Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ataki DDOS w I kwartale 2017 r.

Tagi:

Przegląd wiadomości

Dzięki botnetom Internetu Rzeczy (IoT) ataki DDoS nie są już nowością, ale czymś zgoła powszechnym. Według badania A10 Networks, w tym roku tzw. „DDoS of Things” (DoT) osiągnął masę krytyczną – w każdym ataku wykorzystywane są setki tysięcy urządzeń połączonych z Internetem.   

Walka z tym zjawiskiem dopiero się zaczyna – dostawcy sprzętu IoT są bardzo opieszali jeśli chodzi o wzmocnienie środków bezpieczeństwa informacyjnego w ich produktach. Można jednak mówić o pewnych sukcesach w walce z cyberprzestępcami stojącymi za DDoS of Things. Znany dziennikarz zajmujący się bezpieczeństwem informacyjnym Brian Krebs zdołał zidentyfikować autora niesławnego szkodliwego oprogramowania IoT Mirai. W Wielkiej Brytanii aresztowano autora ataku na Deutsche Telekom. Z postawionych mu zarzutów wynika, że złożył on botnet IoT z ruterów, aby sprzedawać dostęp do niego. Grozi mu do 10 lat pozbawienia wolności w Niemczech.        

Tańsze narzędzia DoS oraz wzrost ich liczby spowodowały nieunikniony wzrost liczby ataków na istotne zasoby. Na przykład, nieznani sprawcy „zdjęli” stronę internetową Austriackiego parlamentu i odcięli od sieci ponad sto serwerów rządowych w Luksemburgu. Nikt nie przyznał się do tych ataków ani nie zgłosił żądań, co może wskazywać, że był to test lub po prostu akt chuliganizmu.      

Plany zwolenników Partii Demokratycznej, aby przeprowadzić masowy atak na stronę Białego Domu w ramach protestu przeciwko wybraniu Donalda Trumpa na prezydenta Stanów Zjednoczonych spełzły na niczym – nie pojawiły się żadne doniesienia dotyczące problemów z tą stroną. Mimo to ataki DDoS ugruntowały się w Stanach Zjednoczonych jako rodzaj protestu politycznego. Dwa tygodnie przed inauguracją zaatakowany został konserwatywny serwis informacyjny Drudge Report, który aktywnie wspierał Trumpa podczas kampanii wyborczej.      

Ten niepokojący trend został dostrzeżony przez organy ścigania – w celu zapewnienia ochrony przed atakami DDoS do akcji wkroczył w końcu Amerykański departament ds. bezpieczeństwa wewnętrznego. Organ ten oświadczył, że zamierza „stworzyć skuteczne i łatwe do zaimplementowania zabezpieczenia sieciowe oraz promować wprowadzanie najlepszych praktyk w sektorze prywatnym”, aby „rozprawić się z plagą ataków DDoS”.    

Jednak głównym celem autorów ataków DDoS nadal jest zarabianie pieniędzy. Z tego względu, banki i firmy brokerskie wciąż stanowią najatrakcyjniejsze cele. Ataki DDoS mogą wyrządzić bardzo poważne szkody materialne i na reputacji, dlatego wiele organizacji woli spełnić żądania okupu cyberprzestępców.  

Trendy badanego kwartału

Początek roku to zwykle okres spokoju pod względem ataków DDoS. Być może stojące za takimi osoby robią sobie w tym czasie urlop lub mają mniejsze zapotrzebowanie od klientów. Niezależnie od przyczyny, trend ten obserwujemy od ostatnich pięciu lat, a badany okres nie stanowił tu wyjątku od reguły: zespół Kaspersky Lab odpowiedzialny za ochronę przed atakami DDoS odnotował bardzo niską aktywność związaną z takimi atakami. Sytuacja wyglądała zupełnie inaczej w czwartym kwartale 2016 roku. Jednak mimo zwyczajowego już trendu spadkowego, w pierwszym kwartale 2017 roku miało miejsce więcej ataków niż w pierwszym kwartale 2016 roku, co potwierdza wniosek o wzroście łącznej liczby ataków DDoS.      

Ze względu na tradycyjny okres niskiej aktywności w pierwszym kwartale jest jeszcze za wcześnie, aby mówić o jakichkolwiek trendach w 2017 roku; jednak już teraz można zauważyć kilka interesujących cech: 

  1. W badanym okresie nie zarejestrowano ani jednego ataku polegającego na sztucznym potęgowaniu ruchu, mimo że nieustannie przeprowadzane były ataki mające na celu przeciążenie kanału (przy pomocy sfałszowanego adresu IP). Można przyjąć, że ataki polegające na sztucznym potęgowaniu ruchu nie są już skuteczne i stopniowo odchodzą do przeszłości.  
  2. Wzrosła liczba ataków opartych na szyfrowaniu, co jest zgodne z zeszłorocznymi prognozami i obecnymi trendami. Jednak jak na razie nie jest to żaden istotny wzrost. 

