2022 年第一季度的 DDoS攻擊趨勢(shì)受到俄烏沖突的影響：所有重磅DDoS 相關(guān)新聞都與其有關(guān)。

1月中旬，基輔市長(zhǎng)維塔利·克里琴科的網(wǎng)站遭到DDoS攻擊，烏克蘭多個(gè)政府部門的網(wǎng)站遭到破壞。2 月中旬，DDoS 攻擊影響了烏克蘭國(guó)防部的網(wǎng)站、Oschadbank 和 PrivatBank 的在線服務(wù)以及托管服務(wù)提供商 Mirohost。大約在同一時(shí)間，PrivatBank 客戶收到了關(guān)于 ATM 停止服務(wù)的虛假短信，這么做似乎是為了制造恐慌。2月23日，另一波DDoS攻擊席卷了烏克蘭政府的資源，而烏克蘭國(guó)家特殊通信和信息保護(hù)局(State Service of Special Communication and Information Protection)報(bào)告稱，2月底和3月初發(fā)生了一系列連續(xù)攻擊。盡管垃圾通信量在峰值沖擊時(shí)超過(guò)了100gb /s，但與去年反復(fù)發(fā)生的1tb/s或更多容量的攻擊相比，這是微不足道的。

3月初，Zscaler的研究人員發(fā)表了一份分析報(bào)告，分析了DanaBot的一名操作員對(duì)烏克蘭發(fā)起的攻擊。這種銀行木馬通過(guò)惡意軟件即服務(wù)(MaaS)模型傳播。買家使用DanaBot將DDoS木馬下載到受感染的設(shè)備上其唯一功能就是攻擊硬編碼域。最初的目標(biāo)是烏克蘭國(guó)防部的郵件服務(wù)器。對(duì)該資源的攻擊從3月2日持續(xù)到3月7日，之后攻擊者將目標(biāo)對(duì)準(zhǔn)烏克蘭國(guó)家安全與國(guó)防委員會(huì)(National Security and Defense Council of Ukraine)該網(wǎng)站專門提供有關(guān)俄羅斯戰(zhàn)俘的信息。

提供俄烏沖突實(shí)時(shí)監(jiān)控的信息資源LiveUAMap也成為DDoS攻擊的目標(biāo)，此外，北約國(guó)家的烏克蘭媒體和信息資源也受到攻擊。特別是烏克蘭門戶網(wǎng)站espresso遭受了DDoS攻擊。據(jù)烏克蘭供應(yīng)商稱，他們?cè)谡麄€(gè)3月份都面臨著針對(duì)某些資源的DDoS攻擊。

從2月24日開始，一系列DDoS攻擊攻擊了俄羅斯的網(wǎng)站。目標(biāo)包括媒體、地區(qū)(例如在Yugra)和聯(lián)邦一級(jí)的政府當(dāng)局、俄羅斯航天局、俄羅斯鐵路公司(RZD)、國(guó)家服務(wù)(Gosuslugi)門戶網(wǎng)站、電信公司和其他組織。3月底，DDoSer(一款集壓力測(cè)試與安全觀測(cè)的全功能產(chǎn)品)攻擊了俄羅斯域名注冊(cè)商Ru-Center，使其客戶的網(wǎng)站癱瘓了一段時(shí)間。據(jù)加拿大皇家銀行稱，至少有一些針對(duì)媒體的攻擊是從呼吁杜絕錯(cuò)誤信息的網(wǎng)站進(jìn)行的。黑客組織 Anonymous 已就烏克蘭問題向俄羅斯宣戰(zhàn)，聲稱對(duì)數(shù)次攻擊負(fù)責(zé)，其中包括針對(duì)今日俄羅斯新聞臺(tái)的 DDoS。

Anonymous 并不是唯一一個(gè)站出來(lái)支持烏克蘭的黑客組織。該國(guó)政府號(hào)召志愿者加入“IT 軍隊(duì)”，其任務(wù)包括 DDoS 攻擊。此類攻擊主要通過(guò) Telegram 進(jìn)行協(xié)調(diào)，組織者在 Telegram 上發(fā)布了目標(biāo)列表。此外，多個(gè)網(wǎng)站似乎邀請(qǐng)具有任何 IT 素養(yǎng)水平的同情者加入針對(duì)俄羅斯組織的 DDoS 攻勢(shì)。用戶所要做的就是在瀏覽器中打開網(wǎng)站，以便開始向給定的網(wǎng)絡(luò)資源列表發(fā)送垃圾請(qǐng)求。

