1 概述
本报告由安天捕风小组与电信云堤联合发布,本年度报告主要以安天捕风蜜网和电信云堤流量监测数据为基础,针对2017年发生的僵尸网络DDoS(分布式拒绝服务)攻击事件进行汇总分析。报告给出了2017年全球范围内僵尸网络发起DDoS攻击的事件分布、地区分布情况以及攻击情报数据,并对黑客的攻击方法、攻击资源、僵尸网络家族进行了详细分析。
从整体的攻击情报数据来看,全球DDoS僵尸网络全年攻击态势呈“山”形,其主要爆发在第二季度的4、5、6三个月;在比特币交易价格暴涨期间,大部分DDoS僵尸网络被更换为挖矿僵尸网络,所以第四季度则处于相对低迷的阶段。
根据全球数据统计,2017年,美国境内发起的DDoS攻击数量是最多的,占全球DDoS攻击总事件的37.06%;而中国则成为了遭受DDoS攻击的重灾区,承受了全球DDoS攻击数量的84.79%(占整个亚洲DDoS攻击量的98.63%)。DDoS攻击我国的事件,37.47%来源于美国,27.77%来源于我国国内,23.28%来源于法国,10.17%来源于韩国。
黑客发起DDoS攻击事件采用的主流僵尸网络家族为Xor(Xor_Ex和Xor_D)家族,黑客通过控制Xor家族僵尸网络发起的DDoS攻击占全球DDoS攻击的51.04%。SYN flood为目前黑客使用的主流DDoS攻击方式,Xor、BillGates、Mayday等大型的僵尸网络家族的攻击方式均以SYN flood为主。物联网僵尸网络爆发式增长是2017年的一个趋势,由于Mirai[2]开源导致众多IoT变种出现,同时传统的Windows、Linux僵尸网络家族也向IoT平台进行拓展。
2017年僵尸网络活动的主要表现为:
以Linux僵尸网络为主流
由于Linux服务器所在环境带宽大、长时间在线、安全措施落后,该类僵尸网络具有稳定性且易形成规模化。
IoT僵尸网络大发展
开源Mirai导致物联网僵尸网络变种快速增加,同时传统的Windows平台家族僵尸网络发觉IoT的规模和攻击威力后,也快速向IoT平台演进。Jenki、台风等僵尸家族就是典型代表。
具有明显的趋利性
今年以来比特币等电子加密货币快速发展,僵尸网络作为网络犯罪组织的重要工具从DDoS攻击转到挖矿,Linux、IoT僵尸网络成为DDoS攻击、挖矿的主流。
DDoS攻击的受害者主要分布在中国和美国。近年来中国互联网事业飞速发展,数据中心和云服务发展迅速,网络服务需求与日俱增,导致勒索和因同行竞争导致的恶意攻击频繁。
2 DDoS僵尸网络攻击情报
通过对2017年捕获的DDoS攻击情报进行统计分析,可得到全球及国内DDoS攻击情报在这2017年度的分布情况,如下图所示。
2.1 DDoS僵尸网络DDoS攻击情报全球分布情况
跟据监测情报数据统计分析, 2017年全球各国发起的DDoS攻击分布如下图。其中,C2位于美国境内对各国发起的DDoS攻击数为5800多万,占全球各国发起DDoS攻击总数的37.06%;C2位于中国境内对各国发起的DDoS攻击占总比的34.19%;C2位于法国境内对各国发起的DDoS攻击占比19.10%。
2.2 DDoS僵尸网络发起DDoS攻击全国分布情报
对国内各地区发起的DDoS攻击情报进行分析,可得如下图所示的各省份DDoS(间歇性)攻击量分布情况。其中,江西省内发起的DDoS攻击量为1600多万,在全国占比最高,为30.40%;香港特别行政区内发起的DDoS攻击量为1300多万,在全国占比中位列第二,为26.07%;广东省内发起的DDoS攻击量为1200多万,在全国占比中中位列第三,为23.12%。
3 DDoS攻击带宽流量情报信息
对2017年1月到12月份国际、互联互通、电信来自三方的攻击总带宽流量进行统计分析可得,国际和互联互通发起的TB带宽流量均稳定在10000左右;而通过电信发起的TB带宽流量在前半年一直处于上升趋势,5月份时出现了峰值,达到56397.336TB,而后半年的带宽流量开始下降并趋于平稳。攻击带宽流量数据与攻击情报数据的“山”形趋势吻合。
