2021年第一季度的DDoS攻击

卡巴斯基实验室 - 作者

亚历山大·古特尼科夫（ALEXANDER GUTNIKOV）

奥列格·库普列夫（OLEG KUPREEV）

叶卡捷琳娜·巴多夫斯卡娅（EKATERINA BADOVSKAYA）

原文地址：https://securelist.com/ddos-attacks-in-q1-2021/102166/

新闻概述

2021年第一季度出现了两个新的僵尸网络。一月份有关FreakOut恶意软件的新闻爆出，该恶意软件攻击了Linux设备。网络犯罪分子利用受害者设备上安装的程序中的几个严重漏洞，包括新发现的CVE-2021-3007。僵尸网络运营商使用受感染的设备进行DDoS攻击或挖掘加密货币。

另一个活跃的bot专注于具有ADB（Android调试桥）调试界面的Android设备。僵尸网络被称为Matryosh（来自俄语单词matryoshka（嵌套娃娃）），这是因为获取C＆C地址的过程很繁琐。它不是第一个通过调试界面攻击移动设备的机器人。该漏洞以前曾被ADB.Miner，Ares，IPStorm，Fbot，Trinity和其他恶意软件利用。

Q1也不是Mirai的又一次迭代。网络罪犯感染了网络设备，利用相对较新发现的漏洞以及一些未知的漏洞。根据发现攻击的研究人员的说法，该攻击可能已经影响了数千台设备。

在2021年第一季度，网络犯罪分子还发现了许多用于放大DDoS攻击的新工具。其中之一是Plex Media Server，用于在Windows，macOS或Linux计算机，网络连接存储（NAS），数字媒体播放器等上设置媒体服务器。事实证明，大约有37,000个安装了Plex Media Server的设备很容易受到攻击，这些设备可直接在线访问或接收从特定UDP端口重定向的数据包。由Plex Media Server生成的垃圾流量由Plex媒体服务发现协议（PMSSDP）请求组成，并将攻击放大了大约4.68倍。

一个主要的放大载体是用于远程连接Windows设备的RDP服务。使用侦听UDP端口3389的RDP服务器来放大DDoS攻击。在发布有关滥用远程访问服务的信息时，已发现33,000个易受攻击的设备。放大倍数明显高于Plex Media Server：85.9。为了防止通过RDP进行攻击，建议将RDP服务器隐藏在VPN后面或禁用UDP端口3389。

也就是说，如果VPN也容易受到放大攻击的影响，它就不是万灵药。例如，在2021年第一季度，攻击者追赶了Powerhouse VPN服务器。罪魁祸首是Chameleon协议，该协议可防止VPN阻塞并侦听UDP端口20811。服务器对该端口请求的响应比原始请求大40倍。该供应商了解到该问题后就发布了补丁。

las，并非所有易受攻击的程序和设备的用户都立即安装更新。例如，截至3月中旬，大约有4300台基于Web的服务器通过DTLS协议进行DDoS放大-此方法已在我们以前的报告中介绍过。易受攻击的设备配置错误或缺少具有所需设置的最新固件版本。网络罪犯毫不犹豫地将这种放大方法（以及其他大多数在上个季度发现的方法）添加到其DDoS租用平台库中。

网络犯罪分子不仅将非标准协议作为放大手段，而且将其作为进行DDoS攻击的工具，这对网络罪犯也很感兴趣。在第一季度，以DCCP（数据报拥塞控制协议）的形式出现了一种新的攻击媒介，该协议是一种用于在实时传输数据（例如视频流）时调节网络负载的传输协议。防止信道拥塞的内置机制并未阻止攻击者使用此协议向受害者发送多个连接请求。更重要的是，在垃圾数据包收件人方面，没有在线可访问的DCCP应用程序。攻击者很可能在随机寻找一种绕过标准DDoS保护的方法。

