)增加。
• 按類型劃分的攻擊分布沒有任何變化：SYN泛濫仍然是主要工具(94.6%)，ICMP攻擊占3.4%，HTTP泛洪得不到0.1%。
• Linux僵尸網(wǎng)絡(luò)仍然領(lǐng)先于Windows僵尸網(wǎng)絡(luò)，占攻擊總數(shù)的95.39%(比上一季度增長(zhǎng)0.61%)。

地理分布

今年以來攻擊次數(shù)排名前三的是：中國(guó)(71.2%，較第二季度增長(zhǎng)6.08個(gè)百分點(diǎn))，美國(guó)(15.3%，下降4.97個(gè)百分點(diǎn))和中國(guó)香港(4.47%，下降1.61個(gè)百分點(diǎn))。

新加坡，澳大利亞和印度都有所提升(分別從第五位上升到第四位，第六位上升到第五位，第七位上升到第六位)，南非則從第四位上升到第八位。

攻擊目標(biāo)地理分布未發(fā)生明顯變化，前三名與上一季度相同：中國(guó)，美國(guó)，中國(guó)香港。中國(guó)目標(biāo)份額增長(zhǎng)了6.81個(gè)百分點(diǎn)。美國(guó)下跌3.57個(gè)百分點(diǎn)后，中國(guó)香港下跌2.07個(gè)百分點(diǎn)。

攻擊數(shù)量分析

本季度攻擊次數(shù)差大。在活動(dòng)高峰時(shí)，DDoS打破了上一時(shí)期記錄：7月2日記錄了323次攻擊(4月為298次)，8月31日和9/1/7只發(fā)生了一次攻擊。

持續(xù)時(shí)間和類型

第三季度平均攻擊時(shí)間縮短。大部分攻擊(91.06%)持續(xù)了四個(gè)小時(shí)，4.89%持續(xù)5–9小時(shí)，2.25%持續(xù)10-19小時(shí)，2.09%持續(xù)20-49小時(shí)，0.4%持續(xù)50–99小時(shí)，0.08%持續(xù)100-139小時(shí)。

不同類型的攻擊分布沒有變化，SYN泛濫第三季度為94.6%，第二季度為94.7%。 ICMP小幅下降(從之前的4.9%下降到3.4%)，TCP攻擊占1.4%，UDP攻擊占0.6%，HTTP攻擊很少。

第三季度，Windows僵尸網(wǎng)絡(luò)份額繼續(xù)下降。

總結(jié)

與上一季度相比，網(wǎng)絡(luò)犯罪分子更喜歡歐洲的目標(biāo)，日本和韓國(guó)等亞洲國(guó)家吸引力較弱，但對(duì)中國(guó)的興趣仍然很高。短期和超短期攻擊以及多日攻擊數(shù)量都有所增長(zhǎng)。

預(yù)計(jì)Q4指標(biāo)將與2019年底的指標(biāo)相當(dāng)，經(jīng)過近兩年的增長(zhǎng)，DDoS市場(chǎng)或趨于穩(wěn)定。由于圣誕節(jié)和新年，第四季度通常是最熱鬧的時(shí)間段。年末攻擊通常比第三季度高30%左右。

原文鏈接：securelist