网络安全观察报告

攻击类型分析

2018 年，主要的攻击类型 1 为 SYN Flood，UDP Flood，ACK Flood，HTTP Flood，HTTPS　Flood，这五大类攻击占了总攻击次数的 96％，反射类攻击不足 3%。和 2017 年相比，反射类型的攻击次数大幅度减少了 80%，而非反射类攻击增加了 73%，之所以如此，是相关部门对反射源进行了有效的治理。
从攻击流量来看，ACK Flood占了全部流量的 42.6%。因为某些行业（如游戏），用户量大，会话数多，长连接，容易受到 ACK攻击，并且 AC
1　此处对混合攻击进行了拆解
图 5.13 攻击类型的攻击次数分布
攻击次数占比攻击流量占比
SYN Flood 依然是 DDoS的主要攻击手法。攻击者利用 TCP 协议缺陷，发送大量的 TCP 连接请求，从而使得被攻击方资源耗尽的攻击方法。ACK Flood 很少单独使用，经常与 SYN Flood 一起使用，使主机和防火墙
费大量的精力来计算 ACK报文是否合法以致不堪重负，既消耗了目标的资源，又进行了流量攻击。
UDP Flood 是长期活跃的流量型 DDoS 攻击。常见的情况是利用大量 UDP小包冲击 DNS 服务器
或 Radius 认证服务器、流媒体视频服务器。UDP Flood 无需建立连接，协议简单，容易打出大流量攻击报文，因此深受攻击者的青睐。HTTP Flood/HTTPS Flood 是针对 Web 服务在应用层发起的攻击，攻击者通过模拟正常用户对网站执行网页访问行为。这类攻击会引起严重的连锁反应，当客户端
不断请求而且附带大量的数据库操作时，不仅直接导致被攻击的 Web 前端响应缓慢，还间接攻击到后端服务器程序，严重的情况下可造成数据库等后端服务卡死，崩溃，甚至对相关的主机，例如日志存储服务器和图片服务器都带来影响。从 DDoS攻击事件来看，有 13% 的攻击事件使用了多种攻击手法。攻击者根据目标系统的具体环境灵动组合，发动多种攻击手段，既具备了海量的流量，又利用了协议、系统的缺陷，尽其所能地展开攻
势。对于被攻击目标来说，需要面对不同协议、不同资源的分布式的攻击，分析、响应和处理的成本就会大大增加。
图 5.14 混合攻击分布
3种类型 1.4%
4种类型单一类型混合攻击 2种类型 0.3%
5种及以上
2018 年，虽然反射类型的攻击次数大幅减少，仅占全部攻击的 10%，由于反射攻击对流量的放大作用，其危害仍不可忽视。
从攻击次数来看，NTP 反射攻击独占鳌头，在全部反射攻击中占比 SSDP 反射攻击占了全部反射攻击流量的 42%。
3%，但攻击流量却占了全部流量的
60％；从产生的流量来看，
图 5.15 各类反射攻击次数与流量占比
攻击次数攻击流量
从活跃反射源数量来看，2018 年下降了 60%，其中 SSDP 反射源有显著的减少，而 DNS反射源有一定程度的增加。由此可见，相关部门对攻击源的治理，特别是 SSDP 反射源，是卓有成效的。
图 5.16 活跃反射源数量变化
|

Q1 Q2 Q3 Q4

2017 年

Q1 Q2 Q3 Q4

2018 年

恶意软件观察

在 2018 年的活跃恶意软件中，活动程度从高到低依次是后门、挖矿、蠕虫、木马、僵尸肉鸡 [^1]。后 png)门程序隐蔽性高不易被发现，依旧保持着极高的活跃度。虽然，随着虚拟货币市场的持续缩水，挖矿活动也有所减少，但其活动频繁程度仍仅次于后门程序排名第二。
图 6.1 恶意软件类型分布
后门 67.7% 挖矿 15.9%