另一个不寻常的DDoS传播媒介是FBI警告有关紧急调度中心攻击事件增加的主题。TDoS（电话拒绝服务）攻击旨在使受害人的电话号码永久忙碌，从而使大量垃圾邮件泛滥。TDoS主要有两种方法：通过社交网络或论坛上的快闪族，以及使用VoIP软件的自动攻击。两者都不是新事物，但是针对关键的第一响应者设施的TDoS构成了非常严重的威胁。联邦调查局建议：“在无法使用911（北美紧急电话号码）的情况下，公众可以通过预先识别非紧急电话号码以及请求其所在地区紧急服务的替代方式来保护自己。”

总体而言，该季度富含媒体报道的DDoS攻击。特别是，今年年初，DDoS勒索软件继续攻击全球的组织。在某些情况下，他们展示了令人印象深刻的功能。例如，一家欧洲赌博公司遭到垃圾流量的轰炸，峰值速度为每秒800 GB。马耳他的互联网服务提供商Melita也遭受了勒索软件的攻击：勒索DDoS攻击破坏了服务。同时，勒索软件运营商已经开始在加密之前窃取受害者的数据，他们也将目光投向了勒索软件DDoS。去年年底，不愿谈判的受害者对网站进行了第一次攻击。一月份，Avaddon的运营商紧随其后的是三月，随后是Sodinokibi（REvil）勒索软件背后的组织。

到2021年第一季度，加密货币价格的上涨可能会刺激赎金狂潮。2月初，特斯拉宣布对比特币进行大规模投资，从而引发了对数字货币的更多炒作。数个加密货币交易所无法应付随之而来的注册涌入并造成停机。也没有回避DDoS：英国交易所EXMO报告对其系统进行了攻击。公司代表承认，不仅该站点受到了影响，而且整个网络基础设施也受到了影响。

2021年第一季度，由于许多用户仍在家中工作（和娱乐），网络犯罪分子确保将需求最大的资源作为目标。除了上述的Melita之外，奥地利的提供商A1 Telekom（德语）以及比利时电信公司Scarlet遭受了DDoS攻击（尽管没有勒索软件组件）。在这两种情况下，客户都面临通信中断，而在A1 Telekom的情况下，全国各地的用户都遇到了问题。

在整个季度中，网络罪犯同样是网络犯罪分子的目标。例如，暴雪在1月初报告了DDoS攻击。大量的垃圾流量导致玩家，尤其是那些试图连接到魔兽世界服务器的玩家，经历了延迟。也有玩家被踢出服务器的情况。本月底，网络犯罪分子袭击了英雄联盟。尝试以“冲突”模式进入锦标赛的玩家遇到登录问题和间歇性连接失败。2月份，DDoS攻击暂时使冰岛提供商Siminn的电视服务瘫痪。在三月，LittleBigPlanet服务器几天都不可用。玩家指责攻击者心怀不满。

到2021年初，许多学校已切换到校园模式或混合模式，但这并没有阻止DDoS攻击。直到现在，网络犯罪分子并没有让垃圾邮件泛滥到在线平台上，反而试图剥夺教育机构的互联网访问权限。例如，2月份，马萨诸塞州温思罗普和新泽西州曼彻斯特镇的美国学校遭到DDoSers袭击。在第二起案件中，袭击迫使各机构暂时返回远程学校。3月，位于荷兰吕伐登的一所学校CSG ComeniusMariënburg也成为DDoS攻击的受害者。这次袭击是由学生自己组织的。他们中的两个很快被查明，但学校官员怀疑还有其他同谋。

第一季度最重要的事件是COVID-19疫苗接种。随着新的人群有资格参加疫苗接种计划，相关的网站遭到了中断。例如，1月底，美国明尼苏达州的一个疫苗注册网站在重负荷下坠毁，该事件恰好与老年人，教师和育儿工作者的任命开始.2月，该疫苗发生了类似的故障马萨诸塞州的退休门户网站，退休人员，患有慢性病的人以及负担得起的高级住房的工作人员试图报名参加。在这两种情况下，都不确定是DDoS攻击还是合法流量涌入。都是一样，网络安全公司Imperva记录了机器人活动的激增 在医疗保健资源上。

