互聯網安全現狀Q2報告:舊(jiù)攻擊方式重受青睐,DDoS攻擊走向商(shāng)業化

發布日期:2017-08-29首頁 > 安全資(zī)訊

DDoS 攻擊再次加劇。Pbot 惡意程序僅利用 400 台僵屍就能發動高達 75 G 流量的攻擊; Miria 采用 Pay-for-Play 模式,走向商(shāng)業化,這都加劇了 DDoS 的威脅。具體(tǐ)的分(fēn)析報告表明,DDoS 攻擊的數量有所增加,整體(tǐ)趨勢呈現出頻(pín)率加快,單次攻擊規模減小(xiǎo)的特征。
近日,知(zhī)名内容分(fēn)發網絡(CDN)和雲服務提供商(shāng) Akamai Technologies 發布了《 2017 Q2 互聯網安全現狀報告》。 Akamai 對其全球 130 多個國家超過 233000 台服務器的網絡中(zhōng)檢測到的攻擊數據進行分(fēn)析,并在報告中(zhōng)記錄了分(fēn)析結果。結果顯示,與第一(yī)季度相比,第二季度的 DDoS 攻擊數目增加了約 28% ,而在 Q2 之前的三個季度, DDoS 的數量呈下(xià)降趨勢。

主要發現>
基礎設施層面(第三層、第四層)的攻擊增加了 27%;反射類攻擊增加了 21%;每個目标遭受的平均攻擊數目增加了 28%。遊戲網站是攻擊者最喜歡的目标,在 Akamai 檢測到所有 DDoS 攻擊中(zhōng),遊戲網站受到的攻擊占 81%。


20170828113424401.png

2017 Q1 與 Q2 DDoS 攻擊的行業分(fēn)布對比
Q2 期間,每個目标遭受的平均攻擊數目增加到了 32 次,其中(zhōng)某遊戲網站遭到了 558 起攻擊,相當于平均每天遭到 6 次攻擊。
2016 Q4 季度,大(dà)規模 DDoS 攻擊頻(pín)發;與之相比,目前的趨勢則是較小(xiǎo)規模的 DDoS 攻擊增多。攻擊者重新青睐舊(jiù)的攻擊手段:Marai 僵屍網絡越來越常用; Pbot 惡意程序也開(kāi)始回歸,這個惡意程序所産生(shēng)的迷你 DDoS 僵屍網絡能利用 400 台 bot 發動 75Gbps 流量的攻擊(算是本季度最高的記錄)。Pbot 可以感染 web 服務器,與 Mirai 感染大(dà)量小(xiǎo)型 IOT 設備所産生(shēng)的流量相比,Pbot 感染 web 服務器後,可以讓每台僵屍産生(shēng)的更多流量。
我(wǒ)們知(zhī)道大(dà)規模 DDoS 攻擊是可行的,但小(xiǎo)規模的 DDoS 攻擊是否會成爲趨勢?攻擊者們是否已經開(kāi)始采用更微小(xiǎo)、更精準的攻擊去(qù)避免關注和檢測?
關于 Mirai
Mirai 攻擊的傳播特性加劇了 DDoS 的增長趨勢。在 2016 年秋季,Akamai 也是第一(yī)批遭到 Mirai 攻擊的目标,此後便不斷成爲攻擊目标。由于長期遭受 Mirai 攻擊,Akamai 便對其進行了深入研究。