蠕虫

木马 1.6%

僵尸肉鸡

勒索 0.1%
其它 4.5%

后门

在信息安全领域，后门是指绕过安全控制而获取程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。攻击者往往通过一些欺骗手段，诱使用户主动进行一些操作，比如下载或打开装有恶意代码的文件，用户在毫不知情的状况下在算机上创建了一个后门。或者，攻击者在利用其它攻击方式攻陷一台主机后，在该主机上创建后门，这样既可以保证轻而易举的随时入侵又有很好隐蔽性，难以被发现。
图 6.2 后门程序活动抽样统计
后门程序在 1月至 3月底期间，活动次数较少，起伏不大。4月至 10 月底都属于活跃期，中间波动较大， 4 月、5 月是全年活跃度的高峰时期。11 月开始活动次数逐渐减少，并在一个较低值趋于稳定。
早在 2014 年，国内电子厂商生产的 NetCore 系列路由器等设备被披露存在高权限后门。NetCore 漏洞的存在，使得攻击者可以通过此漏洞获取路由器 Root 权限，可完全控制受影响的产品。目前，很多互联网上还存在有该后门的路由器设备，而这些设备被国外物联网僵尸网络 Gafgyt 家族再次利用。由 18 年全年的数据监测情况可知，该后门利用相关的活动十分活跃。

挖矿

2017 年加密货币的价格持续飙升，在利益驱使下，传统勒索软件操纵者中很大一部分转向加密货币的挖掘。比特币、门罗币、以太坊等多种加密货币交易一度十分活跃。据不完全统计，目前全球有超过 1600 种加密货币，总市值超过 3400 亿美元。18 年虽然加密货币的价格已大幅缩水，但项目开发并未停滞，市场活动依然活跃，挖矿依旧是攻击者变现的重要手段，短时间内并不会出现颓败现象。
图 6.3 挖矿程序活动抽样统计
2018 年挖矿类恶意程序活跃度震荡起伏，但总体呈现上升趋势。我们监测到上半年从 4 月份开始，挖矿活动渐有起色，五月中旬到达上半年的一个小高峰。相较于上半年的活动情况，下半年活跃度明显波动较大。8 月、9 月进入相对低迷的时期，10 月迅速回温，随后波动经历了一段时间的低谷。这种现象并没有持续很久，12 月突飞猛进一跃达到了全年的峰值。
值得一提的是，在所有挖矿病毒中，WannaMine 最为活跃，传播过程利用了永恒之蓝漏洞。永恒之蓝是美国国家安全局 NSA旗下的黑客组织 Equation Group 开发的网络攻击工具，利用 Windows 系统的 SMB漏洞可以获取系统最高权限。
2017 年 WannaCry 席卷全球，五个小时内，包括英国、俄罗斯、整个欧洲以及中国国内多地中招，最终影响国家高达 150 多个，经济损失极其严重。同样是永恒之蓝漏洞，2018 年，WannaMine 家族成为挖矿大军中的主力，上半年在所有检测到的挖矿活动中，占比超过了 70%，传播速度令人咂舌。在攻击武器的选择上，永恒之蓝漏洞攻击被多数挖矿病毒家族所青睐。虽然从 17 年 5 月份曝光至今已超过一年半的时间，但利用永恒之蓝漏洞的攻击仍屡试不爽，这应当引起各行业从业者的重视。
在 18 年的挖矿活动中，我们监测到更多的矿工选择了门罗币而非比特币。门罗币就比特币而言具有更好的匿名性，在交易过程中不会涉及到钱包地址，更加注重交易者的隐私。此外，门罗币降低了挖矿的门槛，任何的 CPU 或 GPU都可以参与进来，这种对普通用户的开放性也为黑客提供了更多牟利的机会。

蠕虫

在《2018 上半年网络安全观察》中我们指出，大部分蠕虫病毒最早发现时间距今都有 5 年以上，可见这些蠕虫病毒繁衍、进化的能力以及在网络中彻底清除的难度。从全年的监测数据来看，这一现象仍然存在。2018 年全年监测到的最为活跃的蠕虫病毒种类共计 39 个，其中从发现至今超过 5 年的病毒占比 60% 以上。
图 6.4 蠕虫活动抽样统计
前 3 个月蠕虫活动较少，4、5 月份活动量急速上升，到达全年的峰值，下半年活跃度稍有起伏，不过总体呈下降趋势，并趋于稳定。结合全年数据来看，活跃度最高的两个蠕虫病毒分别为：
W32.Faedevour 今年上半年中该病毒的表现就尤为突出，综合全年数据来看活跃度仍高居首位，其活动次数远超排名前 5 的其他病毒。它在受感染的计算机中打开一个后门，窃取信息，接受远程攻击者的命令执行截图、下载文件、发送文件给攻击者等一系列操作，该蠕虫试图通网络驱动器和共享文件夹进行传播。
SQL Slammer 该蠕虫病毒利用 SQL Server 弱点采取阻断服务攻击 1434 端口并在内存中感染 SQL Server，通过被感染的 SQL Server 再大量的散播阻断服务攻击与感染，造成 SQL Server 无法正常作业或宕机，使内部网络拥塞。

