事件回顧

Lucifer僵尸網(wǎng)絡(luò)于上個季度首次出現(xiàn)，它會同時感染W(wǎng)indows和Linux設(shè)備，使用TCP，UDP，ICMP，HTTP協(xié)議并欺騙流量源的IP地址。

8月Mirai變種通過CVE-2020-5902漏洞攻擊BIG-IP產(chǎn)品。該漏洞可用于執(zhí)行任意命令，上載和刪除文件，禁用服務(wù)以及運行JavaScript腳本。

網(wǎng)絡(luò)犯罪分子向世界各地的組織發(fā)送比特幣勒索郵件，贖金從5 BTC到20 BTC不等，若拒絕付款就會進行持續(xù)的DDoS攻擊。

8月和9月初，新西蘭的一些組織受到打擊，包括新西蘭證券交易所(NZX)，印度銀行YesBank，PayPal，Worldpay，Braintree和其他金融公司也在受害者名單中。DDoS比特幣勒索影響了許多歐洲ISP，但不確定是否由同一組織發(fā)起。

9月底，匈牙利的金融和電信公司被DDoS攻擊，垃圾流量來自俄羅斯，中國和越南。

9月初，網(wǎng)絡(luò)犯罪分子對新聞機構(gòu)UgraPRO發(fā)起攻擊，垃圾流量來自俄羅斯和國外的IP地址，每秒的請求數(shù)量超過5,000。

第三季度趨勢

在第三季度DDoS攻擊各項指標顯著下降，與2019年同期數(shù)據(jù)相比，總攻擊次數(shù)增加了1.5倍，智能攻擊次數(shù)幾乎翻倍。

本季度中，在冠狀病毒流行全球市場穩(wěn)定情況下，遠程工作已不再是新聞，公司已經(jīng)適應(yīng)了新的工作模式，IT部門已經(jīng)填補了遠程基礎(chǔ)架構(gòu)中的漏洞并加強了關(guān)鍵節(jié)點，適合攻擊的目標減少。

加密貨幣市場增長。例如，以太坊價格在第三季度的明顯上漲。挖礦和DDoS競爭激烈，許多僵尸網(wǎng)絡(luò)可以同時實現(xiàn)這兩種功能，并且根據(jù)收益選擇將資源定向到何處。在第三季度，某些僵尸網(wǎng)絡(luò)可能已切換到采礦任務(wù)。

季度要點：

• 在攻擊次數(shù)和目標數(shù)量方面，TOP3保持不變：中國(71.20和72.83%)，美國(15.30和15.75%)和中國香港(4.47和4.27%)。
• 按目標數(shù)量排名中，亞洲顯著下降：中國香港下跌了2.07個百分點，新加坡0.3分。中國除外，中國的目標份額上升了6.81個百分點。
• 第三季度的攻擊次數(shù)下降。
• DDoS僵尸網(wǎng)絡(luò)在周四最為活躍，周五明顯下降。
• 就持續(xù)時間而言，第3季度遠遠落后于第1季度，但有兩次記錄的攻擊持續(xù)時間超過10天(246和245小時)，持續(xù)5–9天的攻擊次數(shù)(12次持續(xù)121-236小時的攻擊)增加。
• 按類型劃分的攻擊分布沒有任何變化：SYN泛濫仍然是主要工具(94.6%)，ICMP攻擊占3.4%，HTTP泛洪得不到0.1%。
• Linux僵尸網(wǎng)絡(luò)仍然領(lǐng)先于Windows僵尸網(wǎng)絡(luò)，占攻擊總數(shù)的95.39%(比上一季度增長0.61%)。

地理分布

今年以來攻擊次數(shù)排名前三的是：中國(71.2%，較第二季度增長6.08個百分點)，美國(15.3%，下降4.97個百分點)和中國香港(4.47%，下降1.61個百分點)。

新加坡，澳大利亞和印度都有所提升(分別從第五位上升到第四位，第六位上升到第五位，第七位上升到第六位)，南非則從第四位上升到第八位。

攻擊目標地理分布未發(fā)生明顯變化，前三名與上一季度相同：中國，美國，中國香港。中國目標份額增長了6.81個百分點。美國下跌3.57個百分點后，中國香港下跌2.07個百分點。

攻擊數(shù)量分析

本季度攻擊次數(shù)差大。在活動高峰時，DDoS打破了上一時期記錄：7月2日記錄了323次攻擊(4月為298次)，8月31日和9/1/7只發(fā)生了一次攻擊。

持續(xù)時間和類型

第三季度平均攻擊時間縮短。大部分攻擊(91.06%)持續(xù)了四個小時，4.89%持續(xù)5–9小時，2.25%持續(xù)10-19小時，2.09%持續(xù)20-49小時，0.4%持續(xù)50–99小時，0.08%持續(xù)100-139小時。

不同類型的攻擊分布沒有變化，SYN泛濫第三季度為94.6%，第二季度為94.7%。 ICMP小幅下降(從之前的4.9%下降到3.4%)，TCP攻擊占1.4%，UDP攻擊占0.6%，HTTP攻擊很少。

第三季度，Windows僵尸網(wǎng)絡(luò)份額繼續(xù)下降。

總結(jié)

與上一季度相比，網(wǎng)絡(luò)犯罪分子更喜歡歐洲的目標，日本和韓國等亞洲國家吸引力較弱，但對中國的興趣仍然很高。短期和超短期攻擊以及多日攻擊數(shù)量都有所增長。

預(yù)計Q4指標將與2019年底的指標相當，經(jīng)過近兩年的增長，DDoS市場或趨于穩(wěn)定。由于圣誕節(jié)和新年，第四季度通常是最熱鬧的時間段。年末攻擊通常比第三季度高30%左右。

原文鏈接：securelist