黑客活動(dòng)家還分發(fā)允許普通用戶參與 DDoS 攻擊的應(yīng)用程序，與這些網(wǎng)站一樣，他們的開發(fā)人員將它們宣傳為攻擊俄羅斯資源的工具。據(jù) Avast 稱，至少有 900 名來(lái)自烏克蘭的用戶下載了此類應(yīng)用程序。此類應(yīng)用程序不僅代表用戶進(jìn)行攻擊，還會(huì)收集有關(guān)用戶的數(shù)據(jù)，例如 IP 地址、大致位置、用戶名、系統(tǒng)信息、時(shí)區(qū)、語(yǔ)言等。

為了應(yīng)對(duì) DDoS 攻擊，許多俄羅斯資源使用地理圍欄來(lái)暫時(shí)限制來(lái)自國(guó)外的訪問。此外，俄羅斯國(guó)家計(jì)算機(jī)事件協(xié)調(diào)中心發(fā)布了據(jù)稱發(fā)起攻擊的 IP 地址和域列表，以及針對(duì)組織的安全建議。DDoS 來(lái)源清單包括美國(guó)情報(bào)機(jī)構(gòu)的域以及一些媒體渠道等。

除了俄羅斯和烏克蘭外，朝鮮的網(wǎng)站也多次癱瘓。朝鮮在1月中旬進(jìn)行了一系列導(dǎo)彈試驗(yàn)后首次下線，切斷了對(duì)大多數(shù)朝鮮網(wǎng)站和郵件服務(wù)器的訪問。監(jiān)控朝鮮互聯(lián)網(wǎng)的研究員Junade Ali表示，這一事件類似于DDoS攻擊。本月末，該國(guó)的網(wǎng)絡(luò)連接也出現(xiàn)了中斷。雖然許多人最初將這些事件歸咎于朝鮮日益增加的軍事活動(dòng)，但聲稱對(duì)此事負(fù)責(zé)的是一名綽號(hào)為P4x的美國(guó)信息安全專家。用他自己的話說(shuō)，他的行動(dòng)是為了回應(yīng)朝鮮黑客對(duì)安全專家發(fā)起的一系列網(wǎng)絡(luò)攻擊。看到美國(guó)當(dāng)局沒有反應(yīng)，P4x決定自己動(dòng)手，他在朝鮮的網(wǎng)絡(luò)設(shè)備中發(fā)現(xiàn)了幾個(gè)漏洞，他用這些漏洞使該國(guó)的關(guān)鍵路由器和服務(wù)器過(guò)載。

今年3月，以色列ISP Cellcom成為大規(guī)模DDoS攻擊的目標(biāo)。這一事件導(dǎo)致政府資源，尤其是政府部門網(wǎng)站癱瘓了一段時(shí)間。以色列另一家主要供應(yīng)商Bezeq也遭到了襲擊。以色列國(guó)家網(wǎng)絡(luò)理事會(huì)(INCD)認(rèn)為伊朗是這次攻擊的幕后主使。

另一個(gè)遭受 DDoS 攻擊的國(guó)家是安道爾。以安道爾電信為目標(biāo)，當(dāng)?shù)匚ㄒ坏腎SP，暫時(shí)切斷了該國(guó)所有人的通信。攻擊者的動(dòng)機(jī)與政治無(wú)關(guān)，目標(biāo)似乎是 Twitch Rivals Squidcraft Games 的參與者，這是一個(gè)基于 Squid Game 的 Minecraft 錦標(biāo)賽。該比賽面向歐洲和拉丁美洲的西班牙語(yǔ)主播，最高獎(jiǎng)金為 100,000 美元。