据数据统计分析,2017年DDoS攻击持续时间多数少于30分钟,占每个月攻击的70%左右。
12个月中,当月单个攻击目标被DDoS攻击的流量峰值排名前三的分别是在5月份、3月份和4月份。5月份的攻击目标单次攻击峰值最大为1393.66 Gbps,3月份的攻击目标单次攻击峰值最大为953.78 Gbps,4月份的攻击目标单次攻击峰值最大为798.00 Gbps。分段攻击峰值在每个月中占比情况如下图,其中攻击峰值普遍集中于50G以内。
攻击带宽流量Top 10的省份在每月攻击总带宽流量中的占比情况如下图。数据显示,在12个月中,浙江的攻击带宽流量在每个月的攻击带宽流量中都占据了较大的比例,福建和湖北在后半年的攻击带宽流量中有大幅度提升。
4 DDoS僵尸网络C2情报信息
4.1 DDoS僵尸网络C2攻击情报
4.1.1 DDoS僵尸网络C2分布
对2017年所捕获的DDoS攻击C2信息进行追溯并分析,发起DDoS攻击的C2在全球范围内的分布情况如下。其中位于中国的C2最多,为14744个,占比全球C2分布的58.36%;其次是美国,占比全球C2分布的24.98%;排在第三位的是韩国,位于韩国的C2有1039个,占比全球C2分布的4.11%。
对每一个C2进行攻击目标的溯源统计,并按照C2所在国家进行划分,得出以下统计数据如下图所示。可以看到,各国C2产生的攻击事件数由高到低、排名前三的分别是法国(729343个)、美国(231916个)和中国(65840个)。
对攻击事件数TOP100的C2进行国家划分,71个C2位于法国,27个C2位于美国,其余2个C2分别位于韩国和瑞士,产生的攻击事件最多的一个C2来自法国,该C2存活时间为7494.9个小时,攻击事件数量达到19172个。
对国内C2进行统计,得出以下C2在各省份的分布统计图。其中位于江苏省的C2最多,为3420个,占比国内C2总数的23.20%;其次是位于香港的C2,有2632个,占比国内C2总数的17.85%。
对国内的C2进行溯源分析,并按省份划分得出以下各省份C2的攻击事件量统计数据,产生攻击事件个数排前三的省份,由高到低依次为香港(19687个)、广东(18065个)和江西(10750个)
对国内攻击情报TOP100的C2按照省份划分,其中31个C2位于香港,19个C2位于广东,14个C2位于江苏,7个C2位于浙江,6个C2位于福建,6个C2位于江西。产生攻击事件数最多的一个C2位于香港,其产生的攻击事件数为6162个,该C2的存活时间为508.05个小时。
4.1.2 DDoS僵尸网络C2存活时间
国内C2的存活时间在1000小时以内的占比40%,超过6000小时的接近20%;国外C2的存活时间在1000小时以内的占比80%,超过1000小时的仅占比20%。可见,国内C2的存活时间超过1000小时的数量是国外的3倍之多。
4.2 黑客攻击工具
4.2.1 DDoS僵尸网络木马传播布
无论是何种类型的僵尸网络,“肉鸡”都是执行各种攻击的基础,所以拓展“肉鸡”便是黑客要进行的第一步,而常见的“肉鸡”拓展方法主要有以下几种:
1. 弱口令爆破。通过常见远程服务端口(例如22、2222、23、2323、1433、3306、3389端口)的自动化弱口令爆破,执行远程命令植入木马。通过安天捕风蜜网捕获的爆破数据统计,上述端口每天的爆破量在300万到500万之间,且每次新一波物联网僵尸网络爆发时,爆破数据都会呈几何式上升,特别是在国外相关的物联网类型僵尸网络上比较常见。
2. 漏洞扫描。通过自动化漏洞利用,执行远程命令拓展“肉鸡”已经是新趋势,这一点在Mirai家族的僵尸网络上已经展示得淋漓尽致。下表为Mirai变种利用的部分漏洞信息及受影响设备情况。