Zgodnie z naszymi przewidywaniami, popularność zyskują ataki złożone (ataki na warstwę aplikacji, HTTPS). Jednym z przykładów był atak mieszany (SYN + TCP Connect + HTTP-flood + UDP flood) na moskiewską giełdę. Cechą wyróżniająca ten atak była rzadko spotykana wielowektorowość w połączeniu ze stosunkowo niewielką mocą (3 Gbps). W celu zwalczania takich ataków niezbędne jest wykorzystywanie najnowszych złożonych mechanizmów ochrony.        

Celem innego nietypowego ataku była strona portugalskich sił policyjnych. Cechą wyróżniającą ten atak było wykorzystanie luk w zabezpieczeniach w zwrotnych serwerach proxy w celu wygenerowania ruchu. Zakładamy, że cyberprzestępcy próbowali zamaskować prawdziwe źródło ataku; natomiast w celu wygenerowania ruchu wykorzystane zostały nowe rodzaje botnetów, składające się z podatnych na ataki zwrotnych serwerów proxy.

Ogólnie, pierwszy kwartał 2017 roku nie przyniósł żadnych niespodzianek. W drugim kwartale spodziewamy się stopniowego wzrostu odsetka ataków rozproszonych. Być może wyniki dotyczące następnego kwartału pozwolą uzyskać pewne wyobrażenie odnośnie zagrożeń, z jakimi będziemy musieli zmierzyć się w 2017 roku. Na razie możemy tylko zgadywać.   

Statystyki dotyczące ataków DDoS opartych na botnetach

Metodologia

Kaspersky Lab posiada szerokie doświadczenie w zakresie zwalczania cyberzagrożeń, w tym ataków DDoS różnego typu i złożoności. Eksperci z firmy monitorują aktywność botnetów przy pomocy systemu DDoS Intelligence. DDoS Intelligence (wchodzący w skład Kaspersky DDoS Protection) przechwytuje i analizuje polecenia wysyłane do botów z serwerów kontroli (C&C). W celu gromadzenia danych nie musi czekać, aż zostaną zainfekowane urządzenia użytkowników lub wykonane polecenia cyberprzestępców.      

Prezentowany tu raport zawiera statystyki pochodzące z systemu DDoS Intelligence dotyczące pierwszego kwartału 2017 roku.

Dla potrzeb prezentowanego raportu jeden (oddzielny) atak DDoS określa się jako incydent, podczas którego jakakolwiek przerwa w aktywności botnetu trwa krócej niż 24 godziny. Jeśli ten sam zasób sieciowy został zaatakowany przez ten sam botnet po przerwie trwającej dłużej niż 24 godziny, mówimy o oddzielnym ataku DDoS. Ataki na ten sam zasób sieciowy przeprowadzone z dwóch różnych botnetów również uważa się za oddzielne ataki.    

Geograficzny rozkład ofiar ataków DDoS oraz serwerów kontroli (C&C) jest określany na podstawie ich adresów IP. W tym raporcie liczba celów ataków DDoS jest obliczana na podstawie liczby unikatowych adresów IP podanych w statystykach kwartalnych.  

Należy zauważyć, że statystyki dotyczące DDoS Intelligence ograniczają się do botnetów wykrawanych i analizowanych przez Kaspersky Lab. Należy również zaznaczyć, że botnety to zaledwie jedno z narzędzi wykorzystywanych do przeprowadzania ataków DDoS; dlatego przedstawione w tym raporcie dane nie obejmują każdego ataku DDoS, który miał miejsce w badanym okresie.  

Podsumowanie I kwartału

  • W I kwartale 2017 r. celem ataków DDoS były zasoby zlokalizowane w 72 krajach (dla porównania, w IV kwartale 2016 r. ich liczba wynosiła 80)
  • 47,78% atakowanych zasobów było zlokalizowanych w Chinach – znacznie mniej niż w poprzednim kwartale (71,60%).  
  • Chiny, Korea Południowa oraz Stany Zjednoczone nadal stanowiły liderów pod względem zarówno liczby ataków DDoS jak i liczby celów, podczas gdy Holandia zajęła miejsce Chin pod względem liczby wykrytych serwerów.   
  • Najdłuższy atak DDoS w pierwszym kwartale 2017 roku trwał 120 godzin – o 59% krócej niż wynosi najdłuższy atak w poprzednim kwartale (292 godziny). Łącznie 99,8% ataków trwało krócej niż 50 godzin.  
  • Znacznie wzrósł odsetek ataków przy użyciu TCP, UDP oraz ICMP, natomiast udział ataków DDoS typu SYN zmniejszył się z 75,3% w IV kwartale 2016 roku do 48% w pierwszym kwartale 2017 r.    
  • Po raz pierwszy od roku aktywność botnetów opartych na systemie Windows przewyższyła aktywność botnetów opartych na systemie Linux – ich udział zwiększył się z 25% w zeszłym kwartale do 59,8% w I kwartale 2017 r.    