没有政治性的DDoS攻击，第一季度也不是。今年2月，网络犯罪分子充斥着大量垃圾邮件，充斥着荷兰政客卡蒂·皮里（Kati Piri）和工党（工党）的网站。土耳其集团Anka Nefeler Tim声称对此负责。3月下旬，DDoS攻击了中国各国议会联盟（IPAC）的网站。该组织的代表指出，这并不是在活着的记忆中第一次发生这样的攻击。最重要的是，俄罗斯和乌克兰的几个政府机构在2021年初报告了DDoS攻击。受害人包括俄罗斯联邦监狱管理局和国民警卫队的网站，基辅市政府，乌克兰安全局，国家安全与防卫委员会以及其他乌克兰安全与防卫机构。

自2021年初以来，DDoS攻击已成为俄罗斯和国外许多媒体的攻击目标。一月份，攻击者击倒了哈萨克斯坦报纸《瓦拉斯特》和巴西非营利媒体组织RepórterBrasil的网站。在第二种情况下，袭击持续了六天。位于俄罗斯城市乌里扬诺夫斯克的Ulpressa门户遭受了持续数周之久的攻击。该网站每天在高峰时段遭到攻击。该KazanFirst新闻门户网站最初设法击退垃圾流量流，但攻击者改变策略，最终采取了网站离线。墨西哥杂志也有类似情况Espejo：管理员转移了首次尝试关闭站点的尝试，但随后又进行了更强大的DDoS浪潮。

但是，在2021年第一季度遭受DDoS攻击的不仅是合法组织，在一月份，网络犯罪分子欢迎的匿名Tor网络上的许多资源都遭到了破坏。由于针对暗网中特定站点的DDoS攻击，Tor网络可能已超载。2月的目标是大型地下论坛Dread，除其他外，该论坛用于讨论黑市交易。论坛管理部门被迫连接其他服务器以防御攻击。

但是，本季度并不是所有的厄运和阴霾：一些DDoS组织者的确暴露了这一点。例如，一对DDoSed击败他们的高阶Apex Legends球员最终被禁止。去年年底曾试图破坏迈阿密戴德县公立学校的在线学习系统的青少年受到了更为严厉的惩罚。他逃脱了牢狱之灾，但被判处30个小时的社区服务并受到缓刑。

季度趋势

在2021年第一季度，DDoS市场相对于上一个报告期的增长超过了我们的30％左右的预测，略高于40％的水平。因此，有趣的是，43％的攻击发生在通常相对平静的1月份。

DDoS攻击的相对数量，分别为2021年第1季度，2020年第1季度和2020年第4季度。2020年第1季度的数据为100％（下载https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/05/10081327/01-en-ddos-report-q1.png）

DDoS活动的意外激增可以归因于总体上加密货币的价格，尤其是比特币的价格，该价格在2021年1月开始下跌。前几年的实践表明，加密货币的快速增长之后也出现了类似的快速下降。似乎最聪明的僵尸网络所有者今年曾预期会有类似的行为，并在价格下降的第一个迹象时又恢复为DDoS。但是，比特币价格有时会有自己的想法：2月份再次上涨，3月份达到稳定水平，并在发布时一直处于高位。因此，DDoS市场在2月和3月下降。

请注意，这两个月与我们的预测完全一致：DDoS市场相对于第四季度显示略有增长，但不超过30％。另一个好奇之处是，今年2月和3月的指标与2020年1月（通常是平静的1月）非常相似（在几个百分点之内）。在2019年看到了相同的图片（异常的一月，然后是标准的二月和三月）。

DDoS攻击的相对数量，2019年至2021年。2019年数据取为100％（下载https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/05/10082216/02-en-ddos-report-q1.png）