第一季度并非沒有針對(duì)區(qū)塊鏈和NFT等流行技術(shù)供應(yīng)商的DDoS攻擊。就在今年年初，Solana平臺(tái)在經(jīng)歷了2021年的多次DDoS攻擊后，再次遭到攻擊，最近的DDoS攻擊徹底激怒了用戶，他們指責(zé)開發(fā)人員未能確保系統(tǒng)的安全。

新NFT市場(chǎng)LooksRare剛一開業(yè)就被關(guān)閉了。該平臺(tái)的網(wǎng)站暫時(shí)關(guān)閉，用戶在連接錢包和獲取購(gòu)買的代幣信息方面遇到了困難。錢包的問題持續(xù)了一段時(shí)間，甚至在網(wǎng)站恢復(fù)后也是如此。

DDoS勒索者偽裝成臭名昭著的REvil組織，不僅繼續(xù)攻擊公司，還開發(fā)了新的功能。

除了攜帶勒索信息的請(qǐng)求，攻擊者開始使用配置錯(cuò)誤的Mitel MiCollab和MiVoice Business Express協(xié)作解決方案，將攻擊擴(kuò)大了400多萬(wàn)倍。這兩種解決方案都具有用于VoIP的TP-240接口。tp240dvr驅(qū)動(dòng)程序充當(dāng)與該接口交互的橋梁，其任務(wù)包括接收命令以產(chǎn)生大量流量以用于調(diào)試和測(cè)試系統(tǒng)性能。通常情況下，這個(gè)驅(qū)動(dòng)程序不應(yīng)該從互聯(lián)網(wǎng)上獲得，但大約2600個(gè)Mitel系統(tǒng)被發(fā)現(xiàn)接受來(lái)自外部的命令。攻擊者迫使脆弱的系統(tǒng)向受害者發(fā)送壓力測(cè)試，從而實(shí)現(xiàn)多重放大。這些攻擊自 2 月中旬以來(lái)就已被觀察到，并針對(duì) ISP 以及金融、物流和其他組織。

第一季度攻擊趨勢(shì)

本季度，我們看到攻擊次數(shù)較歷史最高記錄增長(zhǎng)了近1.5倍(46%)，較去年同期增長(zhǎng)了4.5倍。

2022 年第一季度、2021 年第一季度和第四季度比較

這么大的變化主要是由俄烏沖突引起的，我們看到新的攻擊的高峰發(fā)生在2022年的第8周，也就是2月21—2月27日。

2021 年 4 月至 2022 年 3 月按周劃分的 DDoS 攻擊數(shù)量比較

也就是說(shuō)，2 月下旬之前的攻擊相對(duì)較少，如果沒有在月底 DDoS 活動(dòng)激增，我們會(huì)看到相對(duì)于上一季度的下降。值得注意的是，2月底到3月初的許多攻擊都是由黑客組織的，并且是在用戶自愿連接到僵尸網(wǎng)絡(luò)的個(gè)人設(shè)備上進(jìn)行的。

2022年第一季度，2021年第一季度和第四季度的智能攻擊比例

3月底，數(shù)量又恢復(fù)到正常水平。就絕對(duì)數(shù)量而言，這類攻擊的數(shù)量和DDoS攻擊的數(shù)量仍比以往多。

如果以前的攻擊是以分鐘計(jì)算的，那么現(xiàn)在的平均攻擊是以小時(shí)計(jì)算的，而且許多攻擊會(huì)持續(xù)好幾天。3月29日發(fā)現(xiàn)了最長(zhǎng)的一次攻擊，持續(xù)了177個(gè)多小時(shí)，也就是一個(gè)多星期。

DDoS攻擊持續(xù)時(shí)間

這與常見的DDoS 攻擊極為不同，尤其是那些被安全解決方案過(guò)濾的攻擊。這種長(zhǎng)度的攻擊代價(jià)很高，而且會(huì)暴露僵尸網(wǎng)絡(luò)，因?yàn)榛顒?dòng)節(jié)點(diǎn)更容易被檢測(cè)和禁用。因此，專業(yè)的DDoSer總是試圖盡快阻止無(wú)效的攻擊。然而，現(xiàn)在我們看到了相反的情況，不管其有效性如何，攻擊仍在繼續(xù)。與此同時(shí)，絕大多數(shù)超長(zhǎng)(超過(guò)一天)攻擊的目標(biāo)是政府機(jī)構(gòu)和銀行。所有這些都再次表明，本季度的DDoS攻擊并非出于財(cái)務(wù)動(dòng)機(jī)。