木马远控

木马的核心功能为信息窃取与其他复杂的远程控制。与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。而现实中病毒的分类往往没有统一的标准，木马病毒也可以拥有蠕虫特征。在此，我们以木马的核心功能作为简单的划分。
今年是信息泄露尤为严重的一年，从 Facebook 到 A站再到圆通、华住、万豪等数以亿计的个人信息遭到窃取，与此同时，登录凭证、敏感文件、银行和支付信息等仍是黑客攻击的目标。
图 6.5 木马活动抽样统计
2018 年上半年木马程序相当活跃，4 月初到 5 月底是爆发期，下半年则相对低迷，波动不大。木马活跃度整体虽略有下降但暗云系列仍层出不穷，活动依旧频繁。从 2015 年至今，暗云木马已感染数以百万的计算机，并经过了几次的更新迭代，各变种也层出不穷，查而未绝。其中 Bootkit 木马是迄今为止最复杂的木马之一，其触角已发展到了黑色产业的方方面面。
此外，在我们监测到的通信中，XCodeGhost 木马通信仅次于暗云系列。2015 年 XcodeGhos 首次被发现便引起了安全圈的广泛关注。Xcode 作为苹果 APP 开发工具被不法分子利用将恶意代码植入到 Xcode 安装包中并发布到网上。由于部分开发者没有从正规途径下载 Xcode，而是使用含有恶意代码的工具编译 APP，从而影响到大量 APP 用户。控制者可以收集用户设备上的诸多信息，甚至直接控制用户设备进行其他攻击。这提醒我们各开发者和组织也要敲响警钟，注重安全性审核。

僵尸肉鸡

Botnet 一直以来都是互联网环境中不可忽的危害。作为一种常见的恶意程序，它具有较强的隐蔽性，兼具蠕虫、木马的特征。Botnet 程序能够通过漏洞或者其他脆弱性获取目标主机的控制权，可以窃取目标主机中的信息或者操纵目标进行网络攻击。Botnet 可构成网络攻击的重要媒介，通过控制大量肉鸡发起多种攻击，甚至是结合新的攻击类型发动未知攻击，常见的攻击行为包括 DDoS 攻击，发送垃圾邮件，加密勒索，资源滥用等。
Botnet 目前已有相当成熟的商业运作，在 BaaS”(Botnet as a Service，僵尸网络即服务 ) 的模式下，平台化日趋成熟，普通用户亦可通过简单的操作来发起大规模的僵尸网络攻击事件，极大的降低了攻击者门槛。
图 6.6 僵尸程序活动抽样统计
对僵尸网络全年的监控可以发现，5 月份是活动的爆发期，其他月份攻击次数相对较低，存在小范围的波动。在《2018 上半年网络安全观察》中我们提到，BillGates 僵尸网络和 Artemis 僵尸网络家族非常活跃。综合 2018 全年数据来看，BillGates 首屈一指，远超其他家族。
BillGates 首次披露于 2014 年，是多平台家族，主要运行在类 *nix平台。在诞生后的 4 年时间内， BillGates 家族不断发展，陆续产生了运行 Windows 平台下的 Webtoos 变种与专门用于感染 arm 等嵌入式设备的 BillGates.lite 系列变种等。由于其提供了 UI界面使得攻击者使用起来更加便利，因此颇受
黑产组织的欢迎。2018 第一季度，BillGates 家族进入全面活跃期，短时间内进行了大量的攻击并迅速转入静默状态。此次攻击事件持续时间长，攻击范围广泛，具有很高的分析与追溯价值。
Gafgyt 在 IoT 领域十分活跃，我们于 2017 年开始对这一家族进行了长期的跟踪。在《2018 Botnet 趋势报告》中我们指出，Gafgyt 家族 Botnet 已经实现了由传统的出售攻击流量的获利方式，转变为通过云平台提供僵尸主机租赁服务。在这样的销售模式下，Botnet 的使用门槛被进一步降低，其攻击势必会波及更多的领域。因此，如此类模式成为主流，Botnet 也将整体进入更高的威胁等级。