您现在的位置是:首页 > 数字化转型 >
NETSCOUT威胁情报报告介绍
2018-08-29 20:33:41作者:NETSCOUT Arbor中国大陆和香港地区总经理 徐开勇来源:
摘要2007年以来,NETSCOUT Arbor(NETSCOUT(NASDAQ:NTCT)的安全部门Arbor)主动威胁等级分析系统(ATLAS®)一直在主动监控全球网络威胁情况,今天,该系统让我们能够查看全球近三分之一的网络。在这一期的新报告中,我们将分享从自身角度发现的一些成果。 ...
2007年以来,NETSCOUT Arbor(NETSCOUT(NASDAQ:NTCT)的安全部门Arbor)主动威胁等级分析系统(ATLAS®)一直在主动监控全球网络威胁情况,今天,该系统让我们能够查看全球近三分之一的网络。在这一期的新报告中,我们将分享从自身角度发现的一些成果。
随着整个网络环境中威胁不断升级,在通过服务提供商客户保护企业网络和互联网的过程中,NETSCOUT的独特地位让我们获得了广阔的视野,从而了解这一不断变化的动态环境。借助这种全面的视角和由NETSCOUT的ATLAS安全工程和响应团队(ASERT)牵头的分析工作,我们根据所有数据并经过大量研究分析,观察了2018年前六个月的威胁情况,并提出了具有代表性的观点。
我们发现了什么?威胁形势正在以更快的速度先前发展,它的影响范围在扩大,策略在不断变化。DDoS威胁工具包中常见的方法已经成为犯罪软件和间谍活动的工具。这种加速发展的大规模网络威胁模式改变了发起、检测和阻止威胁的边界和方法。
以下是主要发现:
1. DDoS 攻击进入TB时代
去年冬天,基于Memcached的攻击标志着DDoS攻击进入TB时代。实际上,NETSCOUT Arbor已在2018年2月成功缓解了迄今发现的最大规模DDoS攻击(1.7TB DDoS攻击)。
2. 攻击规模增大,频率降低
2018年上半年,我们观测到大约28亿次攻击,尽管攻击数量巨大,但真正让人震惊的不是攻击的频率,而是其规模。从2017年到2018年,我们看到攻击频率略有下降,但攻击规模和范围急剧增大。2018年上半年,最大型DDoS攻击的规模较2017年同期增加了174%。我们估计,鉴于攻击工具变得越来越复杂,攻击者已经发现发起更大规模、更有效的攻击变得更加简单,且成本更低。
3. APT组织扩张到传统领域之外
越来越多的国家在运行具有攻击性的网络程序,我们在研究过程中发现了更广泛的威胁发起者,包括可能来自伊朗、朝鲜和越南的攻击活动。
4. 犯罪软件开发人员让攻击方法变得多样化
虽然邮件攻击依然是主要的攻击阵地,但我们发现用于提高恶意软件扩散速度的方法出现了显著变化。受到WannaCry等2017年蠕虫攻击事件的启发,主要的犯罪软件团体将蠕虫模块添加到具有明确目标的其他恶意软件中,例如证书窃取或传统装载程序。我们还发现恶意软件更加专注于加密货币挖矿,看起来攻击者将这种方法视为一种风险更低且回报更高的方法,来替代勒索软件,因为后者会引起执法机构的注意,产生不良副作用。
5. 国家会成为DDoS活动的重点攻击对象
攻击规模的大幅增长超过了频率的增长,虽然这一趋势在各个地区比较一致,但我们发现某些国家和地区成为了攻击的重点区域。与其他地区相比,亚太地区受到更多大容量攻击,中国成为新的重点攻击国家,2018年上半年中国受到17次规模超过500GB的攻击,而去年同期这样的攻击次数为零。
6. 垂直行业目标扩大
通过对目标行业同比数据进行分析,我们获得了一些见解。远程通信服务提供商和托管服务持续监测到绝大多数攻击,但我们也发现垂直行业的攻击数量同比发生较大变化。针对系统集成商和咨询服务的攻击数量增加,领事馆、大使馆、国际货币基金组织、国务院、联合国等政府机构遭受的攻击显著增多,与之对应的是,政府以及那些在意识形态上反对上述机构代表的利益的组织使用DDoS向目标发起攻击。
