一、关键信息
热点事件
2015年12月,著名黑客组织匿名者(Anonymous)向土耳其宣战谴责其支持某极端组织,土耳其互联网由此遭遇大规模网络攻击导致400,000个网站离线,攻击流量峰值带宽高达40Gbit/s。
僵尸网络现状
僵尸网络变得更易扩张,平台亦更加多样性,路由器和物联网(IoT)均成为僵尸网络寄宿平台新宠;同时也更善于伪装,商业趋利目的也更加明确。先进的僵尸网络更具备CaaS(Crime as a Service)特点。
从全球来看,僵尸主机分布TOP3国家为中国、印度、美国;控制服务器分布TOP3国家分别为美国、俄 罗斯、荷兰。
中国大陆,僵尸主机分布TOP3地区为广东、河南和江苏;控制服务器分布TOP3地区为上海、北京和浙江。
中国大陆,排名TOP5的僵尸网络依次为:Boer_Family、Remote-trojan.Nethief、Yoddos_Family、BillGates、 IMDDOS。
僵尸网络趋势预测
僵尸网络的种类和平台会持续呈现多样化特点。
在利益驱动下,利用物联网智能设备构建的僵尸网络会出现爆发式增长。
作为网络攻击的基础设施之一,僵尸网络的CaaS特点会越来越普遍。
专家观点
僵尸网络治理是全社会共同的责任,只有阻断控制服务器域名请求流量并关闭控制服务器,同时追究幕后黑客的法律责任,才能从根本上遏制僵尸网络扩张。
基于DNS流量监控僵尸网络,检出率高且具备很好的跨平台性,是最有效的僵尸网络检测、过滤技术。
DDoS攻击现状
政治分歧、恶意竞争、敲诈勒索、经济犯罪依然是DDoS攻击的主要动机。
攻击呈现两种趋势:要么是以各类反射攻击或者大报文Flood挤占网络带宽,要么是以慢速攻击精准打击互联网金融或者游戏等业务系统。
各类反射攻击横扫全球,依靠物联网的SSDP协议发起的UDP反射放大攻击呈现上升势头,UDP反射源更 增添 SQL RS 新成员;HTTP反射攻击成为攻击新宠。
路由器和物联网成为DDoS攻击源头新宠。
为有效躲避安全设备的过滤,僵尸网络发起的应用层DDoS攻击经常拟人化。
DDoS攻击同样具备CaaS特点,CaaS有效扩大了DDoS攻击的网络范围和攻击强度。
在中国大陆地区,浙江、广东、北京、上海的DDoS攻击事件比较集中。
SYN Flood、UDP Flood、HTTP Get Flood、DNS Query Flood依然是DDoS攻击的惯用手段。与2014年相比,UDP类反射放大攻击频率明显增加,超百G攻击多由超大报文SYN Flood或UDP类反射放大攻击组成,常见的UDP类反射放大攻击主要有NTP、DNS、SSDP、Chargen反射攻击。
攻击目标主要为游戏、电子商务、互联网金融、博彩等,恶意竞争是主要攻击动机,游戏行业是DDoS 攻击重灾区。
DDoS趋势预测
随着CT向IT化发展,IT向云化发展,DDoS攻防对抗的形势会更加严峻。
数量庞大的UDP和WEB开放服务器以及物联网智能设备会促使混合型的反射放大攻击在未来几年内流行,并进一步提升攻击流量峰值带宽。更多的反射源将会被挖掘出来。
随着全球范围内超大流量DDoS攻击频率逐步提升,运营商和企业均需要on-premise+cloud分层防御方案。
专家观点
相比传统DC,云DC安全现状更加严峻。只有安全防护作为SaaS,云DC提供商才有动力加大基础设施的安全投入。先进的云DC已经将DDoS防护作为SaaS提供给租户,并逐步加大防护方案建设投入。
针对业务系统的慢速DDoS攻击,属于精准攻击,更适合逐包检测技术,并配合业务访问IP信誉学习才能 有效防御攻击。
传统防御技术受到挑战。DDoS防御设备厂商或DDoS防护服务提供商必须积极投入如业务访问信誉学习、基于业务流量模型自动构建防御策略、全球威胁情报共享等新型防御技术的研究和应用。
二、热点事件
热点事件
媒体报道,12月份,著名黑客组织匿名者发布视频谴责土耳其支持某极端组织,并声称如果土耳其不停止该行为,那么他们将会对这个国家的DNS服务器及银行、政府、机场、军队网站等发动DDoS攻击。
