2018 年活跃 DDoS 攻击团伙分析报告
网站被攻击情况汇报
网站被攻击情况汇报近期,我们网站遭遇了一系列的网络攻击事件,严重影响了网站的正常运行和用户体验。
在此,我将对网站被攻击的情况进行汇报,并提出应对措施,希望能够得到大家的重视和支持。
首先,我们网站在最近一段时间内遭遇了多次的DDoS(分布式拒绝服务)攻击,攻击者利用大量的恶意流量,导致网站服务器负载过高,甚至出现短暂的宕机情况。
这不仅给网站的稳定性和可用性带来了严重影响,也给用户带来了极大的困扰。
其次,我们网站还遭遇了SQL注入攻击,攻击者通过在输入框中注入恶意的SQL代码,成功获取了部分用户的个人信息和敏感数据。
这对于用户的隐私安全构成了严重威胁,也损害了用户对我们网站的信任。
除此之外,我们还发现了一些恶意程序的入侵行为,这些程序试图利用网站的漏洞进行恶意操作,包括篡改网站内容、植入木马病毒等,给网站的安全性带来了极大的隐患。
针对上述情况,我们已经采取了一系列的应对措施。
首先,我们加强了服务器的安全防护措施,包括更新系统补丁、加强防火墙设置等,以阻止恶意攻击者的入侵行为。
其次,我们对网站的代码进行了全面的审查和修复,修复了存在的安全漏洞,提高了网站的安全性。
同时,我们还加强了用户数据的加密存储和传输,保障用户的隐私安全。
此外,我们还加强了对恶意流量的识别和过滤,通过引入DDoS防护设备和流量清洗服务,有效减轻了DDoS攻击对网站的影响。
同时,我们对用户的个人信息进行了全面的安全审查和清理,确保用户数据的安全性。
在未来,我们将继续加强网站安全防护工作,引入更先进的安全技术和设备,不断提升网站的安全性和稳定性。
同时,我们也呼吁用户加强个人信息保护意识,避免泄露个人信息,共同维护网站的安全和稳定。
总之,网站被攻击是一件严重的事情,我们已经采取了一系列的措施来加强网站的安全防护工作,希望能够得到大家的理解和支持。
我们相信,在大家的共同努力下,网站一定能够早日恢复正常,为用户提供更安全、稳定的服务。
谢谢大家!。
2018 年上半年中国网络安全报告
2018年上半年中国网络安全报告北京瑞星网安技术股份有限公司2018年7月免责声明本报告综合瑞星“云安全”系统、瑞星安全研究院、瑞星威胁情报平台、瑞星客户服务中心等部门的统计、研究数据和分析资料,针对中国2018年1至6月的网络安全现状与趋势进行统计、研究和分析。
本报告提供给媒体、公众和相关政府及行业机构作为互联网网络安全状况的介绍和研究资料,请相关单位酌情使用。
如若本报告阐述之状况、数据与其他机构研究结果有差异,请使用方自行辨别,瑞星公司不承担与此相关的一切法律责任。
目录一、恶意软件与恶意网址 (5)(一)恶意软件 (5)1.2018年上半年病毒概述 (5)2.2018年上半年病毒Top10 (7)3.2018年上半年中国勒索软件感染现状 (7)(二)恶意网址 (9)1.2018年上半年全球恶意网址总体概述 (9)2.2018年上半年中国恶意网址总体概述 (10)3.2018年上半年中国诈骗网站概述 (11)4.2018年上半年中国主要省市访问诈骗网站类型 (12)5.诈骗网站趋势分析 (12)6.2018年上半年中国挂马网站概述 (12)7.挂马网站趋势分析 (13)二、移动互联网安全 (14)(一)手机安全 (14)1.2018年上半年手机病毒概述 (14)2.2018年上半年手机病毒Top5 (15)3.2018年上半年Android手机漏洞Top5 (15)(二)2018年上半年移动安全事件 (16)1.“旅行青蛙”游戏外挂藏风险 (16)2.恶意软件伪装“系统Wi-Fi服务”感染近五百万台安卓手机 (16)3.二手手机信息泄露乱象:10元可买通讯录,几十元可恢复已经删除的数据 (17)三、互联网安全 (18)(一)2018年上半年全球网络安全事件解读 (18)(二)2018年上半年流行病毒分析 (20)四、趋势展望 (22)(一)犯罪团伙转向挖矿与勒索 (22)(二)漏洞利用越来越广泛 (22)(三)物联网病毒更加精密 (22)报告摘要●2018年上半年瑞星“云安全”系统共截获病毒样本总量2,587万个,病毒感染次数7.82亿次。
