事件回顧

Lucifer僵尸網絡于上個季度首次出現，它會同時感染Windows和Linux設備，使用TCP，UDP，ICMP，HTTP協議并欺騙流量源的IP地址。

8月Mirai變種通過CVE-2020-5902漏洞攻擊BIG-IP產品。該漏洞可用于執行任意命令，上載和刪除文件，禁用服務以及運行JavaScript腳本。

網絡犯罪分子向世界各地的組織發送比特幣勒索郵件，贖金從5 BTC到20 BTC不等，若拒絕付款就會進行持續的DDoS攻擊。

8月和9月初，新西蘭的一些組織受到打擊，包括新西蘭證券交易所(NZX)，印度銀行YesBank，PayPal，Worldpay，Braintree和其他金融公司也在受害者名單中。DDoS比特幣勒索影響了許多歐洲ISP，但不確定是否由同一組織發起。

9月底，匈牙利的金融和電信公司被DDoS攻擊，垃圾流量來自俄羅斯，中國和越南。

9月初，網絡犯罪分子對新聞機構UgraPRO發起攻擊，垃圾流量來自俄羅斯和國外的IP地址，每秒的請求數量超過5,000。

第三季度趨勢

在第三季度DDoS攻擊各項指標顯著下降，與2019年同期數據相比，總攻擊次數增加了1.5倍，智能攻擊次數幾乎翻倍。

本季度中，在冠狀病毒流行全球市場穩定情況下，遠程工作已不再是新聞，公司已經適應了新的工作模式，IT部門已經填補了遠程基礎架構中的漏洞并加強了關鍵節點，適合攻擊的目標減少。

加密貨幣市場增長。例如，以太坊價格在第三季度的明顯上漲。挖礦和DDoS競爭激烈，許多僵尸網絡可以同時實現這兩種功能，并且根據收益選擇將資源定向到何處。在第三季度，某些僵尸網絡可能已切換到采礦任務。

季度要點：

• 在攻擊次數和目標數量方面，TOP3保持不變：中國(71.20和72.83%)，美國(15.30和15.75%)和中國香港(4.47和4.27%)。
• 按目標數量排名中，亞洲顯著下降：中國香港下跌了2.07個百分點，新加坡0.3分。中國除外，中國的目標份額上升了6.81個百分點。
• 第三季度的攻擊次數下降。
• DDoS僵尸網絡在周四最為活躍，周五明顯下降。
• 就持續時間而言，第3季度遠遠落后于第1季度，但有兩次記錄的攻擊持續時間超過10天(246和245小時)，持續5–9天的攻擊次數(12次持續121-236小時的攻擊)增加。
• 按類型劃分的攻擊分布沒有任何變化：SYN泛濫仍然是主要工具(94.6%)，ICMP攻擊占3.4%，HTTP泛洪得不到0.1%。
• Linux僵尸網絡仍然領先于Windows僵尸網絡，占攻擊總數的95.39%(比上一季度增長0.61%)。

地理分布

今年以來攻擊次數排名前三的是：中國(71.2%，較第二季度增長6.08個百分點)，美國(15.3%，下降4.97個百分點)和中國香港(4.47%，下降1.61個百分點)。

新加坡，澳大利亞和印度都有所提升(分別從第五位上升到第四位，第六位上升到第五位，第七位上升到第六位)，南非則從第四位上升到第八位。

攻擊目標地理分布未發生明顯變化，前三名與上一季度相同：中國，美國，中國香港。中國目標份額增長了6.81個百分點。美國下跌3.57個百分點后，中國香港下跌2.07個百分點。

攻擊數量分析

本季度攻擊次數差大。在活動高峰時，DDoS打破了上一時期記錄：7月2日記錄了323次攻擊(4月為298次)，8月31日和9/1/7只發生了一次攻擊。

持續時間和類型

第三季度平均攻擊時間縮短。大部分攻擊(91.06%)持續了四個小時，4.89%持續5–9小時，2.25%持續10-19小時，2.09%持續20-49小時，0.4%持續50–99小時，0.08%持續100-139小時。

不同類型的攻擊分布沒有變化，SYN泛濫第三季度為94.6%，第二季度為94.7%。 ICMP小幅下降(從之前的4.9%下降到3.4%)，TCP攻擊占1.4%，UDP攻擊占0.6%，HTTP攻擊很少。

第三季度，Windows僵尸網絡份額繼續下降。

總結

與上一季度相比，網絡犯罪分子更喜歡歐洲的目標，日本和韓國等亞洲國家吸引力較弱，但對中國的興趣仍然很高。短期和超短期攻擊以及多日攻擊數量都有所增長。

預計Q4指標將與2019年底的指標相當，經過近兩年的增長，DDoS市場或趨于穩定。由于圣誕節和新年，第四季度通常是最熱鬧的時間段。年末攻擊通常比第三季度高30%左右。

原文鏈接：securelist