7. 新型DDoS攻击向量被迅速利用……
Memcached攻击活动使用配置错误的Memcached 服务器中的漏洞发起大规模DDoS攻击,从向可利用的第一个攻击工具发出初步报告,到利用该攻击造成全球影响,这个过程只用了很短的时间。尽管全世界积极动员修复已被攻击的服务器,但攻击向量依然存在可被利用的漏洞,并将持续被利用。实际上,一旦发明了一种DDoS类型,它就永远不会真正消失。
8. 旧事物焕发新生命
多年以来,简单服务发现协议(SSDP)被用于反射/放大攻击,有报告称这一现有工具是一种新型DDoS攻击活动,数百万存在漏洞的设备可能受到影响,ASERT今年证明这些报告是错误的。然而,ASERT确实发现了新的SSDP滥用类型,毫无防备的设备会通过非标准端口响应SSDP反射/放大攻击。由此引发的UDP数据包泛洪具有短暂的源端口和目的端口,这让SSDP衍射攻击的缓解工作变得更加困难。
9. 针对性APT活动的影响可能遍及整个互联网
由于单一民族国家APT组织在全球范围内不断发展,我们对观察战略领域的互联网活动特别感兴趣,在这些领域,NotPetya、CCleaner、VPNFilter等攻击活动在整个互联网中广泛扩散,在某些情况下,最终目标甚至是经过精心挑选的。这些攻击活动与企业长期以来已经习惯应对的针对性攻击不同,为了避免监测和维持存在状态,针对性攻击通常涉及直接的鱼叉式网络钓鱼和有限的范围。在这一方面,针对性攻击活动现在可以得到全网络范围入侵活动的支持。
10. 新型犯罪软件平台和攻击目标出现
由于不满足于仅仅增加新的恶意软件模块,犯罪软件开发者还忙于开发新的平台,例如ASERT发现的Kardon Loader测试版。同时,Panda Banker等为人熟知的恶意软件平台正在被定向到新的攻击目标。
关于作者
(本文不涉密)
责任编辑:路沙
随着整个网络环境中威胁不断升级,在通过服务提供商客户保护企业网络和互联网的过程中,NETSCOUT的独特地位让我们获得了广阔的视野,从而了解这一不断变化的动态环境。借助这种全面的视角和由NETSCOUT的ATLAS安全工程和响应团队(ASERT)牵头的分析工作,我们根据所有数据并经过大量研究分析,观察了2018年前六个月的威胁情况,并提出了具有代表性的观点。
我们发现了什么?威胁形势正在以更快的速度先前发展,它的影响范围在扩大,策略在不断变化。DDoS威胁工具包中常见的方法已经成为犯罪软件和间谍活动的工具。这种加速发展的大规模网络威胁模式改变了发起、检测和阻止威胁的边界和方法。
以下是主要发现:
1. DDoS 攻击进入TB时代
去年冬天,基于Memcached的攻击标志着DDoS攻击进入TB时代。实际上,NETSCOUT Arbor已在2018年2月成功缓解了迄今发现的最大规模DDoS攻击(1.7TB DDoS攻击)。
2. 攻击规模增大,频率降低
2018年上半年,我们观测到大约28亿次攻击,尽管攻击数量巨大,但真正让人震惊的不是攻击的频率,而是其规模。从2017年到2018年,我们看到攻击频率略有下降,但攻击规模和范围急剧增大。2018年上半年,最大型DDoS攻击的规模较2017年同期增加了174%。我们估计,鉴于攻击工具变得越来越复杂,攻击者已经发现发起更大规模、更有效的攻击变得更加简单,且成本更低。
3. APT组织扩张到传统领域之外
越来越多的国家在运行具有攻击性的网络程序,我们在研究过程中发现了更广泛的威胁发起者,包括可能来自伊朗、朝鲜和越南的攻击活动。
4. 犯罪软件开发人员让攻击方法变得多样化