DDOS网络攻击讲座报告
DDOS网络攻击讲座报告
DDOS网络攻击讲座报告DDoS攻击的发展态势,无疑是变得越来越频繁、其造成的影响变得越来越严重、攻击手段越来越先进。
可以说,攻击类型的广度和深度都在增加。
IDG最新的报告显示,在2018 年,49%的受访者报告称平均DDoS攻击规模超过50 Gbps,而 2015年只有10%的受访者报告相同的规模。
同时我们也发现,虽然如此,DDoS攻击者们所使用的攻击武器却没有发生本质的变化。
这就意味着,企业和机构有了难得的机会,可以把更多精力用于找到DDoS攻击使用的武器,并有效加强防御。
攻击者利用UDP协议中的漏洞,模仿被攻击者的IP地址,并且在服务器上找到漏洞,来发出反射响应。
因此,通过产生出比原本服务器响应更大规模的响应,攻击者的这个策略则放大了攻击力度。
最常见的攻击类型包括DNS、NTP、SSDP、SNMP和CLDAP 基于UDP 的服务。
这些攻击导致了前所未有的、大量的容量攻击,譬如GitHub 遭受的1.3Tbps基于Memcached的攻击,而且这些攻击已经成为主流的DDoS攻击。
2018年10Gbps以上的DDoS攻击翻倍增长
2018年10Gbps以上的DDoS攻击翻倍增长根据墨者安全相关数据统计,2018年单次网络攻击造成的平均经济损失攀升至110万美元,比上一年增加了52%。
20%的互联网企业每天遭受网络攻击,比上一年增长了62%,经历加密DDoS攻击的公司企业数量上升13%。
这些攻击需要高容量资源加以缓解。
检测和缓解加密流量攻击对各型公司企业而言都是个挑战。
DDoS攻击通常会造成流量过载,堵塞目标网络或服务器的访问通道,阻止合法用户访问目标网络或服务器。
虽然传统上这些流量洪水在网络层(OSI模型3-4层——UDP/TCP 洪水)生成,但在2017年,应用层成为了受黑客青睐的流量洪水发源地。
在2018年里应用层依然是DDoS攻击的目标,但网络层DDoS 攻击又卷土重来,年增长12%。
网络攻击最大的影响是互联网通道阻塞,如果攻击没在网络边界或防火墙处得到缓解,随之而来的就是服务器崩溃。
防火墙、入侵防御系统(IPS)和应用交付控制器(ADC)都是基于状态的设备,从设计上就扛不住DDoS攻击,其连接表很快就会被填满。
从最新数据显示:小规模攻击减少而大规模攻击呈上升趋势。
可阻塞全球主要互联网通道的超大型(10Gbps以上)攻击数量2018年几乎翻了一倍。
2018年,78%的DDoS攻击造成了服务降级或完全掉线,而这一数字在2017年是68%。
除了此类分布式拒绝服务攻击,多达93%的受访公司企业在过去12个月中遭遇了网络攻击。
虽然攻击动机多年来都没怎么变过,但在2018年“动机不明”DDOS攻击数量却增加了2倍。
由于DDOS攻击事件数量的增长和规避性伪装战术的不断升级,互联网企业变得更难以区分恶意流量和合法流量了。
传统的防御手段已经很难完全保障服务器安全,新一代混合型防御才能在现在这种越来越复杂的互联网环境下保障服务器稳定运行。
2018年上半年中国互联网安全报告
2018年上半年中国互联网安全报告2018年7月31日摘要恶意程序✧2018年上半年,360互联网安全中心累计截获新增恶意程序样本1.4亿个,平均每天截获新增恶意程序样本79.5万个。
其中,新增PC端恶意程序样本14099.8万个,平均每天截获新增恶意程序样本77.9万个,安卓平台新增恶意程序样本283.1万个,平均每天截获新增手机恶意程序样本近1.6万个。
✧2018年上半年安卓平台新增恶意程序主要是资费消耗,占比高达85.7%;其次为隐私窃取(7.3%)、系统破坏(3.1%)和恶意扣费(2.2%)。
钓鱼网站✧2018年上半年,360互联网安全中心共截获各类新增钓鱼网站1622.6万个,同比2017年上半年(201.5万个)上升7倍;平均每天新增9.0万个。
✧2018年上半年,360的PC端和手机安全软件共为全国用户拦截钓鱼攻击207.2亿次,同比2017年上半年(176.4亿次)上升17.5%,平均每天拦截1.1亿次。