2015年12月14至30日,大规模网络攻击导致土耳其400,000个网站离线,攻击流量峰值带宽高达40Gbit/s。
攻击分析
攻击主要分为两个阶段,第一个阶段从12月14持续至21日,攻击目标是土耳其DNS根服务器,攻击流量峰值带宽高达40Gbit/s。主要攻击类型包括DNS flood、UDP flood、NTP反射放大攻击、SSDP反射放大攻击。攻击导致400,000个.tr域名网站离线。
第二个阶段,从12月21日持续至30日,攻击目标主要为银行、政府网站以及和政府关系密切的企业网站,攻击流量峰值带宽高达36Gbit/s。主要攻击类型包括UDP Flood、NTP反射放大攻击、SSDP反射放大攻 击、SYN Flood、SIP Flood、HTTP Get Flood等。
虽土耳其运营商网络部署有DDoS防御系统,但因大流量攻击导致防御系统性能过载,透过流量使得被攻击银行、政府网站无法访问,后现网防御系统紧急扩容后,攻击被成功阻断,网站恢复访问。至此,攻击流量峰值大幅降低。
三、僵尸网络
僵尸网络现状
僵尸网络变得更易扩张,平台亦更加多样性,路由器和物联网均成为僵尸网络寄宿平台新宠;同时也更善于伪装,商业趋利目的也更加明确。先进的僵尸网络更具备CaaS特点。
扫描+暴力破解弱口令获取root账号植入木马依然是僵尸网络快速扩张的主要途径之一。典型代表有SSHPsychos、Elknot & BillGatest和Chinese Chicken。以SSHPsychos为例,黑客通过扫描获取SSH服务IP地址列表,然后暴力破解root账号,获得控制权后安装恶意软件,将感染主机加入僵尸网络,根据控制服务器命令实施 DDoS攻击。SSHPsychos的扩张速度之快让人咂舌,Level 3安全报告数据显示,2015年4月份,SSHPsychos的流量占整个互联网SSH流量的35%以上。从华为未然实验室监测到的僵尸网络数据来看, 中国互联网亦出现大量SSHPsychos流量。
漏洞利用同样是僵尸网络扩张的常用手段,比如Elknot & BillGates扩张采用Elasticsearch RCE漏洞,XOR.DDoS 则采用shellshock漏洞。
云计算促进了僵尸网络的快速发展。在云端低成本申请虚机资源用于快速构建僵尸网络变得更加便利,尤其付费方式采用盗取的信用卡时,购买者真实身份得以隐藏,难以做到实名制管理。再加上云DC环境中,租户数量庞大,鱼龙混杂,租户安全意识普遍不足,虚机操作系统和应用的可利用漏洞或弱口令普遍存在,导致 虚机被入侵植入木马加入僵尸军团。
Linux成为僵尸网络主要感染对象。Linux操作系统在数据中心普遍采用,导致僵尸网络变种以及新型僵尸网络优先选择感染Linux平台。比如Chinese Chicken 在2009出现时,只支持Windows,从2013年开始出现多个Linux变种;而XOR.DDoS和Elknot & BillGates从出现伊始就依赖于Linux系统。
路由器成僵尸网络寄宿平台新宠。2015年年初,华为未然实验室监测到的Dyre banking 木马,功能类似臭名昭著的Zeus,用于窃取用户银行信息,和Zeus最大区别是Dyre banking 依靠无线路由器传播。因攻陷多个大型游戏服务而闻名于世的黑客组织Lizard Squad 实施攻击依赖的正是由家用路由器组成的僵尸网络。
物联网因其分布范围广,成为僵尸网络感染新平台:CCTV(Closed-circuit TV cameras)僵尸网络利用闭路电视摄像头的弱口令破解获取控制权限对目标发起DDoS攻击。
DDoS攻击最能体现僵尸网络的“Crime as a Service”(犯罪即服务)的特点。2015年活跃在互联网的具 备显著CaaS特点的DDoS僵尸网络莫过于Lizard DDoS 和Elknot & BillGates。