Akamai 檢測到的 Mirai 攻擊目标分(fēn)布
上圖是 Akamai 檢測到的所有 Mirai 攻擊的目标網絡。每個圓點的大(dà)小(xiǎo)代表 Mirai 向該目标發送的攻擊命令數量。圖中(zhōng)橙色加黑邊的圓點代表的就是 Akamai。這張圖表明,有一(yī)部分(fēn)目标遭遇到的是連續的攻擊,而有一(yī)部分(fēn)則隻遭到了幾次攻擊。圖中(zhōng)最大(dà)的圓點代表該目标接收到了超過 10500 次的攻擊命令;Akamai 遭到的攻擊次數是 1246 次。
很多人都認爲 Mirai 是單一(yī)的大(dà)規模僵屍網絡。但 Akamai 認爲,Mirai 事實上更類似于一(yī)群群小(xiǎo)規模的 bot 和 C&C 服務器。分(fēn)析了不同 Mirai C&C 服務器的一(yī)位分(fēn)析師表示,Mirai 僵屍網絡中(zhōng)不同的組成部分(fēn)攻擊不同的目标,其中(zhōng)一(yī)些 C&C 攻擊大(dà)量不同目标,另一(yī)些集中(zhōng)攻擊一(yī)個目标。
至少有一(yī)個僵屍網絡的運營者提供 bot 出租服務;這也許是一(yī)些僵屍網絡會攻擊數量龐大(dà)的 IP 地址的原因。
Akamai 表示将繼續研究并分(fēn)析 Mirai。就目前的情形來看,Mirai 似乎促成了 DDoS 的商(shāng)業化。大(dà)量來自單一(yī) C&C 的攻擊可以被歸類爲“付費(fèi)(pay-for-play)”攻擊,其特點是在短時間内集中(zhōng)攻擊某些 IP,而後休眠,之後又(yòu)重新出現,去(qù)攻擊新的目标。
DNS 流量可用于檢測潛在的惡意感染
自 2008 年的 Conficker 以來,惡意程序就使用 DGA (域生(shēng)成算法)隐藏 C&C 服務器設施。這些 DGA 每天生(shēng)成許多随機 IP 地址,攻擊者隻需從中(zhōng)選擇想要的域名并“及時”注冊,并在用完後丢棄,就能避開(kāi)追蹤。惡意程序本身也不知(zhī)道哪個 IP 地址是可以連接的正确地址,所以會逐個驗證去(qù)找到正确的地址。

Akamai 分(fēn)析了超過 250 萬個連接到其服務器的網絡中(zhōng)的流量,其中(zhōng) 140 個感染了惡意程序。“在研究惡意程序每小(xiǎo)時訪問的平均特定域數目時,發現被感染網絡的惡意程序訪問次數比未感染的網絡惡意程序訪問次數高出近 15 倍。”這是因爲惡意程序試圖訪問 DGA 随機生(shēng)成的 IP 地址,“因爲随機生(shēng)成的大(dà)部分(fēn)域都未被注冊,惡意程序在訪問它們時會造成大(dà)量幹擾。”
因此,DNS 監測就有可能成爲檢測入侵的手段。建議防禦者确使用帶有 DNS 檢測的安全檢測産品,如此可以看到企業網絡中(zhōng)不同領域的情況,進而增加檢測幾率、降低風險。如果想達到最好的防禦效果,除了網絡連接外(wài),也應該針對終端設備和内網設置安全控制措施。
其他發現
攻擊者會不斷探測企業防禦的薄弱環節。探測次數越多,發現漏洞的幾率越大(dà),黑客花費(fèi)的時間和精力也越多。Mirai 僵屍網絡攻擊、WannaCry 和 NotPetya 的 exploit 工(gōng)具、SQLi 攻擊不斷增多、Pbot 重現等,都表明攻擊者不但會使用新工(gōng)具,而且會重複利用以前較爲有效的工(gōng)具。
Akamai 還對 web 應用攻擊進行了分(fēn)析,結果發現:
埃及橫空成爲最大(dà)的 DDoS 攻擊流量來源地(32%),而前兩個季度占據來源地第二的英國則在本季度跌出了前五名,同時,英國公司遭到的 web 應用攻擊依然數量龐大(dà),達到 3260 萬次。遭到攻擊最多的是美國的公司,超過 1 億 2200 萬次。


20170828113427405.png

總體(tǐ)而言,2017 Q2 的 web 應用攻擊比上一(yī)季度增加了 5%,比去(qù)年增加了 28%,其中(zhōng) SQLi 攻擊占 51%,超過了一(yī)半。