虽然邮件攻击依然是主要的攻击阵地,但我们发现用于提高恶意软件扩散速度的方法出现了显著变化。受到WannaCry等2017年蠕虫攻击事件的启发,主要的犯罪软件团体将蠕虫模块添加到具有明确目标的其他恶意软件中,例如证书窃取或传统装载程序。我们还发现恶意软件更加专注于加密货币挖矿,看起来攻击者将这种方法视为一种风险更低且回报更高的方法,来替代勒索软件,因为后者会引起执法机构的注意,产生不良副作用。
5. 国家会成为DDoS活动的重点攻击对象
攻击规模的大幅增长超过了频率的增长,虽然这一趋势在各个地区比较一致,但我们发现某些国家和地区成为了攻击的重点区域。与其他地区相比,亚太地区受到更多大容量攻击,中国成为新的重点攻击国家,2018年上半年中国受到17次规模超过500GB的攻击,而去年同期这样的攻击次数为零。
6. 垂直行业目标扩大
通过对目标行业同比数据进行分析,我们获得了一些见解。远程通信服务提供商和托管服务持续监测到绝大多数攻击,但我们也发现垂直行业的攻击数量同比发生较大变化。针对系统集成商和咨询服务的攻击数量增加,领事馆、大使馆、国际货币基金组织、国务院、联合国等政府机构遭受的攻击显著增多,与之对应的是,政府以及那些在意识形态上反对上述机构代表的利益的组织使用DDoS向目标发起攻击。
7. 新型DDoS攻击向量被迅速利用……
Memcached攻击活动使用配置错误的Memcached 服务器中的漏洞发起大规模DDoS攻击,从向可利用的第一个攻击工具发出初步报告,到利用该攻击造成全球影响,这个过程只用了很短的时间。尽管全世界积极动员修复已被攻击的服务器,但攻击向量依然存在可被利用的漏洞,并将持续被利用。实际上,一旦发明了一种DDoS类型,它就永远不会真正消失。
8. 旧事物焕发新生命
多年以来,简单服务发现协议(SSDP)被用于反射/放大攻击,有报告称这一现有工具是一种新型DDoS攻击活动,数百万存在漏洞的设备可能受到影响,ASERT今年证明这些报告是错误的。然而,ASERT确实发现了新的SSDP滥用类型,毫无防备的设备会通过非标准端口响应SSDP反射/放大攻击。由此引发的UDP数据包泛洪具有短暂的源端口和目的端口,这让SSDP衍射攻击的缓解工作变得更加困难。
9. 针对性APT活动的影响可能遍及整个互联网
由于单一民族国家APT组织在全球范围内不断发展,我们对观察战略领域的互联网活动特别感兴趣,在这些领域,NotPetya、CCleaner、VPNFilter等攻击活动在整个互联网中广泛扩散,在某些情况下,最终目标甚至是经过精心挑选的。这些攻击活动与企业长期以来已经习惯应对的针对性攻击不同,为了避免监测和维持存在状态,针对性攻击通常涉及直接的鱼叉式网络钓鱼和有限的范围。在这一方面,针对性攻击活动现在可以得到全网络范围入侵活动的支持。
10. 新型犯罪软件平台和攻击目标出现
由于不满足于仅仅增加新的恶意软件模块,犯罪软件开发者还忙于开发新的平台,例如ASERT发现的Kardon Loader测试版。同时,Panda Banker等为人熟知的恶意软件平台正在被定向到新的攻击目标。
关于作者
徐开勇(George Tsui) NETSCOUT Arbor中国大陆和香港地区总经理 徐开勇(George Tsui)先生现任NETSCOUT Arbor中国大陆和香港地区总经理。他的主要职责包括在该地区管理和开发渠道销售网络,以及面向服务提供商和企业级市场制定销售策略和市场开发计划。加入NETSCOUT Arbor之前,他曾任英国电信公司区域总监,管理大中华区的销售渠道业务和运营,全面负责企业损益、卓越运营以及客户满意度。加入英国电信公司之前,他曾在香港电讯和Infonet香港公司担任不同的高级职务。 徐开勇先生在全球电信/ ICT行业拥有超过24年的丰富经验,其关注领域及专长包括渠道合作伙伴/联盟开发、销售和商业管理。 徐开勇先生在香港办公,拥有英国诺丁汉大学(University of Nottingham)电气与电子工程学士学位。 |
(本文不涉密)
责任编辑:路沙