其中PC端拦截量为193.9亿次,占总拦截量的93.6%;移动端为13.3亿次,占总拦截量的6.4%。
✧在新增钓鱼网站中,境外彩票以82.4%位居首位,假冒银行8.3%、模仿登录3.7%位列其后。
钓鱼软件的拦截量方面,境外彩票占到了88.2%,排名第一,其次是虚假购物6.1%、虚假招聘2.3%。
✧从新增钓鱼网站的服务器的地域分布来看,6.6%的钓鱼网站服务器位于国内,93.4%位于国外。
其中,国内的服务器位于香港的占比为83.3%,其次是广东(9.1%)、福建(1.3%)。
骚扰电话✧2018年上半年,用户通过360手机卫士标记各类骚扰电话号码数量(包括360手机卫士自动检出的响一声电话)约2943.7万个,平均每天被用户标记的各类骚扰电话号码约16.3万个。
✧2018年上半年,从拦截量上看,360手机卫士共为全国用户识别和拦截各类骚扰电话194.6亿次,平均每天识别和拦截骚扰电话1.1亿次。
网络攻击事件调查报告格式
网络攻击事件调查报告格式
1. 背景介绍
在本报告中,我们将对经过调查的网络攻击事件进行详细分析和总结。
2. 调查目的
我们的调查目的是确定网络攻击事件的来源、类型、影响范围以及可能的防范措施,以便帮助受影响部门做出正确决策并加强网络安全防护措施。
3. 调查方法
我们采用了以下调查方法来收集相关数据和信息:
- 回顾事件日志记录
- 分析攻击痕迹
- 与相关人员进行面谈
- 调查受攻击系统的漏洞和安全措施
4. 调查结果
4.1 攻击来源
根据我们的调查,攻击来源地位于XX地区,并追踪到了一台受感染的计算机。
4.2 攻击类型
通过分析攻击痕迹,我们确定了此次攻击为DDoS(分布式拒绝服务)攻击,攻击者利用了低级的技术手段进行攻击。
4.3 影响范围
此次攻击影响了公司内部网络服务的可用性,导致了一段时间的服务中断和性能下降。
4.4 防范措施
为了确保类似事件的再次发生,我们建议公司采取以下防范措施:
- 更新安全补丁和漏洞修复
- 加强网络监控和入侵检测系统
- 配置适当的网络访问控制列表
- 加强员工安全意识培训和教育
5. 结论
经过我们的调查,我们认为此次攻击事件是有意为之并对公司造成了一定的损失。
通过采取相应的防范措施,公司可以降低类似攻击事件的风险,并提高网络安全的保护水平。
6. 参考文献
以上就是本次网络攻击事件调查报告的格式和内容。
如有任何疑问或需要进一步信息,请随时联系我们。
感谢阅读!。
网络攻击分析报告
网络攻击分析报告1. 引言近年来,随着互联网的普及和社会信息化的发展,网络攻击事件日益增多。
为了更好地了解网络攻击的形式、原因以及对网络安全的威胁,本文将对几种常见的网络攻击进行分析,以期为网络安全提供有益的参考。
2. DDOS攻击分析DDOS(分布式拒绝服务)攻击是一种常见的网络攻击形式,它通过通过多个计算机协同向目标服务器发起大量请求,使目标服务器无法正常响应合法用户的请求。
根据我们的分析,DDOS攻击常常是由于黑客利用僵尸网络发起的,这些僵尸网络由感染了恶意软件的计算机组成。
对付DDOS攻击,我们需要加强网络安全意识,及时更新和提升防火墙的能力,以及建立好的攻击检测和应对机制。
3. 网络钓鱼攻击分析网络钓鱼攻击是一种通过冒充合法机构或个人,以获取用户敏感信息的方式。
这种攻击通常是通过诈骗邮件、假冒网站等方式进行的。
网络钓鱼攻击的危害非常大,它可以导致用户信息泄露、财产损失等问题。
我们需要提高用户的安全意识,加强对钓鱼邮件和钓鱼网站的识别能力,并建立相应的防范措施。
4. 勒索软件攻击分析勒索软件攻击是一种通过加密用户文件并勒索赎金的方式进行的网络攻击。
黑客通常通过恶意软件感染用户设备,并对用户文件进行加密,只有支付赎金才能解密。
对于这种攻击,我们需要定期备份重要文件,加强设备安全性能,及时了解和更新最新的勒索软件信息,并配备高效的反病毒软件。
5. 网络入侵攻击分析网络入侵攻击是一种通过非法手段获取系统权限并进行破坏、窃取信息等行为的网络攻击。
黑客通常通过漏洞利用、暴力破解等方式获取系统权限。
为了有效防范网络入侵攻击,我们需要加强网络设备的安全配置,定期检测和修补系统漏洞,以及建立合理的访问控制机制。
