0
| 本文作者: 李勤 | 2019-02-10 11:15 |
人們對于一般黑客的刻板印象是:單打獨斗,神出鬼沒。事實上,還有一群黑客團伙作戰。
僵尸網絡近年來已經成為企業的大敵,雷鋒網宅客頻道從綠盟科技發布的《IP團伙行為分析報告》中發現,有這樣一群僵尸機“捆綁銷售”,常年堅持多渠道僵尸網絡活動和 DDoS 攻擊,“不拋棄”“不放棄”。
這群團伙中的“C位成員”(僅占攻擊者中 2%)以一己之力發起了 20%的攻擊,“核心成員”(僅占攻擊者中的20%)發起了 80%的攻擊,而且全員酷愛反射攻擊,特別是大流量攻擊。
安全研究者將這樣的團體稱為“IP團伙”(IP Chain-Gang)。雷鋒網了解到,每個 IP 團伙由某個或者一組黑客控制者,因此同一個團伙在不同的攻擊中必然會表現出相似的行為。
綠盟科技根據近兩年所搜集的 DDoS 攻擊數據、多個 IP 團伙并研究了他們的團伙行為,推出了《IP團伙行為分析》,希望通過研究團伙的歷史行為建立團伙檔案,以便更準確地描述其背后一個或多個攻擊控制者的行動方式,同時更有效地防御這些團伙未來可能發起的攻擊,防患于未然。
下圖展示了 IP 團伙規模的分布情況。大多數團伙成員不到1000人,但也有一個團伙的成員高達26000多人。
圖1 IP團伙規模
下圖展示了各團伙發起的 DDoS 攻擊事件的數量,按事件次數統計。毫不意外,大約 20%的團伙發起了 80%的攻擊。
圖2 攻擊總次數(按各團伙攻擊統計)
攻擊事件次數
下圖展示了同一團伙所有成員的總累計攻擊時長的分布情況。有些團伙的總攻擊時長高達 5000 多天( >13“年”),但多數團伙不到 1000 天。
圖3 團伙總攻擊時長
人們一般覺得較大的團伙會發動較多攻擊時間,且產生的攻擊總流量也較大,但事實并非如此。
如下圖所示,與更大規模的 IP 團伙相比,擁有較少成員的團伙可能會發動更多攻擊并發出更多攻擊流量。這說明,特定團伙中的攻擊者可能擁有更多渠道可以利用。
下圖展示了按總流量排名的前 10 個團伙,攻擊總流量以不同大小的橙色氣泡表示。
圖4 團伙規模、攻擊次數及攻擊總流量對比
如上圖所示,發動攻擊次數最多(> 50K)的團伙僅擁有 274 名成員,超過了所有其他團伙,而最大的氣泡(即攻擊總流量最大)對應的團伙攻擊次數竟然較少(<10K)。
NTP反射攻擊由于出色的放大性能,在大流量攻擊中最常使用。SYN Flood攻擊方法較為簡單,使用較為廣泛。這兩種攻擊再加上UDP Flood和SSDP反射攻擊構成了最主要的攻擊類型。
圖5 攻擊類型與攻擊總流量
在混合攻擊中,UDP flood是常用的一種攻擊方式。下圖展示了某一團伙采用的攻擊方法,該團伙大多僅采用一種攻擊方法(92.8%),在混合攻擊中,75%的采取了兩種攻擊方法,4%的采取了四種方法。
圖6混合攻擊中各種攻擊方法的組合(某一攻擊團伙)
圖7 混合攻擊中各種攻擊方法的組合(某一攻擊團伙)
反射攻擊,特別是大流量攻擊,是各團伙最青睞的攻擊方法。從觸發較大流量的能力來看,NTP反射攻擊是一種更為強大的DDoS攻擊。從攻擊事件數量角度看,DNS反射攻擊占比較大,占全部反射型攻擊的57%。
圖8 反射攻擊流量與次數(某一攻擊團伙)
根據統計大多數IP團伙的流量峰值都超過了2 Tbps,流量峰值(Tbps)是衡量某一團伙的攻擊能力和惡意程度的關鍵參數,反映了攻擊團伙對目標的最大攻擊能力。
圖9 IP團伙的流量峰值分布(按IP團伙統計)
各團伙通常并未完全發揮其潛力,了解它們的能力極限對于規劃防御非常重要。通過對某個團伙兩個季度流量峰值的對比,我們發現該團伙最大攻擊流量峰值比日常攻擊流量高出很多倍,當其潛力完全釋放出來時,破壞力是驚人的。
圖10 單一攻擊的流量峰值趨勢(某一攻擊團伙)
綠盟科技統計了2018年1至9月期間的攻擊流量,總結了排名前十的IP團伙的流量峰值起伏變化,最大流量峰值和平均流量峰值表示IP團伙的攻擊能力和攻擊時長,反映了這些團伙的攻擊活躍程度。
圖11 十大攻擊團伙的流量峰值
雷鋒網注:報告全文下載地址為http://blog.nsfocus.net/behavior_analysis_of_ip_chain_gangs/。
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