Rozkład geograficzny ataków

W I kwartale 2017 roku rozkład geograficzny ataków DDoS zawęził się do 72 krajów, przy czym Chiny odpowiadały za 55,11% ataków (o 21,9 punktu procentowego mniej niż w poprzednim kwartale). Na drugim i trzecim miejscu znalazły się odpowiednio Korea Południowa (22,41% w stosunku do 7,04% w IV kwartale 2016 r.) oraz Stany Zjednoczone (11,37% w stosunku do 7.30%).    

Dziesięć najczęściej atakowanych państw stanowiło cel 95,5% wszystkich ataków. W rankingu pojawiła się Wielka Brytania (0,8%), która zajęła miejsce Japonii. Wietnam (0,8%, + 0,2 punktu procentowego) awansował z siódmego miejsca na szóste, natomiast Kanada (0,7%) spadła na ósme.       

ddos_q1_en_1_auto.png

Rozkład ataków DDoS według państwa, porównanie IV kwartału 2016 r. z I kwartałem 2017 r.  

Ze statystyk dotyczących pierwszego kwartału wynika, że 10 najczęściej atakowanych państw stanowiło cel 95,1% wszystkich ataków DDoS.     

ddos_q1_en_2_auto.png

Rozkład celów unikatowych ataków DDoS według państwa, porównanie IV kwartału 2016 r. z I kwartałem 2017 r.   

Podobnie jak w przypadku rankingu pod względem liczby ataków, w I kwartale 2017 r. cyberprzestępcy byli znacznie mniej zainteresowani atakowaniem celów w Chinach, w których odnotowano 47,78% ataków. Mimo to Chiny nadal zajmowały pierwsze miejsce pod tym względem. Pierwsze trzy pozycje pozostały niezmienione w stosunku do poprzedniego kwartału mimo znacznego wzrostu udziału Korei Południowej (z 9,42% do 26,57%) oraz udziału Stanów Zjednoczonych (z 9,06% do 13,80%).     

Rosja (1,55%) spadła z czwartego miejsca na piąte, po tym jak udział tego państwa odnotował spadek o zaledwie 0,14 punktu procentowego. Miejsca Rosji zajął Hong Kong (+ 0,35 punktu procentowego). Z kolei Japonię i Francję zastąpiły w rankingu Top 10 Holandia (0.60%) i Wielka Brytania (1,11%).         

Zmiany w liczbie ataków DDoS

W I kwartale 2017 roku liczba ataków w ciągu jednego dnia wynosiła od 86 do 994. Większość ataków miało miejsce 1 stycznia (793 ataków), 18 lutego (994) oraz 20 lutego (771). Z kolei do najspokojniejszych dni w I kwartale należał 3 lutego (86 ataków), 6 lutego (95), 7 lutego (96) i 15 Marca (91). Ogólny spadek liczby ataków w okresie od końca stycznia do połowy lutego jak również tendencję spadkową w marcu można przypisać spadkowi aktywności rodziny botów Xor.DDoS, która miała znaczący udział w statystykach.          

ddos_q1_en_3_auto.png

Liczba ataków DDoS na przestrzeni czasu* w I kwartale 2017 roku

*Ataki DDoS mogą trwać kilka dni. W tym czasie ten sam atak może zostać policzony kilka razy, tj. jeden raz dla każdego dnia jego trwania.

Rozkład aktywności związanej z atakami DDoS według dnia tygodnia odnotował niewiele zmian w stosunku do poprzedniego kwartału. Sobota była najbardziej aktywnym dniem tygodnia w pierwszym kwartale jeśli chodzi o ataki DDoS (16,05% ataków). Z kolej najspokojniejszym dniem tygodnia pozostał poniedziałek (12,28%).   

ddos_q1_en_4_auto.png

Rozkład liczby ataków DDoS według dnia tygodnia, IV kwartał 2016 r w porównaniu z I kwartałem 2017 r.

Rodzaje i czas trwania ataków DDoS

W I kwartale 2017 r. miał miejsce znaczny wzrost liczby i odsetka ataków DDoS typu TCP – z 10,36% do 26,62%. Odsetek ataków UDP i ICMP również odnotował znaczący wzrost – odpowiednio z 2,19% do 8,71% oraz z 1,41% do 8,17%. Z drugiej strony w badanym okresie nastąpił znaczący spadek udziału ataków DDoS typu SYN (48,07% w stosunku do 75,33%) oraz ataków HTTP (z 10,71% do 8,43%).         