6. 总结网络攻击对我们的社会和个人安全造成了严重威胁。
通过对DDOS攻击、网络钓鱼攻击、勒索软件攻击和网络入侵攻击的分析,我们可以更加深入地理解这些攻击的原理和危害,并通过加强防范措施来提升网络安全。
网络黑产:从暗涌到奔流
网络黑产:从暗涌到奔流作者:刘权李东格来源:《互联网经济》2018年第06期2018年5月初滴滴顺风车恶性案件曝光,安全问题被推到风口浪尖,滴滴着手全面整改人车不符情况,致使“滴滴黑产”浮出水面。
与“滴滴黑产”相比,其背后“网络黑产”规模更加庞大、影响更加深远,网络黑产已成为网络空间治理的重要领域。
“黑产”肆虐2018年5月初滴滴顺风车恶性案件曝光,安全问题被推到风口浪尖,滴滴着手全面整改人车不符情况,致使“滴滴黑产”浮出水面。
所谓滴滴黑产是指不法分子为不符合要求的人员注册滴滴司机账户,这带来了巨大的安全隐患。
与“滴滴黑产”相比,其背后“网络黑产”规模更加庞大、影响更加深远。
随着犯案手段不断升级、网络黑色产业链日渐完善,网络黑产渐欲从暗涌走向肆虐,网络安全形势严峻,网络黑产已成为网络空间治理的重要领域。
网络黑色产业链(简称网络黑产)是指通过网络技术形成的分工明确、衔接密切的利益团体,包括技术教学、制作销售黑产工具、通过入侵计算机信息系统,非法窃取包括个人信息在内的计算机信息系统数据,提供交易平台变现、洗钱等各个环节分工合作的多元化、产业化的非法产业体系。
主要可以分为三大类型:技术类、社工类以及涉黄涉非类。
技术类是指利用网络和计算机存在的安全漏洞和缺陷,窃取数据和信息以及对网络和计算机发起的各类攻击。
攻击方式包括暴力破解、木马技术以及网络钓鱼等。
社工类指利用受害者的信任、好奇心和贪婪等心理弱点,以冒充熟人或博取同情等社会工程学的方式进行网络盗窃、诈骗和敲诈,如网络盗窃、网络诈骗等。
涉黄涉非类指利用网络的便捷性和难以追查性,进行如网络色情、网络赌博、贩卖枪支弹药和违禁品等的涉黄涉非违法犯罪活动。
安全形势严峻网络黑产手段不断升级,规模不断增大。
随着人工智能和大数据等新技术新应用的蓬勃发展,互联网为实体产业转型升级提供了动力源泉,为人们工作生活带来巨大便捷,人们对互联网的依赖性也日益增强。
同时,网络黑产作案手段不断升级,从传统的病毒木马和电话诈骗等模式,向更为先进的撞库拖库、精准诈骗等模式发展,黑产上游的危害显得愈发严重,网络黑产规模不断增大。
近年企业网络勒索攻击案例分析与对策
近年企业网络勒索攻击案例分析与对策近年来,随着互联网的快速发展,企业网络勒索攻击案例也越来越频繁。
这些攻击往往对企业的数据和财产造成了严重损失,因此,企业需要了解并采取相应的对策来应对这些网络勒索攻击。
本文将从案例分析的角度出发,探讨近年来的企业网络勒索攻击案例,并提出相应的对策。
第一部分:案例分析1. WannaCry勒索软件攻击2017年5月,全球范围内爆发了一起规模浩大的网络勒索攻击,其目标包括了各行各业的企业、医院以及政府部门。
该攻击使用了一种名为WannaCry的勒索软件,通过利用Windows操作系统的漏洞,迅速传播并加密了受害者的文件。
攻击者要求受害者支付比特币以恢复文件的解密密钥。
2. NotPetya勒索软件攻击2017年6月,全球多个国家的企业遭遇了一起规模庞大的网络勒索攻击。
该攻击借用了一种名为NotPetya的勒索软件,它通过利用Windows操作系统的漏洞和恶意软件传播工具进行攻击。
受害者的文件被加密,并要求支付比特币以获得解密密钥。
3. Ryuk勒索软件攻击2018年至今,Ryuk勒索软件成为了企业网络勒索攻击的主要威胁之一。
该软件通常通过钓鱼邮件、远程桌面协议等方式传播,在感染了企业网络后加密文件,并勒索比特币以获取解密密钥。
第二部分:对策措施1. 加强网络安全意识教育企业应加强员工的网络安全意识教育,提高员工对网络勒索攻击的警惕性。
员工应被教育如何识别可疑的电子邮件、不打开未知来源的附件以及合理使用密码等。
2. 更新和维护系统补丁企业应定期更新和维护操作系统以及软件的补丁,以修复可能存在的漏洞。
