Level 3最新出炉的僵尸网络研究报告分析了全球僵尸网络的行为特征和趋势,发现了很多出人意料的结果。
Level 3的僵尸网络研究报告出炉
每天,网络服务商Level 3通信公司的安全团队都能监测到将近13亿次的安全事件;减轻大约22次DDoS[注]攻击;平均清除掉至少一个所谓控制及命令(C2)服务器网络。在其最新发布的僵尸网络研究报告“保卫互联网”中,Level 3利用自己的威胁情报系统,再综合其他的数据来源,确定出了一些有关僵尸网络、DDoS攻击以及恶意软件的趋势性行为。以下是其中的一些突出亮点。
美国哪个城市遭受的攻击最多?
根据Level 3对恶意C2服务器所发出的的流量所作的分析,硅谷位列前十大遭受攻击最多的美国城市之首。根据往返于恶意僵尸网络与其肉鸡之间的流量,紧随硅谷之后的是旧金山、斯科特斯戴尔、亚特兰大、西雅图、纽约、芝加哥、洛杉矶、阿什本(隶属于华盛顿特区)和圣路易斯。
僵尸网络的流量都来自哪里?
今年一季度,产生C2流量最多的国家是美国(20%的恶意C2服务器处在北美),其次是乌克兰、俄罗斯、荷兰与德国。
报告摘抄:“美国拥有丰富的基础设施,本身就很便于发动攻击。而因其对国内外一些重要目标的接近程度,也往往使美国成为一个非常理想的攻击地点,犯罪分子可以轻松建立起一个个连接性很好而又稳定的控制点。”
哪些国家遭受的攻击最多?
根据对2015年第一季度全球肉鸡流量的分布情况分析,挪威境内的流量最多,其次是美国、西班牙、瑞典、土耳其、乌克兰、中国、巴基斯坦、波兰和埃及。
而受灾最严重的国家,则根据被C2网络所侵占的肉鸡/唯一IP地址的绝对数量来排列。第一季度受灾最严重的前五个国家是:中国有532000个唯一-肉鸡IP地址,美国528000,挪威213000,西班牙129000,和乌克兰124000。
报告摘抄:“挪威的C2数量反映出在一个特定的Web托管环境中C2主机数量的增长,它导致了可确认的C2流量的激增。而在荷兰,较高的攻击流量也是因其与挪威和瑞典比较接近有关。对攻击目标的接近性在这些攻击活动中发挥着不小的作用,因为这种接近性可以大大提高攻击效率。”
估算肉鸡数量
Level 3发现,每台C2服务器可感染的平均主机数是1700台。22%的C2服务器会执行多项功能,例如分发恶意软件、DDoS[注]攻击和钓鱼服务。在第一季度内,一台C2的平均寿命为38天。
报告摘抄:“根据我们的研究,每台C2所感染的平均主机数量为1700台。在一年时间内,我们跟踪了600到1000台C2服务器,它们控制了数百万台受感染的主机。而C2与其肉鸡之间可测到的高流量也意味着安全社区有机会进行合作,以便主动出击,减少互联网上C2的数量。”
DDoS攻击在上升
Level 3称,大多数的DDoS攻击(56%)的目标都在美国境内。DDoS攻击在欧洲也呈现出上升势头。如若按照行业划分,2015年第一季度,最大的攻击目标是游戏行业,其次是互联网服务提供商、Web托管企业、科研机构和金融行业。
报告摘抄:“在过去两年间,攻击的体量和应用层攻击的频次都在增加。混合式的攻击也在增加。DDoS攻击如果掺杂其他的攻击手段(+微信关注网络世界),效果会更大,例如利用粗心大意的IT员工将恶意软件植入到后端系统,便可盗取大量的数据。”
欧洲的恶意流量都来自哪些国家?
在欧洲各国中,今年一季度,乌克兰是产生C2流量最多的国家。其次是俄罗斯、荷兰、德国、法国、英国、罗马尼亚、西班牙、瑞士和意大利。
报告摘抄:“尽管在前十大全球罪犯国中,各大洲差不多都有,但最大的C2流量主要来自欧洲和美国。我们所跟踪的C2服务器中,平均20%在北美,差不多相当于乌克兰和俄罗斯C2的总和。西欧和英国贡献了另外12%的C2流量。拉美所产生的流量仅为整体C2流量的2%。”
欧洲的受攻击目标
按照肉鸡的分布数量,欧洲的第一大攻击目标是挪威,其次是西班牙、瑞典、乌克兰、波兰、俄罗斯、德国、英国、希腊和法国。
来自拉美的恶意流量
在拉美国家中,巴拿马是今年一季度产生C2流量最多的国家,其次是阿根廷、巴西和墨西哥。
拉美的受攻击目标
按照肉鸡数量统计,拉美的第一大攻击目标是巴西、其次是阿根廷、墨西哥、委内瑞拉、厄瓜多尔、哥伦比亚、智利、哥斯达黎加和玻利维亚。
西亚/中亚/南亚的受攻击目标
西亚/中亚/南亚的受攻击目标国家第一是土耳其,其次是巴基斯坦、埃及、以色列、约旦、沙特、巴勒斯坦、黎巴嫩、阿曼和也门。
东亚/东南亚的受攻击目标
西亚/东亚的受攻击目标第一是中国大陆,其次是越南、中国台湾、韩国、日本、印尼、泰国、菲律宾、马来西亚和新加坡。(波波编译)