Wzrost odsetka ataków TCP był spowodowany większą aktywnością botów z rodziny Yoyo, Drive i Nitol. Wzrost liczby ataków ICMP jest wynikiem aktywności Yoyo i Darkrai. Boty Darkrai również zaczęły przeprowadzać więcej ataków UDP, co znalazło odzwierciedlenie w statystykach.       

ddos_q1_en_5_auto.png

Rozkład ataków DDoS według typu, IV kwartał 2016 w porównaniu z Q4 2016 and Q1 2017

W pierwszym kwartale 2017 r. niewiele ataków trwało krócej niż 100 godzin. Najwięcej z nich (82,21%) trwało niecałe cztery godziny – o 14,79 punktów procentowych więcej niż w poprzednim kwartale. Znacząco zmniejszył się odsetek jeszcze dłuższych ataków: udział ataków trwających 50-99 godzin stanowił 0,24% (dla porównania, w IV kwartale 2016 r. wynosił 0,94%); udział ataków trwających 5-9 godzin zmniejszył się z 19,28% do 8,45%; odsetek ataków trwających 10-19 godzin zmniejszył się z 7% do 5,05%. Z kolei odsetek ataków trwających 20-49 godzin wzrósł nieznacznie – o 1 punkt procentowy.             

Najdłuższy atak DDoS w pierwszym kwartale trwał zaledwie 120 godzin, o 172 godzin krócej niż maksymalna długość ataku w poprzednim kwartale. 

ddos_q1_en_6_auto.png

Rozkład ataków DDoS według długości trwania (w godzinach), IV kwartał 2016 r. w porównaniu z I kwartałem 2017 r.

Serwery kontroli oraz typy botnetów

W I kwartale największa liczba serwerów kontroli została wykryta w Korei Południowej: udział tego państwa wzrósł z 59,06% w poprzednim kwartale do 66,49%. Na drugim miejscu uplasowały się Stany Zjednoczone (13,78%), na kolejnym natomiast Holandia (z odsetkiem 3,51%), która zastąpiła Chiny (1,35%) w pierwszej trójce państw hostującej najwięcej serwerów kontroli. Łączny udział trzech liderów stanowił 83,8% wszystkich wykrytych serwerów kontroli.         

Pierwsza dziesiątka odnotowała znaczące zmiany. Ranking opuściła Japonia, Ukraina oraz Bułgaria, w ich miejsce natomiast pojawił się Hong Kong (1,89%), Rumunia (1,35%) oraz Niemcy (0,81%). Na specjalną wzmiankę zasługuje gwałtowny wzrost udziału Chin: państwo to spadło z drugiej pozycji na siódmą.       

ddos_q1_en_7_auto.png

Rozkład serwerów kontroli botnetów według państwa w I kwartale 2017 r.  

W I kwartale znacząco zmienił się rozkład systemów operacyjnych: boty DDoS oparte na systemie Windows stały się bardziej rozpowszechnione niż boty IoT, odpowiadając za 59,81% wszystkich ataków. Wynika to z coraz większej aktywności botów należących do rodzin Yoyo, Drive oraz Nitol, z których wszystkie zostały stworzone dla systemu Windows.      

ddos_q1_en_8_auto.png

Korelacja między atakami przeprowadzonymi z botnetów opartych na systemach Windows i  Linux, IV kwartał 2016 r. w porównaniu z I kwartałem 2017 r.

Większość ataków - 99,6% - zostało przeprowadzonych przez boty należące do jednej rodziny. Cyberprzestępcy przeprowadzali ataki przy użyciu botów z dwóch różnych rodzin w zaledwie 0,4% przypadków. Udział ataków z udziałem botów z trzech rodzin był nieznaczny.        

Zakończenie

Chociaż pierwszy kwartał 2017 roku był raczej spokojny w porównaniu z poprzednim okresem, miało miejsce kilka interesujących zdarzeń. Mimo coraz większej popularności botnetów IoT boty oparte na systemie Windows odpowiadały za 59,81% wszystkich ataków. Coraz bardziej rozpowszechnione stają się złożone ataki, które można odeprzeć jedynie przy użyciu wyrafinowanych mechanizmów ochrony.         

W I kwartale 2017 roku nie odnotowaliśmy żadnego ataku, który miał na celu sztuczne spotęgowanie ruchu, co sugeruje spadek ich efektywności. Można założyć, że tego rodzaju ataki stopniowo odchodzą do przeszłości. Innym trendem widocznym w badanym kwartale był wzrost liczby ataków opartych na szyfrowaniu. Jednak nie można jeszcze mówić o znaczącym wzroście.