同时,企业还应加强网络设备的管理,禁用不必要的服务和端口,减少攻击面。
3. 建立有效的备份和恢复机制企业应建立有效的数据备份和恢复机制,定期备份重要数据,并保证备份数据的安全。
在发生勒索攻击时,及时恢复受损数据,降低损失。
4. 使用强大的安全软件和工具企业应使用可靠的安全软件和工具来防御网络勒索攻击。
网络安全工作者网络攻击事件报告
网络安全工作者网络攻击事件报告近期,网络安全工作者对多个网络攻击事件进行了调查和分析,以保护网络安全,并提供有关网络攻击事件的详细报告。
本报告将总结这些调查结果,以便更好地理解当前的网络安全威胁和应对措施。
一、事件一:DDoS攻击在本月早些时候,我们发现了一系列针对公司A的分布式拒绝服务(DDoS)攻击。
攻击者利用大量的僵尸网络(botnet)发起了大规模的网络请求,导致公司A的服务器资源耗尽,使其无法提供正常的服务。
通过分析攻击流量,我们确定攻击来源主要集中在某些地理区域,而且攻击流量在夜间达到峰值。
基于此,我们建议公司A加强对服务器和网络设备的监控,及时检测到异常流量,并采取防御措施,如应用防火墙过滤非法请求。
二、事件二:恶意软件传播在最近的一个月内,我们调查了一起涉及恶意软件传播的事件。
通过分析恶意软件样本,我们发现它们是通过电子邮件附件和破坏性的连接在社交媒体上进行传播的。
为了加强对恶意软件的防范,我们建议公司B采取以下措施:加强员工网络安全意识培训,确保员工知道如何辨别可疑邮件和链接;安装和更新强大的防病毒软件和防火墙,以坚固安全防线;定期备份重要数据,并储存在离线环境中以防止数据丢失。
三、事件三:网络钓鱼攻击另外,我们还调查了一起网络钓鱼攻击事件。
攻击者伪装成银行或其他机构发送钓鱼邮件,试图诱骗用户提供敏感信息,例如密码和信用卡信息。
为了提高用户对网络钓鱼攻击的警觉性,我们建议公司C开展网络钓鱼教育活动,向用户普及钓鱼攻击的特征和防范措施,例如查看邮件头部和发送者的真实信息。
此外,加强反钓鱼技术,如实施域名黑名单过滤、邮件内容扫描等,有助于减少钓鱼邮件的传播。
结语通过对上述网络攻击事件的调查和分析,我们得出了以下结论:网络安全威胁日益增加,攻击手段也越来越复杂。
为了有效保护机构和个人的网络安全,我们必须加强网络安全意识培训,加强网络设备的监控和防御能力,并定期更新和维护安全软件和硬件设备。
网络案例分析报告范文
网络案例分析报告范文一、案例背景随着互联网技术的飞速发展,网络已成为人们生活、工作不可或缺的一部分。
然而,网络的普及也带来了诸多问题,如网络犯罪、网络欺诈、个人信息泄露等。
本案例分析报告旨在通过对“XX网络诈骗案”的深入分析,探讨网络诈骗的特点、成因以及防范措施。
二、案例概述“XX网络诈骗案”发生于202X年,涉及金额高达数百万。
犯罪团伙通过建立假冒的金融投资网站,利用虚假的投资回报吸引受害者投资,最终导致受害者资金损失。
该案件的侦破过程揭示了网络诈骗的复杂性和隐蔽性。
三、案例分析1. 诈骗手段分析- 犯罪团伙利用社交媒体、论坛等渠道发布虚假信息,吸引潜在受害者。
- 通过建立看似正规的网站和提供虚假的客服服务,增加诈骗的可信度。
- 利用高回报率作为诱饵,诱导受害者进行投资。
2. 受害者心理分析- 受害者往往对投资回报抱有过高的期望,缺乏必要的风险意识。
- 受害者在缺乏充分了解的情况下,容易受到虚假信息的影响。
3. 技术手段分析- 犯罪团伙使用了高级的网络技术,如SSL加密、DDoS攻击等,增加了侦破难度。
- 犯罪团伙通过不断更换服务器和IP地址,逃避追踪。
四、案例启示1. 加强网络安全意识- 公众应提高对网络诈骗的警惕性,不轻信网络上的高回报投资信息。
2. 完善法律法规- 加强对网络诈骗行为的立法和执法,提高犯罪成本。
3. 技术防范措施- 利用大数据、人工智能等技术手段,提高对网络诈骗行为的识别和预警能力。
4. 加强国际合作- 网络诈骗往往涉及跨国犯罪,需要加强国际间的执法合作。
五、防范建议1. 个人层面- 增强个人信息保护意识,不随意透露个人信息。
- 学习基本的网络安全知识,提高识别诈骗的能力。
2. 企业层面- 加强网络安全管理,定期进行安全审计。