国际上,打击僵尸网络的力度在加强。2015年,发生三起有影响力的业界联手打击僵尸网络的事件。第一起,欧美执法部门联合安全企业关闭了辛巴达僵尸网络(Sinbad botnet)的14台控制服务器,该僵尸网络半年内感染了全世界190个国家的77万台计算机。第二起,欧美多国执法机构联合安全厂商清除了已经存在6年且拥有3.5万台肉机的“蜂骨”僵尸网络(Beebone botnet)。第三起,运营商 Level 3 与安全设备厂商联手端掉用于发起DDoS攻击的僵尸网络SSHPsychos。
僵尸网络分布
根据华为未然实验室现网统计数据,从全球来看,僵尸主机分布TOP3国家为中国、印度、美国;控制服务器分布TOP3国家分别为美国、俄罗斯、荷兰。
图3-1 全球僵尸主机地域分布图
图3-2 全球控制服务器地域分布图
中国大陆,僵尸主机分布TOP3地区为广东、河南和江苏;控制服务器分布TOP3地区为上海、北京和浙江。
图3-3 中国大陆僵尸主机地域分布图
图3-4 中国大陆控制服务器地域分布图
中国大陆,排名TOP5的僵尸网络依次为:Boer_Family、Remote-trojan.Nethief、Yoddos_Family、BillGates 和IMDDOS。其中Yoddos_Family、BillGates和IMDDOS专用于DDoS攻击。
图3-5 中国大陆TOP5僵尸网络
趋势预测
随着互联网生态系统的多样化持续发展,僵尸网络的种类和平台也会持续表现出多样化的特点。
物联网迅猛发展,促使寄居于物联网智能设备的僵尸网络出现爆发式增长。
作为网络攻击的基础设施之一,僵尸网络的CaaS特点会越来越普遍。
专家观点
预防各类网络攻击,尤其像DDoS这类滥用网络资源的网络攻击,仅靠企业加固自身网络安全收效甚微。可以说,只要企业网络接入互联网,攻击就不可避免。各类网络攻击流量过滤均属于被动防御手段,治理网络攻击最有效的手段是加强僵尸网络的追踪和治理,从源头上阻断僵尸网络的活动。僵尸网络治理是全社会共同的责任,只有各国政府、运营商、安全厂商多方协作,从DNS服务器上阻断控制服务器域名请求,关闭控制服务器,并追究相关责任人的法律责任,才能从根本上遏制僵尸网络。
在针对僵尸网络的各类挖掘手段中,最有效的是控制服务器DNS域名请求监测及过滤技术。DNS缓存服务是连接互联网的第一步,因此借助DNS缓存服务器流量监控僵尸网络检出率最高。而且DNS监控技术具有天然的跨平台特点,无论僵尸网络寄居于固网还是移动网络或者是物联网,均可有效监控。
四、DDoS攻击
DDoS攻击现状
政治分歧、恶意竞争、敲诈勒索、经济犯罪依然是DDoS攻击的主要动机。政治动机型攻击惯于采用大规模网络攻击,攻击目标一般是银行和政府网站或者DNS服务器,影响范围大,容易引起民众大范围恐慌,堪称网络攻击的“核武器”。如12月份,著名黑客组织匿名者发布视频向土耳其宣战谴责其支持某极端组织,由此引发针对土耳其DNS根服务器的大规模网络攻击,导致土耳其400,000个网站离线。恶意竞争、敲诈勒索则属于对特定业务系统的精准打击,攻击行为越来越像“特种部队”:
1)对购买依靠DNS引流的清洗服务的网站直接攻击其源栈IP;
2)针对游戏认证服务器实施长时间的慢速攻击;
3)攻击时长经常以30分钟为一个阶段,不奏效,立马更换攻击手法,直到被攻击目标无法访问。经济犯罪则大多属于声东击西式的“烟雾弹”,以大流量攻击转移安全人员的注意力,掩盖其数据窃取的真实目的。
2015年,DDoS攻击呈现两种趋势:要么是以各类反射放大攻击或者大报文Flood挤占网络带宽,要么是以慢速攻击精准打击互联网金融或者游戏等业务系统。
各类反射攻击横扫全球,带宽型攻击占比亦明显提升。SSDP反射放大攻击频率更呈现出后来者居上的态势,攻击频率明显超越NTP、DNS和Chargen反射放大攻击。值得一提的是,SSDP反射攻击放大倍数只有30倍,为何成为反射放大攻击源新宠?主要源于物联网中众多网络摄像头、智能家电等海量即插即用(UPnP) 设备必须基于SSDP(Simple Service Discovery Protocol)进行相互感知,因此相比传统互联网中的NTP、DNS、Chargen服务,网络资源更加丰富。2015年,UDP类反射放大攻击家族更添新成员:SQL RS反射放大攻击。同时,反射攻击家族另一分支HTTP类反射攻击,在2015年也大放异彩:
1)借助可嵌入JavaScript的海量访问的网站发起HTTP反射攻击;
2)利用开放pingback服务的wordpress网站发起HTTP反射攻击。
3)利用Joomla 服务 器的Google地图插件漏洞发起HTTP反射攻击。
路由器因为实时在线,已经成为DDoS攻击源头新宠。因攻陷多个大型游戏服务而闻名于世的黑客组织 Lizard Squad实施攻击依赖的正是由家用路由器组成的僵尸网络。
物联网成为新型DDoS攻击源:CCTV(Closed-circuit TV cameras)僵尸网络利用闭路电视摄像头对外发起 HTTP Flood。
随着云计算的快速发展,互联网业务越来越集中化,这导致云DC面临更加严峻的DDoS攻击考验:
1)虚机廉价,租户线上注册,网上支付,用户真实身份难以有效甄别,管理难度大,甚至直接租用虚机做攻击机的事件时有发生;
2)租户安全意识不足,账户弱口令可轻易被暴力破解,植入木马,甚至自己无意识地开启无用服务,不仅威胁自身数据安全,还经常发起outbound DDoS攻击;
3)即使云服务提供商可提供安全服务,但云主机数量庞大,业务种类多,流量模型差别大,难以做到针对性的防护;
4)当面临DDoS攻击时,持续不断的连接型攻击直接考验云架构的性能极限和健壮性。
面对防御技术的不断推陈出新,先进的僵尸网络往往具备高超的伪装能力,支持防御设备的挑战认证探测正是其躲避检测、反防御能力的直接体现,真可谓“道高一尺,魔高一丈”。
应用层DDoS攻击因会暴露攻击主机IP,为了躲避防御系统的追踪,经常采用伪装技术。比如利用HTTP报文的User-Agent字段伪装成移动终端发起对移动应用的HTTP Get Flood;利用User-Agent字段伪装成各类流行浏览器在购物旺季或商品促销期发起对电子商务网站的HTTP Get Flood,其中IE、Firefox和Chrome因其互联网用户量巨大而经常被攻击者作为惯用的伪装伎俩;伪装成Baidu或Google爬虫发起对WEB服务器的HTTP Get Flood;模拟CDN对WEB网站发起攻击。
针对SYN Flood,防御设备通常采用错误序列号(TCP Sequence-ID)的挑战机制验证源IP的真实性,越来越 多的SYN Flood采用现网存在的IP地址段作为攻击源,使得挑战认证失效。迫使防御设备不得不采用正确序列号的挑战认证算法,但这种防御算法需要防御设备和客户端建立会话,验证结束需要拆除会话,对防御设备性能和客户体验都有影响。2015年,越来越多的正确序列号的挑战认证防御失效,说明僵尸网络已经适应这种防御机制,迫使防御设备厂商不得不推出基于源IP进行TCP访问报文比率的行为分析来识别攻击源IP。针对HTTP应用层攻击防御,常采用JavaScript挑战认证或者302重定向(302 redirection)挑战认证机制。2015年,华为未然实验室现网攻击事件统计数据显示,JavaScript和302重定向挑战认证机制失败率在逐步攀升。
DDoS攻击的CaaS特点不仅有效扩大了DDoS攻击的网络范围和攻击强度,而且是促使攻击技术快速发展、攻击源推陈出新的直接动力。2015年活跃在互联网的具备CaaS特点的DDoS僵尸网络莫过于Lizard DDoS和 Elknot & BillGates僵尸网络。
反射攻击
UDP类反射放大攻击
2015年,UDP反射放大攻击依然猖獗,而且还增添新成员:利用开放的Microsoft SQL Server Resolution Service发起的反射攻击能将攻击流量放大25倍以上。
华为未然实验室现网攻击统计数据显示,利用NTP、DNS、SSDP以及Chargen服务发起的反射放大攻击占比最高,这主要源于这几类服务具备放大倍数大及互联网分布广的特点。