对于导致德国断网的SOAP漏洞,黑客尝试通过对网络时间协议、NTP服务器名称字段执行注入式攻击,在易受攻击的设备中远程执行恶意命令。最终,NTP服务器名称会解析为引发RCE漏洞的命令。恶意代码可以通过TR-069协议插入到NTP服务器名称字段。互联网服务提供商(ISP)可以利用此协议远程管理网络中的设备。遭受攻击的设备可以接收来自互联网的TR-064命令,进而改变NTP设置。TR-064基于HTTP和SOAP,其默认端口为TCP 7547。
Embedthis公司的Web服务器 GoAhead爆出远程代码执行漏洞CVE-2017-8225[3]。当与glibc动态链接器结合使用时,可以利用特殊参数名称,如LD_PRELOAD,就可以实施远程代码执行。攻击者可以在请求的正文中POST其共享对象的有效Payload, 并使用/proc/self/fd/0引用它。GoAhead是一个开源(商业许可)、简单、轻巧、功能强大、可以在多个平台运行的嵌入式Web Server。GoAhead Web Server是为嵌入式实时操作系统(RTOS)量身定制的Web服务器,支持多种操作系统,包括eCos、Linux、LynxOS、QNX、VxWorks、WinCE、pSOS等。
磊科后门利用是2014年爆出的后门利用方法,目前在捕获的攻击数据中依旧有出现。
据CheckPoint披露,IoTroop恶意利用多种漏洞进行入侵,包括Zyxel(路由器)、Dlink(路由器)、Netgear(路由器)、Linksys(路由器)、Goahead(摄像头)、JAWS(摄像头)、AVTECH(摄像头)、Vacron(NVR)设备的漏洞。
3. 捆绑下载暗藏后门。可通过激活工具捆绑木马,魔釉DDoS木马[1]就是利用小马激活工具捆绑来进行大规模传播。在很多非正规的应用网站中,很多“绿色”小应用程序中被黑客绑定了木马,木马会随着小应用程序的扩散使用而不断感染设备拓展“肉鸡”。捆绑传播方式,因为“绿马甲”的身份可以有效地避免杀毒软件的查杀,所以通过这种传播方式形成的僵尸网络,经过时间的积累往往会形成一个庞大的“肉鸡”群。
4. 交叉感染。通过已有的僵尸网络传播新木马,实现不同僵尸网络的交叉传播。由于这种方式可以实现快速部署成型的僵尸网络,所以在常见的DDoS僵尸网络中出现得特别频繁。
4.2.2 全球各DDoS家族僵尸网络威胁情报
对2017年捕获的样本进行统计分析得出,捕获到的Gafgyt僵尸网络家族的样本最多,为26083个;其次是Nitol,捕获样本为10667个。如下图所示:
对全球的DDoS攻击以及黑客控制的僵尸网络家族进行统计分析可知,黑客最为惯用的僵尸网络家族为Xor_Ex家族,其利用Xor_Ex家族发起的DDoS攻击达6500多万次,占使用的所有家族的34.92%;其次是BillGates家族,黑客利用该家族发起的DDoS攻击达3400多万次,占使用的所有家族的21.87%;排名第三的家族是Mayday家族,占使用的所有家族的19.44%。
对全国DDoS攻击占比排名前6位的僵尸网络家族的攻击行为进行统计分析,可得出以下僵尸网络家族在使用的攻击方式分布情况。
1、Xor家族
Xor家族是全国甚至全球近两年来攻击态势最为活跃的DDoS僵尸网络家族。根据目前掌握的情报显示,操作Xor家族僵尸网络的黑客为了隐藏身份,从2016年下半年开始将大部分僵尸网络C2逐渐向国外转移,而且C2对应的设备基本是通过非法渠道获取远程控制权限进行部署,极大增加了对黑客的溯源难度。
2、BillGates家族
BillGates又名Setag/Ganiw,其活跃度仅次于Xor家族。情报数据显示,BillGates家族的活跃事件主要集中在上半年,且攻击类型主要是SYN flood;7月中旬后,随着虚拟货币交易价格大幅攀升,大部分BillGates家族的僵尸网络开始转换为挖矿僵尸网络从事挖矿。