2019年第一季度相当稳定，几乎是基准标准，因此可以用来证明偏差。去年2月和3月，DDoS活动呈爆炸性增长，我们将并继续归因于冠状病毒的爆发，向远程工作的转换以及许多新的易受DDoS攻击的目标的出现。与2019年的数据相比，今年1月的异常值同样明显。

请注意，第一季度的总体数字与去年同期相比存在显着滞后。可以通过上述2020年异常高的数字来解释这种差距。在过去的一年中，情况发生了变化：组织已经加强并了解了如何保护远程基础结构，因此，今年第一季度简直是平常，没有任何扭曲。人数减少主要是由于前一年的异常，而不是当前一年的下降。

同时，相对于2020年底（从44.29％到44.60％）及其开始之初，第一季度智能攻击的份额有所增加。这也间接证实了从DDoS重定向容量的理论，这是以易于组织和防御的攻击为代价的，因为它们已变得对僵尸网络运营商无利可图。

2021年第一季度，2020年第一季度和2020年第四季度智能攻击所占的比例（下载https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/05/10082224/03-en-ddos-report-q1.png）

在2020年第四季度报告中，我们注意到短期攻击持续时间呈下降趋势，而长期攻击持续时间呈上升趋势。这一趋势在本季度也持续存在，从持续时间数据与上一季度的第四季度相比可以清楚地看出这一趋势。我们谨慎地认为这种趋势将在未来继续下去。

DDoS攻击持续时间，2021年第一季度，2020年第一季度和2020年第四季度。2020年第一季度的数据取为100％（下载https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/05/10082232/04-en-ddos-report-q1.png）

统计数据

方法

卡巴斯基打击网络威胁的历史由来已久，包括各种类型和复杂性的DDoS攻击。公司专家使用卡巴斯基DDoS智能系统监控僵尸网络。

DDoS智能系统是卡巴斯基DDoS保护解决方案的一部分，可拦截和分析从C＆C服务器发送给机器人的命令。该系统是主动的，不是被动的，这意味着它不等待用户设备被感染或命令被执行。

该报告包含2021年第一季度的DDoS Intelligence统计信息。

在此报告的上下文中，假设僵尸网络活动周期之间的间隔不超过24小时，则事件是单独的（单个）DDoS攻击。例如，如果相同的Web资源被相同的僵尸网络攻击间隔为24小时或更长时间，则此事件被视为两次攻击。来自不同僵尸网络但针对一种资源的Bot请求也算作单独的攻击。

用于发送命令的DDoS攻击受害者和C＆C服务器的地理位置由它们各自的IP地址确定。此报告中DDoS攻击的唯一目标数是按季度统计中的唯一IP地址数计算的。

DDoS Intelligence统计信息仅限于卡巴斯基检测和分析的僵尸网络。请注意，僵尸网络只是用于DDoS攻击的工具之一，并且本节并不涵盖在审核期间发生的每一个DDoS攻击。

请注意，从2020年第四季度开始，其活动被包括在DDoS Intelligence统计信息中的僵尸网络的数量有所增加。这可能会反映在本报告中提供的数据中。

季度总结

在2021年第一季度：

• 美国在DDoS攻击数量和独特目标数量上都使中国从头把交椅。

• 一月份，我们发现DDoS活动激增，达到每天1,800多次攻击的峰值：第10日为1,833，第11日为1,820。一月份的其他几天，每天的攻击次数超过1,500次。

• 攻击在星期几中的分布相当均匀：活动最活跃和最不活跃的日子间隔只有2.32 pp。

• 短时间（少于4小时）的DDoS攻击数量显着增加。

• 这次最普遍的是UDP泛洪（41.87％），而SYN泛滥降至第三位（26.36％）。

• Linux僵尸网络继续占几乎所有DDoS流量（99.90％）。

DDoS攻击动态

2021年第一季度开始了一个动态的开始。DDoS活动在1月10日至11日达到峰值，当时每天的攻击次数超过1,800。一月发布了几天，我们的系统记录了1500多次攻击。如上所述，活动的激增最有可能是由于比特币价格的短暂下跌。

