1. 极安网首页
  2. 网络安全新闻

卡巴斯基2020年三季度DDoS攻击趋势报告

在第三季度,我们观察到所有指标与上一季度相比均大幅下降。这很可能是由于第二季度出现了异常的DDoS活动,而不是本季度攻击活动有所平息。

DDoS的角度来看,第三季度相对平静。即使网络犯罪分子在Q2持续对一些老的恶意软件进行开发,但他们并没有明显的创新。例如,某个DDoS僵尸网络新增了对Docker环境的攻击方法。犯罪分子渗透到目标服务器,创建了一个受感染的容器,并在其中放置了与挖矿工具匹配的Kaiten僵尸工具(也称为Tsunami)。

Lucifer僵尸网络在上个季度首次被研究人员发现,目前已知该僵尸网络与DDoS攻击和加密货币挖矿有关,在本季度该僵尸网络进行了更新,现在不仅可以感染Windows,还会感染Linux设备。新版本在进行DDoS攻击的过程中,可以使用所有常见协议(TCP、UDP、ICMP、HTTP)并仿冒流量源的IP地址。

Mirai漏洞的攻击者正积极利用新的漏洞。7月,趋势科技的同事们发现了一个僵尸网络的变种,该变种利用了Comtrend VR-3033路由器中的CVE-2020-10173漏洞,从而影响存在漏洞的路由器以及与之连接的网络。然后在8月,有消息声称Mirai变种利用CVE-2020-5902漏洞攻击BIG-IP产品。BIG-IP产品包括防火墙、负载均衡、访问控制程序和僵尸网络防护系统。该漏洞可以用于执行任意命令、上传和删除文件、禁用服务以及运行JavaScript脚本。

对于实际的DDoS攻击来说,第三季度似乎不是那么瞩目。其中比较关键的是各类APT团体背后攻击者开展的勒索软件攻击,例如FancyBear、Armada、Collective、Lazarus等。勒索分子向世界各地的组织发送比特币勒索邮件,索取5比特币到20比特币不等,并威胁对方一旦不付款就会进行强大且持续的DDoS攻击。随后,受害者会被大量垃圾邮件淹没,由此说明这个威胁远未消除。

在8月和9月初,新西兰的一些组织遭受攻击,包括新西兰证券交易所(NZX),该组织已经被攻击下线数日。受害者还有印度银行YesBank、Paypal、Worldpay、Braintree和其他金融公司。另一波以DDoS作为威胁的勒索攻击影响了许多欧洲的ISP。但是,不太确定这是否属于同一个恶意组织所为。9月底,匈牙利的金融和电信公司遭受了强大的DDoS攻击。根据Magyar Telekom,这些恶意流量来自俄罗斯、中国和越南。不清楚攻击者是否在攻击过程中进行了勒索。

9月底,公共航班追踪服务遭受了一系列DDoS攻击,受害者包括瑞典网站Flightradar24和英国平台Plane Finder,这些网站和平台可以实时查看飞机的动态。这些服务的用户需求量非常大——接机人可以查询航班是否准点,媒体在发布与飞机相关的事件时也会使用这些信息。由于这次攻击,直接导致这些服务只能间断地工作,其官方Twitter帐户也公布了遭受攻击的消息。例如,Flightradar24的推文表示,他们在短时间内遭受了三次以上的攻击。美国公司FlightAware也公布了服务可用性存在问题,但没有具体说明是由于攻击还是由于故障。

在第三季度也存在针对媒体的传统攻击。俄罗斯电视台Dozhd在8月24日发生了一起DDoS攻击事件。未知的网络攻击者尝试在白天和晚上的新闻时段对其进行攻击,使资源不可用。9月初,网络犯罪分子将新闻机构UgraPRO作为目标。据媒体报道,攻击流量来自俄罗斯和国外的IP地址,每秒的请求数量超过5000。在9月下旬,新闻门户网站《土库曼斯坦纪事报》和《俄罗斯卫星通信社》报告了对其网站的攻击。

最后,由于俄罗斯的新冠疫情大流行和相关限制,俄罗斯毕业生参加的统一国家考试已经推迟到今年7月份。这个事件也影响了DDoS方面,在7月中旬,教育和科学领域的联邦监督服务局(Rosobrnadzor)报告了针对考试结果查询门户的攻击活动。但幸运的是,此时考试结果还没有上传,因此攻击是毫无意义的。

在本学年开始时,可以预期会发生更多与学校相关的攻击。例如,在佛罗里达州的迈阿密戴德县,DDoS的浪潮席卷了当地教育机构的网站,导致在线课程中断。有一名青少年网络犯罪分子遭遇了近乎实时的打击,FBI进入学校进行搜捕,该网络犯罪分子并在9月3日被逮捕。而其他肇事者仍在追查中。

提到FBI,该机构在第二季度面向企业发布了两条防范DDoS的告警。在7月,他们发布了一份文档,其中简要介绍了新的攻击方法、检测方式和预防措施。8月下旬,他们发布了有关DDoS勒索活动的详尽报告,并再次提供了应对此类攻击的技巧。

原创文章,作者: Admin ,转载请注明出处:https://secvery.com/3478.html