- 提供员工网络安全培训,提高整体防范能力。
3. 政府层面- 加大对网络诈骗的打击力度,提高犯罪成本。
- 建立完善的网络诈骗预警和响应机制。
六、结论网络诈骗作为一种新型犯罪形式,其隐蔽性和技术性给防范和打击带来了新的挑战。
黑客攻击案例进展情况汇报
黑客攻击案例进展情况汇报最近,我们公司遭遇了一起严重的黑客攻击事件,给公司的信息安全带来了严重的威胁。
经过全体员工的紧急应对和技术团队的努力,我们已经取得了一些进展,现在我来向大家汇报一下情况。
首先,经过技术团队的分析,我们确认了黑客攻击的手段和目的。
黑客通过钓鱼邮件和恶意软件,成功地侵入了我们公司的内部网络,并获取了大量的敏感信息。
他们的目的是窃取公司的商业机密和客户信息,造成严重的经济损失和声誉风险。
针对这一情况,我们立即启动了紧急预案,加强了网络安全防护措施,同时对受影响的系统和数据进行了全面排查和清理。
其次,我们已经与相关部门和执法机构取得了联系,共同开展调查和追踪工作。
我们将全力配合警方的工作,尽快找到黑客的身份和行踪,维护公司的合法权益和客户的利益。
同时,我们也将加强与合作伙伴和客户的沟通,及时通报事件进展和采取的措施,保障信息安全和业务稳定。
最后,我们将进一步加强公司的信息安全意识和技术能力,完善网络安全体系和风险管理机制。
我们将加大投入,引进先进的安全技术和工具,提升网络安全防护能力。
同时,我们也将加强员工的培训和教育,提高他们对网络安全的认识和应对能力,共同维护公司的信息资产和客户的利益。
总之,虽然我们遭遇了严重的黑客攻击事件,但是我们已经取得了一些进展,全体员工和技术团队正在全力以赴地应对和解决问题。
我们相信,在公司领导的带领下,我们一定能够化解危机,保障公司的信息安全和业务稳定。
同时,我们也呼吁全体员工和合作伙伴共同努力,共同维护公司的利益和客户的权益,共同打造一个安全、稳定、可信赖的网络环境。
谢谢大家的支持和配合!。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2018年活跃DDoS攻击团伙分析报告国家计算机网络应急技术处理协调中心2019年1月目录一、报告摘要 (2)二、总体概况 (4)2.1攻击资源概况 (4)2.2活跃团伙概况 (7)三、重点僵尸网络家族攻击特点 (9)3.1XorDDoS僵尸网络家族 (9)3.2Gafgyt僵尸网络家族 (13)3.3BillGates僵尸网络家族 (17)四、重点攻击团伙分析 (21)4.1团伙G1:C&C数量及肉鸡规模最大的攻击团伙 (21)4.1.1团伙G1总览 (21)4.1.2重要子团伙分析 (25)4.2团伙G13:肉鸡规模第二大的攻击团伙 (31)4.3团伙G9:肉鸡规模排名第三的团伙 (35)4.4团伙G16:利用Gafgyt僵尸网络家族的月度最大团伙. 38一、报告摘要CNCERT针对多种主要用于发起DDoS攻击的僵尸网络家族进行抽样监测,并对2018年全年涉及的攻击资源和攻击团伙进行了多维分析,发现C&C控制端IP共2108个,总肉鸡IP数量为140万余台,受攻击目标IP数目9万余台,共发现攻击团伙50个,其中涉及活跃攻击团伙16个,共包含358个C&C控制端IP,总共攻击约3万个目标IP,在全年攻击目标中占比31%。
总体来看,利用这些僵尸网络家族进行DDoS攻击的特点主要有:1.从攻击目标规模和攻击事件数目来看,8月份均为全年的最高峰。
从控制的肉鸡规模来看,11月份是全年的最高峰。
2.XorDDoS、Gafgyt、BillGates这三种僵尸网络家族参与攻击事件最多。
其中,XorDDoS僵尸网络家族所控制的肉鸡规模最大,且持续时间最长;Gafgyt僵尸网络家族总活跃C&C控制端IP数量最多,为1096个,而大部分C&C控制端只存活一个月,但由于其样本的主动感染特性,往往在出现数天后就能获得非常大的肉鸡规模。
从攻击时间来看,XorDDoS和BillGates僵尸网络家族在凌晨2-10时发起的攻击数量明显减少,疑似是需要由人工触发的攻击方式;Gafgyt僵尸网络的攻击按时间分布较均匀,疑似是作为DDoSaaS (DDoS as a service)对外提供服务。
