卡巴斯基：2020 Q3 DDoS攻击趋势报告

一、概述

从DDoS的角度来看，第三季度相对平静。即使网络犯罪分子在Q2持续对一些老的恶意软件进行开发，但他们并没有明显的创新。例如，某个DDoS僵尸网络新增了对Docker环境的攻击方法。犯罪分子渗透到目标服务器，创建了一个受感染的容器，并在其中放置了与挖矿工具匹配的Kaiten僵尸工具(也称为Tsunami)。

Lucifer僵尸网络在上个季度首次被研究人员发现，目前已知该僵尸网络与DDoS攻击和加密货币挖矿有关，在本季度该僵尸网络进行了更新，现在不仅可以感染Windows，还会感染Linux设备。新版本在进行DDoS攻击的过程中，可以使用所有常见协议(TCP、UDP、ICMP、HTTP)并仿冒流量源的IP地址。

Mirai漏洞的攻击者正积极利用新的漏洞。7月，趋势科技的同事们发现了一个僵尸网络的变种，该变种利用了Comtrend VR-3033路由器中的CVE-2020-10173漏洞，从而影响存在漏洞的路由器以及与之连接的网络。然后在8月，有消息声称Mirai变种利用CVE-2020-5902漏洞攻击BIG-IP产品。BIG-IP产品包括防火墙、负载均衡、访问控制程序和僵尸网络防护系统。该漏洞可以用于执行任意命令、上传和删除文件、禁用服务以及运行JavaScript脚本。

对于实际的DDoS攻击来说，第三季度似乎不是那么瞩目。其中比较关键的是各类APT团体背后攻击者开展的勒索软件攻击，例如FancyBear、Armada、Collective、Lazarus等。勒索分子向世界各地的组织发送比特币勒索邮件，索取5比特币到20比特币不等，并威胁对方一旦不付款就会进行强大且持续的DDoS攻击。随后，受害者会被大量垃圾邮件淹没，由此说明这个威胁远未消除。

在8月和9月初，新西兰的一些组织遭受攻击，包括新西兰证券交易所(NZX)，该组织已经被攻击下线数日。受害者还有印度银行YesBank、Paypal、Worldpay、Braintree和其他金融公司。另一波以DDoS作为威胁的勒索攻击影响了许多欧洲的ISP。但是，不太确定这是否属于同一个恶意组织所为。9月底，匈牙利的金融和电信公司遭受了强大的DDoS攻击。根据Magyar Telekom，这些恶意流量来自俄罗斯、中国和越南。不清楚攻击者是否在攻击过程中进行了勒索。

9月底，公共航班追踪服务遭受了一系列DDoS攻击，受害者包括瑞典网站Flightradar24和英国平台Plane Finder，这些网站和平台可以实时查看飞机的动态。这些服务的用户需求量非常大——接机人可以查询航班是否准点，媒体在发布与飞机相关的事件时也会使用这些信息。由于这次攻击，直接导致这些服务只能间断地工作，其官方Twitter帐户也公布了遭受攻击的消息。例如，Flightradar24的推文表示，他们在短时间内遭受了三次以上的攻击。美国公司FlightAware也公布了服务可用性存在问题，但没有具体说明是由于攻击还是由于故障。

在第三季度也存在针对媒体的传统攻击。俄罗斯电视台Dozhd在8月24日发生了一起DDoS攻击事件。未知的网络攻击者尝试在白天和晚上的新闻时段对其进行攻击，使资源不可用。9月初，网络犯罪分子将新闻机构UgraPRO作为目标。据媒体报道，攻击流量来自俄罗斯和国外的IP地址，每秒的请求数量超过5000。在9月下旬，新闻门户网站《土库曼斯坦纪事报》和《俄罗斯卫星通信社》报告了对其网站的攻击。

最后，由于俄罗斯的新冠疫情大流行和相关限制，俄罗斯毕业生参加的统一国家考试已经推迟到今年7月份。这个事件也影响了DDoS方面，在7月中旬，教育和科学领域的联邦监督服务局(Rosobrnadzor)报告了针对考试结果查询门户的攻击活动。但幸运的是，此时考试结果还没有上传，因此攻击是毫无意义的。

在本学年开始时，可以预期会发生更多与学校相关的攻击。例如，在佛罗里达州的迈阿密戴德县，DDoS的浪潮席卷了当地教育机构的网站，导致在线课程中断。有一名青少年网络犯罪分子遭遇了近乎实时的打击，FBI进入学校进行搜捕，该网络犯罪分子并在9月3日被逮捕。而其他肇事者仍在追查中。

提到FBI，该机构在第二季度面向企业发布了两条防范DDoS的告警。在7月，他们发布了一份文档，其中简要介绍了新的攻击方法、检测方式和预防措施。8月下旬，他们发布了有关DDoS勒索活动的详尽报告，并再次提供了应对此类攻击的技巧。

二、季度趋势

在第三季度，我们观察到所有指标与上一季度相比均大幅下降。这很可能是由于第二季度出现了异常的DDoS活动，而不是本季度攻击活动有所平息。如果我们将本季度与2019年同期数据进行比较，会明显发现总攻击次数是之前的1.5倍，而智能攻击的次数几乎翻了一番。

2020Q2、2020Q3、2019Q3 DDoS攻击数量对比，其中将2019Q3的数据作为100%参考值：

与上一季度不同，第三季度可以说是正常的，我们终于在这个季度迎来了原本应该在5月和6月出现的下降趋势。我们原本预计这种情况会在2020年初出现，但实际却在第二季度出现了异常的高点。我们可以通过以下两个因素来解释这种趋势：

(1) 在新冠病毒大流行期间，全球市场比较稳定。从实施检疫措施到现在已经9个月了，逐步转移到远程工作已经不再是大新闻。公司已经适应了新的工作模式，IT部门也已经填补了远程基础架构中存在的漏洞，并对关键节点进行了加固。因此，适合攻击的目标就变得更少了。

(2) 加密货币市场的增长。例如，以太坊价格图表可以参考下图，从中我们能看到第三季度的明显上涨。加密货币挖矿和DDoS攻击都是竞争的市场。有很多僵尸网络可以同时实现这两种功能，并且其运营商会根据潜在收益在不同时间转换其目标。在第三季度，某些僵尸网络可能已经进入到挖矿模式。

2019年10月13日到2020年10月13日以太坊价格变化情况(