2021年4月至2022年3月按周計(jì)算的DDoS攻擊平均持續(xù)時(shí)間

第一季度DDoS攻擊的數(shù)據(jù)統(tǒng)計(jì)

在統(tǒng)計(jì)時(shí)，只有當(dāng)僵尸網(wǎng)絡(luò)活動(dòng)周期之間的間隔不超過(guò)24小時(shí)時(shí)，該事件才被算作一次DDoS攻擊。例如，如果同一資源在24小時(shí)或24小時(shí)以上被同一僵尸網(wǎng)絡(luò)攻擊，則統(tǒng)計(jì)兩次攻擊。來(lái)自不同僵尸網(wǎng)絡(luò)但針對(duì)同一資源的Bot請(qǐng)求也算作不同的攻擊。

DDoS 攻擊受害者和用于發(fā)送命令的 C2 服務(wù)器的地理位置由它們各自的 IP 地址確定。本報(bào)告中 DDoS 攻擊的唯一目標(biāo)數(shù)按季度統(tǒng)計(jì)中的唯一 IP 地址數(shù)計(jì)算。

DDoS 情報(bào)統(tǒng)計(jì)僅限于卡巴斯基檢測(cè)和分析的僵尸網(wǎng)絡(luò)。請(qǐng)注意，僵尸網(wǎng)絡(luò)只是用于 DDoS 攻擊的工具之一，本節(jié)并未涵蓋審查期間發(fā)生的每一次 DDoS 攻擊。

2022 年第一季度總體情況如下：

1.卡巴斯基DDoS情報(bào)系統(tǒng)檢測(cè)到91052次DDoS攻擊;

2.44.34%的襲擊目標(biāo)位于美國(guó)，占所有目標(biāo)的45.02%;

3.DDoS攻擊(16.35%)發(fā)生在周日;

4.大多數(shù)攻擊(94.95%)持續(xù)時(shí)間小于4小時(shí)，但最長(zhǎng)的攻擊持續(xù)了549小時(shí)(近23天)。

5.53.64% 的攻擊是 UDP flood;

6.55.53%的C&C服務(wù)器位于美國(guó);

DDoS攻擊地理

2022年第一季度，美國(guó)受到DDoS攻擊的頻率最高(44.34%)。排名第二的是中國(guó)(11.60%)，其比例也略有上升，德國(guó)(5.06%)升至第三位。

2021年第四季度和2022年第一季度DDoS攻擊的國(guó)家和地區(qū)分布。法國(guó)(3.65%)和加拿大(3.37%)分別下降到第6位和第7位，荷蘭(2.36%)仍然排在第8位。巴西(2.24%)和新加坡(1.86%)分列第九和第十。第一季度大部分目標(biāo)位于美國(guó)(45.02%)，其次是中國(guó)(9.34%)和德國(guó)(4.95%)。這三個(gè)國(guó)家的比例自2021年底以來(lái)略有增長(zhǎng)。第四名是英國(guó)(4.30%)，法國(guó)(3.31%)和加拿大(2.93%)分別排在第六位和第七位，巴西(2.44%)上升到第八位。相比之下，荷蘭跌至第九位(2.32%)，澳大利亞(1.90%)位居前十。

DDoS攻擊次數(shù)動(dòng)態(tài)變化情況

在2022年第一季度，卡巴斯基的DDoS情報(bào)系統(tǒng)檢測(cè)到91052次DDoS攻擊。在整個(gè)1月和2月的大部分時(shí)間里，我們看到平均每天有1406起攻擊事件。在這段時(shí)間里，最平靜的一天是2月2日，DDoS情報(bào)系統(tǒng)發(fā)現(xiàn)了809次攻擊，最激烈的一天是1月19日，2250次DDoS攻擊。從2月26日開始，每天的DDoS攻擊次數(shù)減少了一半，只有697次。在季度末，最活躍的一天是2月28日，有1362次攻擊，最安靜的一天是3月3日，有479次攻擊。