3.活跃攻击团伙中,规模最大的攻击团伙使用的僵尸网络由多个家族组成,而其他的团伙的家族特性相对比较单一。
所有团伙的攻击目标数量占据全年总攻击目标数量的36%,而规模最大的团伙的攻击目标数量占据了全年总攻击目标数的23%。
攻击团伙攻击的目标主要位于云主机厂商网段,行业主要覆盖游戏、博彩、色情等。
单一团伙的长期攻击目标并无行业特性,仅在短期内受攻击任务影响会有短暂的行业特性。
在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。
如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。
此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位臵由它的IP地址定位得到。
DDoS攻击团伙是指能利用一定规模的互联网攻击资源,在较长时间范围内活跃,同时期内利用攻击资源针对极相似的攻击目标集合进行攻击,其攻击资源在一定时间范围内固定,长时间会发生变化。
同一攻击团伙所发起的系列DDoS攻击称为团伙性攻击。
二、总体概况2.1攻击资源概况从全年来看,利用僵尸网络发起DDoS攻击的事件数量,在年初呈现上涨趋势,在8月份开始下滑,如图2.1所示。
C&C控制端数量的月度统计趋势和DDoS攻击事件数量的月度统计趋势基本一致,同样是在8月份达到最大值后逐步回落,如图2.2所示。
僵尸网络肉鸡数量发展趋势前期与C&C控制端类似,在年初呈现上涨趋势,在8月至9月期间有一定程度的下滑,但是10月之后肉鸡数量开始呈现大幅上涨趋势,说明在10月以后更少的C&C控制端控制了更多的肉鸡,出现了控制规模较大的控制端,如图2.3所示。
受攻击目标的月度趋势与肉鸡基本一致,8月达到了高峰,9月有一定程度的下降,此后,受攻击目标的数量一直在中高位波动,如图2.4所示。
图2.1 DDoS攻击事件月度统计趋势图2.2 C&C控制端月度统计趋势图2.3 肉鸡月度统计趋势图2.4 攻击目标月度统计趋势2018年全年涉及的攻击资源中,共发现C&C控制端IP共2108个,其中包含境内控制端占比15.8%,境外控制端占比84.2%,境内外的控制端按地理位臵分布见图2.5;总肉鸡IP数量为140万余台,其中境内肉鸡占比90.6%,境外肉鸡占比9.4%,境内外的肉鸡地址按地理位臵分布见图2.6;受攻击目标IP数目9万余台,其中境内受攻击目标占比36.7%,境外受攻击目标占比63.3%,境内外的受攻击目标按地理位臵分布见图2.7。
综上可见,大量的境内肉鸡被境外控制端所利用,向境内外目标地址发起攻击。
这些攻击目标所属行业主要分布在色情、博彩、文化体育和娱乐、运营商IDC、金融、教育、国家机构等行业,如图2.8所示。
图2.5 2018年控制端地址数量TOP10国家或地区分布图2.6 2018年肉鸡地址数量TOP10国家或地区分布图2.7 2018年攻击目标地址数量TOP10国家或地区分布图2.8 攻击目标所属行业云图2.2活跃团伙概况2018年,CNCERT共监测发现50个利用僵尸网络进行攻击的DDoS 攻击团伙,攻击团伙的月度数量趋势如图2.9所示,与C&C控制端及攻击事件数量一样,在8月份达到最高峰。
其中,活跃两个月及以上,且肉鸡数量较大的较活跃攻击团伙有16个,共包含358个C&C,在全年C&C中占比16%,总共攻击2.8万个目标,在全年攻击目标中占比31%,其基本信息表见表2.1。
图2.9 攻击团伙月度统计趋势较活跃攻击团伙的C&C控制端和攻击目标总览如图2.10所示,图中的节点为C&C控制端及其攻击目标,C&C控制端攻击过某攻击目标则连一条边,全年间它们的攻击关系自然地形成了力导向关系图。
从图中可以看出,代表不同攻击团伙的16个不同颜色的簇之间相互较为独立,同一攻击团伙的攻击目标非常集中,不同攻击团伙间的攻击目标重合度较小。
