Akamai 發佈 「2017 年第二季網際網路現狀 − 安全報告」 分析捲土重來的 PBOT 惡意軟體;網域生成演算法; Mirai 指揮、控制與攻擊目標間的關係
【2017 年 8 月 29 日,台北】Akamai Technologies, Inc.(NASDAQ: AKAM)發佈《2017 年第二季網際網路現狀–安全報告》最新資料顯示,因為捲土重來的 PBOT DDoS 惡意軟體成為 DDoS 的攻擊基礎,分散式阻斷服務(DDoS)與網路應用程式攻擊數量又再次增長,而這波攻擊亦是 Akamai 本季所見最強。
在使用 PBOT 的案例中,惡意攻擊者運用有數十年歷史的 PHP 程式碼,發動 Akamai 在第二季觀察到的最大型 DDoS 攻擊。攻擊者得以建立一個迷你 DDoS 殭屍網路,藉此發動每秒 75 Gbps 的 DDoS 攻擊。耐人尋味的是,PBOT 殭屍網路僅由小量的 400 個節點構成,卻仍能產生驚人的攻擊流量。
在「死灰復燃的攻擊」清單中,其中一項是 Akamai企業威脅研究團隊(Akamai Enterprise Threat Research Team)所做的分析報告,討論網域生成演算法(Domain Generation Algorithms;DGA) 在惡意軟體指揮與控制(Command and Control;C2)基礎架構中的應用。雖然 DGA 與 Conficker 蠕蟲在2008年共同出現,但時至今日,新式惡意軟體仍常將 DGA 用於通訊技術。團隊發現,受感染的網路產生的DNS 查詢率是正常網路的 15 倍之多,這種結果可以解釋成惡意軟體在受影響的網路上存取隨機產生的網域所導致,由於產生的網域多數未註冊,全都存取勢必會產生許多雜訊干擾,因此分析受感染的網路與正常網路間的運作差異,就是辨識惡意軟體攻擊的重要方式。
去年九月發現 Mirai 殭屍網路時,Akamai 是首批被攻擊的對象之一,公司平台持續受到攻擊,但都被成功擋下。Akamai 研究人員運用公司獨特的洞察力研究 Mirai 殭屍網路的各個面向,特別在第二季針對其 C2 基礎架構進行研究。Akamai 研究人員指出,Mirai 極有可能如同其他殭屍網路般,推動 DDoS 商品化。根據觀察,雖然該殭屍網路有許多 C2 節點都對特定 IP 進行「針對性攻擊」,但有更多節點參與所謂「付費執行(pay-for-play)」攻擊。這些狀況下觀察到的 Mirai C2 節點會對 IP 進行短暫攻擊,隨後停止運作,接著繼續攻擊其他目標。
Akamai資深安全顧問Martin McKeay 表示:「攻擊者永遠都在試探企業安全防禦的弱點,弱點越普遍,攻擊就越有效,駭客也會投入更多精力和資源進行攻擊。像WannaCry 和 Petya 攻擊中所使用的 Mirai 殭屍網路事件,SQLi 攻擊量持續攀升與PBOT 東山再起,都顯示攻擊者除了使用新工具,也會續用過去證明有效的舊工具。」
數據
《2017 年第二季網際網路現狀–安全報告》其他關鍵研究成果包含:
- DDoS 攻擊數量連三季下滑後,於第二季增長 28%。
- DDoS 攻擊者發動的攻勢較過往持久,在第二季平均攻擊一個目標 32 次。其中一間遊戲公司共被攻擊 558 次,平均一天約被攻擊6 次。
- 全球經常性 DDoS 攻擊中運用的不重複 IP 位址有 32% 來自埃及,居各國之首,第一季的榜首是美國,而當時埃及未在前五名之內。
- 本季被用來發動 DDoS 攻擊的裝置數量降低,大規模 DDoS 攻擊中使用的 IP 位址減少98%,從 595,000 個降至 11,000個。
- 網路應用程式攻擊事件季度增長 5%,年度成長 28%。
- 本季網路應用程式攻擊中,超過半數(51%)使用 SQLi 攻擊,超越第一季的 44%,單在第二季就引發85 億次警報。
如需下載《2017 年第二季網際網路現狀–安全報告》,請至:http://akamai.me/2i9vrdz。
如需下載個別圖表包含相關圖片說明,請點此處。
研究方法
《2017 年第二季網際網路現狀–安全報告》彙整 Akamai 全球基礎架構所提供的攻擊資料,呈現出整個公司的多樣化團隊的研究結果。該報告匯集來自Akamai智慧型平台(Akamai Intelligent Platform™)的資料,分析目前的雲端安全與威脅概況,同時深入解析攻擊趨勢。此份報告的貢獻者包括 Akamai 各領域的資安專業人士,包含安全情報反應團隊(Security Intelligence Response Team;SIRT)、威脅研究單位(Threat Research Unit)、資訊安全(Information Security),以及客製化分析團隊(Custom Analytics Group)。