华为未然实验室统计数据显示,开放DNS服务器数量依然最大,达到13,526,448个;SSDP服务器数量其次,达到9,867,385个,相比2014年增长4.16%;排行第三的是NTP服务器,达到4,436,709个;而Chargen服 务器数量达到4,240,411个。
图4-1 开放的DNS服务器全球地域分布图
图4-2 开放的SSDP服务器全球地域分布图
图4-3 开放的NTP服务器全球地域分布图
图4-4 开放的Chargen服务器全球地域分布图
HTTP类反射攻击
2015年三类HTTP类反射攻击影响力最大:JavaScript-based DDoS、WordPress pingback DDoS和Joomla反射攻击。
JavaScript-based DDoS:在海量访问的网页嵌入指向攻击目标网站的恶意JavaScript代码,当互联网用户访问该网页时,则流量被指向攻击目标网站。典型攻击事件是GitHub DDoS攻击。3月底,全球最大的社交编程及代码托管网站GitHub遭受大规模DDoS攻击,攻击者在百度页面植入JavaScript代码,当海外用户访问这些百度页面时,HTTP流量就被指向了GitHub网站。
WordPress pingback DDoS:基于wordpress搭建的WEB网站默认开放XML-RPC pingback服务,该服务是用来通知第三方网站blog系统有文章被引用。攻击者假冒攻击目标网站的IP地址给数以万计wordpress站点发送pingback请求,开放pingback服务的网站会向攻击目标网站发送HTTP get请求。此类攻击并非新鲜事物,事实上,2014年3月份,安全公司Sucuri就发现黑客利用超过16.2万个wordpress网站进行大规模DDoS攻击。2015年,此类攻击开始抬头,大量网站遭受wordpress攻击。Akamai安全报告声称来自比特币敲诈团伙DD4BC的DDoS攻击日渐增加,该团伙的惯用攻击手法就包含利用wordpress漏洞发起对攻击目标的大量HTTP get请求。
图4-5 开放pingback服务的wordpress网站全球地域分布图
Joomla反射攻击:某些版本的Google地图插件中存在多个漏洞,能够让攻击者将安装存在漏洞的Google 地图插件的Joomla服务器变成用于DDoS攻击的工具。DAVOSET和UFONet就是两款借助Joomla轻松发起HTTP反射攻击的工具。
地域分布
在中国大陆,浙江、广东、北京、上海的DDoS攻击事件比较集中,这主要缘于这几个省份是大型数据 中心的聚集地。
图4-6 中国大陆DDoS攻击事件地域分布图
攻击种类分布
华为未然实验室现网攻击事件统计数据显示,SYN Flood、UDP Flood(包括UDP类反射放大攻击)、HTTP Get Flood、DNS Query Flood依然是DDoS攻击的惯用手段。与2014年相比,UDP类反射放大攻击频率明显增加,超百G的DDoS攻击多由超大报文SYN Flood或者UDP类反射放大攻击组成,常见的UDP类反射放大攻击主要有NTP、DNS、SSDP、Chargen反射攻击,以及少量SNMP反射攻击。针对DNS服务器的攻击,多为请求不存 在域名形成Cache Miss攻击效果。因攻击DNS服务器的代价小,影响范围广,经常在政治动机型DDoS攻击事件中成为攻击目标首选。从现网攻击事件看,针对DNS服务器的攻击并非都是恶意攻击。互联网上当某些软件被禁止访问,域名被封堵,如果被封堵软件属于热门软件,则对这些域名的大量DNS请求则会导致DNS服务器性能出现瓶颈,同样能形成显著的攻击效果。这种现象在移动网络尤其明显。
图4-7 DDoS攻击类型分布图
攻击行业分布
攻击目标主要为游戏、电子商务、互联网金融、博彩等,恶意竞争是主要攻击动机,利润越高、竞争越激烈,遭受攻击的频率越高。游戏行业是DDoS攻击重灾区。