DDoS攻擊數(shù)量變化

與2021年第四季度相比，每周DDoS攻擊的分布略微均勻一些。最活躍和最安靜的日子之間的差異是2.72 %。在上一個(gè)報(bào)告期內(nèi)，周日(16.35%)攻擊最猛，最低的是周五(12.77%)。

2022年第一季度每周DDoS攻擊的分布情況

除周五、周日外，周一(14.83%)、周二(13.63%)、周六(14.09%)表現(xiàn)較為平靜，周三(14.12%)、周四(14.21%)有所上漲。

DDoS攻擊持續(xù)時(shí)間和攻擊類型

2022年前3個(gè)月DDoS攻擊的平均持續(xù)時(shí)間與2021年第四季度相同,略低于兩小時(shí)。與此同時(shí)，非常短的攻擊(94.95%)和長(zhǎng)時(shí)間攻擊的比例都增加了,持續(xù)140小時(shí)以上的DDoS攻擊占0.03%，持續(xù)100-139小時(shí)的攻擊也占了0.03%。持續(xù)50-99小時(shí)的攻擊比例攀升至0.15%。四分之一的最長(zhǎng)攻擊持續(xù)時(shí)間也從218小時(shí)增加到549小時(shí)。相反，5-49小時(shí)的比例下降。

2021年第四季度和2022年第一季度DDoS攻擊持續(xù)時(shí)間分布

UDP flood(53.64%)占了第一季度所有DDoS攻擊的一半以上，增加了3.33%, SYNflood(22.37%)上升到第二，增加了6.08%，而TCPflood(20.17%)的比例下降了三分之一，降至第三位。HTTPflood(2.42%)和GREflood(1.41%)的比例略有上升，但仍分別保持在第四位和第五位。

DDoS攻擊類型分布情況

僵尸網(wǎng)絡(luò)的地理分布

縱觀僵尸網(wǎng)絡(luò) C&C 的地理分布，研究人員發(fā)現(xiàn)第一季度活躍的 C&C 中有一半以上位于美國(guó)(55.53%)，增長(zhǎng) 9.04 個(gè)百分點(diǎn)。從 2021 年底開始，德國(guó) (8.30%) 升至第二位 (8.30%)，其次是荷蘭 (8.09%)。捷克共和國(guó)(4.68%)和俄羅斯(4.68%)并列第四。

2022 年第一季度按國(guó)家/地區(qū)劃分的 C&C 僵尸網(wǎng)絡(luò)服務(wù)器分布

第一季度 C&C 服務(wù)器數(shù)量排名第六的是法國(guó)(3.40%)，排名第七的是英國(guó)(2.77%)，支撐 TOP 10 的是加拿大(1.06%)。上季度未進(jìn)入前 10 名的國(guó)家分別排名第八和第九位：新加坡(1.91%)和印度(1.49%)。

對(duì)物聯(lián)網(wǎng)蜜罐的攻擊

第一季度試圖攻擊 SSH 蜜罐的木馬占比最大的是中國(guó)(20.41%)。盡管如此，與上一報(bào)告期相比還是下降了 6.32%;與此同時(shí)，美國(guó)的比例從 11.20% 上升到 15.24%。在發(fā)起攻擊的國(guó)家和地區(qū)列表中排名第三的是德國(guó)(7.05%)，其次是巴西(4.91%)和香港(4.79%)。然而，并不是所有的木馬都同樣活躍。例如，幾乎一半的蜜罐攻擊來(lái)自俄羅斯(47.23%)

第一季度的DDoS攻擊情況受到了地緣政治形勢(shì)的強(qiáng)烈影響，自2月底以來(lái)，黑客活動(dòng)激增，以及大量用戶自愿連接的自發(fā)僵尸網(wǎng)絡(luò)的出現(xiàn)。唯一可以確定的是，在俄烏沖突結(jié)束之前，我們不太可能看到DDoS活動(dòng)的下降。

參考及來(lái)源：https://securelist.com/ddos-attacks-in-q1-2022/106358/

來(lái)源：嘶吼專業(yè)版