全球最大、最值得信赖的云交付平台阿卡迈技术公司(Akamai Technologies, Inc.,以下简称:Akamai)(NASDAQ:AKAM)最新发布的《2017年第二季度互联网发展状况安全报告》。
数据表明,分布式拒绝服务(DDoS)和Web应用程序攻击次数再次呈现上升趋势。而导致这一趋势的罪魁祸首为PBot DDoS恶意软件——它亦是Akamai在第二季度发现的程度最强的DDoS攻击。
就PBot来讲,Akamai在第二季度发现恶意操作者利用数十年前的PHP代码生成最大型的DDoS攻击。攻击者能够创造出一种可以发动75 Gbps DDoS攻击的微型DDoS僵尸网络。有趣的是,PBot僵尸网络虽然由相对较小的400个节点组成,但仍可以产生高级别的攻击流量。
Akamai的企业威胁研究团队通过分析域生成算法(DGA)在恶意软件命令与控制(C2)基础架构中的使用情况,描绘出“旧貌换新颜”列表的另一个条目。虽然DGA早在2008年就与Conficker蠕虫病毒一同被世人所知,但其一直是当今的恶意软件最常用的通信技术。Akamai企业威胁研究团队发现,被感染的网络的DNS查找速率大约是一个干净网络的15倍。这就解释了在被感染网络上访问恶意软件随机生成的域的后果。
由于大多数生成的域名未被注册,因此试图访问全部域名会导致相当多的麻烦。分析被感染的和干净的网络行为特征之间的差异是识别恶意软件活动的重要方式。
去年九月发现Mirai僵尸网络时,Akamai正是它第一批攻击目标中的一个。此后,公司平台持续受到来自Mirai僵尸网络的攻击并成功抵御。Akamai研究人员利用公司对Mirai独一无二的可见性,研究僵尸网络的各个方面,特别是在第二季度对C2基础架构进行了研究。
Akamai的研究发现Mirai与其它僵尸网络一样,正在推动DDoS的商品化。虽然据观察,僵尸网络的许多C2节点向选定IP发动“专门攻击”,但更多的是以参与被认为是“付费游戏”的攻击而被注意到。在这种情况下,Mirai C2节点在较短时间内攻击IP,进入不活跃状态,然后重新出现,攻击其它目标。
Akamai高级安全顾问Martin McKeay表示:“攻击者不断寻求企业防御的弱点,漏洞越常见、越有效,黑客花在上面的精力和资源就越多。包括Mirai僵尸网络、WannaCry和Petya入侵、SQLi攻击次数的持续增加以及PBot再度出现在内的活动,全都展现了攻击者不仅会利用新工具,还会使用之前被证实的高效率的旧工具来发动攻击。”
报告的其它重要发现包括:
在持续三个季度呈下降趋势后,第二季度DDoS攻击次数相比上个季度增加了28%。
DDoS攻击者比以往任何时候都更加持久,平均攻击目标的次数是上个季度的32倍。一家游戏公司被攻击了558次,这等于平均每天近6次。
在频繁的DDoS攻击中,使用次数最多的唯一IP地址来自埃及,占全球总数量的32%。上一季度,美国位居榜首,而埃及没有排进前五名。
本季度用于发动DDoS攻击的设备有所减少。容量耗尽型DDoS攻击涉及的IP地址数量从595,000下降至11,000,降低了98%。
Web应用程序攻击的发生率环比增长5%,同比增长28%。
二季度超过半数(51%)的Web应用程序攻击使用了SQLi攻击,比上一季度增加44%,仅第二季度就产生了约1.85亿个警报。