图2.10 活跃攻击团伙总览(C&C和攻击目标)三、重点僵尸网络家族攻击特点3.1XorDDoS僵尸网络家族XorDDoS僵尸网络家族在全年共活跃11个月,在2018年2月份时曾短暂退出,家族总活跃C&C数量为146个,单个C&C攻击活跃时间最长持续7个月,C&C控制端的月度数量分布如图3.1所示,其控制端数量在上半年大幅上升,在6月份达到高峰后逐步回落。
该家族对僵尸网络的控制规模在上半年逐步攀升,在7月份达到小高峰后,在8-9月份期间短暂回落后,在10月份重新扩大对僵尸网络的控制规模,并于11月份达到顶峰,当月单个C&C最高控制了7万个肉鸡,如图3.2所示;该家族攻击目标的月度分布如图3.3所示,全年的攻击目标数量呈现上升趋势;该家族每月涉及的攻击团伙数量趋势如图3.4所示,5-8月的攻击团伙数量有一定下降,之后保持在4个以下的较稳定数量。
图3.1 XorDDoS僵尸网络家族C&C控制端月度数量分布图3.2 XorDDoS僵尸网络家族控制规模月度分布图3.3 XorDDoS僵尸网络家族的攻击目标月度分布图3.4 XorDDoS僵尸网络家族月度涉及攻击团伙数量从攻击发起时间分布来看,在凌晨2点到10点内,发起的攻击数量呈现明显下降,可能与作息时间相关,疑似是需要由人工触发的攻击方式。
从攻击发起时间分布猜测,一方面,可能这是控制者的晚睡时间,另一方面也有可能是因为控制者的攻击目标在该时间段内都处于活跃低谷,没有攻击价值,如图3.5所示。
每个有720图3.6 XorDDoS僵尸网络家族C&C控制端月度日活跃热度图3.7 XorDDoS僵尸网络家族C&C控制端月度攻击目标数量热度XorDDoS家族中规模最大的攻击团伙从5月份开始出现,全年总共连续出现8个月。
该团伙的C&C控制端IP大多与某域名下的子域名相关,构成了本报告第四部分讨论的重要攻击团伙中的团伙G1的子团伙G1-2。
该子团伙与某2014年被发现的公开组织相关,该组织与游戏私服、色情、赌博等产业联系紧密。
CNCERT也对其进行了长期跟踪,监测发现该组织使用了大量包含特定字符串的恶意域名。
CNCERT于2017年溯源分析的数千起大流量攻击事件中,监测发现这些域名涉及了其中多起事件,且在2017年8月左右非常活跃,此后沉寂了半年多的时间,在2018年5月开始又重新活跃起来。
对该子团伙的介绍详见4.1.2节。
3.2Gafgyt僵尸网络家族Gafgyt僵尸网络家族在全年12个月持续活跃,总活跃C&C控制端IP数量为1096个,超过总控制端的半数;单个C&C控制端存活时间最长为8个月,而其中仅有133个控制端IP存活时间超过一个月,大部分控制端IP只在一个月内存活。
如图3.8所示,该家族的C&C控制端数量在上半年不断上升,并在8月份达到最高值后开始持续下滑;该家族对僵尸网络的控制规模在上半年呈现上升趋势,在6-8月份达到最高峰后,在9月份有一定下降,之后又缓慢上升,如图3.9所示,当月单个C&C最多控制了将近7300个肉鸡,平均单个C&C的肉鸡规模相对较小;利用该家族发起DDoS攻击的被攻击目标的月度分布如图3.10所示,10月和11月的攻击目标数量呈现大幅上升趋势。
图3.8 Gafgyt僵尸网络家族C&C控制端月度数量分布图3.9 Gafgyt僵尸网络家族控制规模月度分布图3.10 Gafgyt僵尸网络家族的攻击目标月度分布从图3.11的攻击发起时间分布来看,利用Gafgyt家族的攻击团伙,其攻击时间在全天分布相对较均匀,主要由于其为物联网僵尸网络,控制的肉鸡为常常24小时在线的物联网设备,且利用Gafgyt僵尸网络家族发起攻击,符合DDoSaaS(DDoS as a Service)模式的服务特征。
DDoSaaS模式的僵尸网络是指提供租赁服务,即提供给没有僵尸资源和技术水平的用户一定时间内一定数量僵尸的使用权,并根据用户所需的规模、配臵等参数的不同提供定制化的服务,加上自动支付平台的普及,用户们只要付款就可以即时获得一批佣兵式的攻击资源,这些因素正使得这一模式逐渐成为僵尸网络获利的主流。
如图Gafgyt僵尸网络家族C&C控制端月活和日活情况如图3.13所示,月度攻击目标热度如图3.14所示。
平均每个控制端活跃1.3个月,每个月平均活跃3.44天,每个月平均针对29个攻击目标发起攻击。