在暴风雨之后，经历了一个相对平静的2月，从13日到17日连续数天，DDoS攻击的每日速率保持在500以下。最安静的一天是2月13日，当时我们记录了346次攻击。3月初出现了另一个高峰，比1月的高峰更为温和：3日攻击1,311次，4日攻击1,290次。请注意，和以前一样，这是在比特币价格下跌之前。

2021年第1季度DDoS攻击数量的动态变化（下载https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/05/10082302/07-en-ru-es-ddos-report-q1.png）

在2021年第一季度，按星期几进行的DDoS攻击比上一报告期所传播的均匀得多。最风暴和最安静的日子之间的差异为2.32 pp（2020年第四季度为6.48 pp）。星期六（15.44％）在DDoS攻击中占最大份额，而上个季度的领导者星期四（13.12％）这次是最不活跃的一天。总体而言，在2021年的前三个月中，从周五到周一的天数份额有所增加，而周三则略有下降。

2020年第4季度和2021年第1季度按星期几分布的DDoS攻击（下载https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/05/10082311/08-en-ddos-report-q1.png）

DDoS攻击的持续时间和类型

与2020年第四季度相比，第一季度的平均DDoS攻击持续时间减少了一半以上。持续不到四个小时的非常短的攻击比例显着上升（从上一报告期的91.37％降至71.63％）。相反，较长时间的攻击所占比例下降了。持续5–9小时的攻击损失7.64 pp，占所有攻击的4.14％；只有2.07％的事件持续10–19小时，而1.63％的事件持续20–49小时。第一季度持续50-99小时的攻击不到总数的1％。长期（0.07％）和超长期（0.13％）攻击的份额也略有下降。

2020年第4季度和2021年第1季度按持续时间分布的DDoS攻击（下载https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/05/10082319/09-en-ddos-report-q1.png）

攻击类型的分布在继续变化。在2021年第一季度，看似无懈可击的领导者SYN Flood（26.36％）失去了排名的控制力。这种DDoS类型减少了51.92 pp，排名第三。同时，UDP（41.87％）和TCP洪泛（29.23％）在攻击者中越来越流行。排名排名靠前的GRE（1.43％）和HTTP Flooding（1.10％）也实现了适度的增长。

僵尸网络分布地理

就C＆C服务器托管而言，传统的领导者是美国（41.31％），第一季度也不例外。与2020年第四季度相比，它的份额增加了5.01个百分点。银和铜再次回到德国（15.32％）和荷兰（14.91％），只是这次改变了位置：荷兰的份额下降了，而德国的份额几乎翻了一番。

罗马尼亚从第四位下降到第七位（2.46％），仅次于法国（3.97％），英国（3.01％）和俄罗斯（2.60％）。加拿大保持第八位（1.92％），而新加坡和塞舌尔则排名第一，均为第一季度的1.37％。

2021年第一季度按国家/地区分布的僵尸网络C＆C服务器（下载https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/05/10082344/12-en-ddos-report-q1.png）

结论

第一季度始于加密货币价格下跌导致DDoS活动激增，但总体而言相对平静。同时，我们观察到了几次意外的改组。尤其是，美国在DDoS攻击次数和目标数量上都将中国列在首位。长期以来，最常见的攻击类型是SYN泛洪，这次让位给了UDP和TCP。

至于第二季度的预测，DDoS市场目前没有明显的变化。按照惯例，很大程度上取决于加密货币的价格，目前加密货币的价格创历史新高。此外，前几年的经验表明，第二季度通常比第一季度平静。因此，除非有任何冲击，否则我们可以预期DDoS市场不会有太大变化，甚至可能会略有下降。就是说，如果加密货币市场急剧下跌，我们预测DDoS活动将会增加，这主要是由简单，持久的攻击所驱动。

本文始发于微信公众号（Ots安全）：2021年第一季度的DDoS攻击