图4-8 DDoS攻击行业分布图
趋势预测
随着CT向IT化发展,企业IT向云化及集中化发展,DDoS攻防对抗的形势会更加严峻。
混合型的反射放大攻击会在未来几年内流行,并会进一步提升攻击流量峰值带宽。疏于监管且数量庞大的互联网UDP服务和WEB服务器,以及发展迅猛且又缺乏安全措施的物联网智能设备依然会作为主要的反射放大攻击源。而且随着时间推移,会有更多的反射源被挖掘出来。
随着全球范围内超大流量DDoS攻击频率逐步提升,直接危及运营商管道,全球Tier-2/3寻求在攻击源头过滤超大攻击流量的近源云清洗方案成为必然趋势。对企业网络防护而言,企业网络边界单点防护效果有限,企业越来越需要将上游网络管道提供商提供的云清洗服务和自身网络边界部署的on-premise防护结合起来形成分层防御方案,on-premise提供业务级精细化防护,云清洗服务过滤大流量攻击保护企业网络带宽。这一刚性需求反过来又促使运营商加快部署在国际关口局或城域网的on-premise防护系统为企业提供DDoS防护服务的安全运营业务开展。
专家观点
云DC安全现状令人堪忧,并且会在较长时间内存在。针对Inbound流量、Outbound流量甚至Cross-bound 流量的防护服务需要与存储、计算、带宽资源一起作为云计算的基础服务提供给租户,对租户的SaaS服务质量才能真正得到保证,云DC服务提供商的基础设施安全投入才能走向良性循环。先进的云DC已经将DDoS防护作为SaaS提供给租户,并逐步加大防护方案建设投入。
从多起针对互联网金融和游戏业务的慢速攻击过程来看,攻击者经过踩点,掌握了业务系统的访问特点和脆弱点,攻击效果明显。而且攻击的躲避性非常强:攻击流量小,攻击源IP分散,每个源的访问频率很低,攻击的检测难度陡然提升。面对慢速攻击,Flow检测技术成为盲点,必须采用逐包检测技术,并配合本 地业务访问IP信誉学习才能有效防御攻击。
就DDoS防御技术而言,利用黑名单、挑战认证、限速等传统防御技术会越来越难以应对复杂化的DDoS 攻击。DDoS防御设备厂商或DDoS防护服务提供商必须积极投入如业务访问信誉学习、基于业务流量模型自动构建防御策略、全球威胁情报共享等新型防御技术的研究和应用。
五、关于
关于华为未然实验室
华为未然实验室拥有众多网络安全领域的专业人才,聚焦核心安全技术研究,以建立先进的华为安全信誉体系与云安全架构为己任,提供主动安全防御方案,为客户的信息安全保驾护航,与客户的业务发展携手共进。
华为未然实验室建立了国内领先的安全能力生产平台,通过多种合法渠道收集恶意样本,汇总到海量样本管理系统中,再经过快速分析转化,形成安全特征库,发布给全球销售的安全产品,使客户网络在第一时间具备最新的安全防护能力。华为未然实验室在努力积累传统安全能力的同时,聚集前沿技术,深耕细分领域技术,形成了多个富有技术特色的专业型安全实验室。我们的研究团队与安全产品及解决方案一起,为华为客户提供积极主动的安全防御体系。
随着互联网的不断发展,云计算、移动终端的泛化,以及创新应用涌现,新型威胁不断升级,威胁态势也随之迅速变化,安全面向更多挑战。在当前日益严峻的安全形势下,华为技术有限公司将一如既往地坚持安全能力建设,提供符合客户要求的产品、解决方案和服务,帮助客户有效应对全球安全威胁和风险,成为 客户的可持续信赖的伙伴。
意见反馈
欢迎您对本报告内容提出宝贵意见,任何反馈请发送邮件到sec@huawei.com。版权所有 ©华为技术有限公司2015。保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档的部分或全部内容,并不得以任何形 式传播。
同时本报告中所涉及的所有内容仅为本公司华为未然实验室内部数据,仅供参考,不承担任何承诺和保证。
本文档中的商标、图片、标识均归华为技术有限公司或拥有合法权利的第三方所有。
数据来源
本报告中所有原始数据均来源于华为技术有限公司未然实验室,部分数据来自于合作伙伴。
