메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

Contents 공유하기

Contents 공유하기

카카오 스토리 공유하기

가입하기

Contents 공유하기

인스타그램 공유하기

가입하기

Contents 공유하기

네이버밴드 공유하기

가입하기

뉴스 개요

2017 년 3/4 분기에는 지난 분기의 추세가 계속 더 발전했습니다. 중국, 미국, 한국 및 러시아의 DDoS 공격이 증가하여 봇넷을 위해 수집 한 통계에 반영되었습니다. 호주 부문' 에는 공격 건수 (매일 450 회 이상)와 전력 (초당 최대 1580 만 건)의 급격한 급증이 기록되었습니다 보호 비용은 그에 따라 증가했습니다. 예를 들어, 9 월 초에 6 명의 IB 벤더  싱가포르 정부와 5 천만 달러 계약을 맺었습니다 (이전 3 년 계약에는 그 절반의 금액이 부과됩니다).

DDoS 공격을 근절하는 가장 큰 성공은 WireX 봇넷 ( 수백 개 국가에서 수십만 대의 장치)을 없애는 것이 었습니다 봇넷은 안드로이드 기기에서 은밀하게 작업 중이며 합법적 인 Google Play 애플리케이션을 통해 확산되고있었습니다. Google, Samsung 및 여러 대형 IT 보안 업체의 공동 행동으로 인해 봇넷을 퇴치해야했습니다. 사물과 마이크로 응용 프로그램에서 인터넷의 비통 한 보안 상태를 감안할 때 이러한 발견은 현재 상당히 정기적으로 발생하기 쉽습니다.

사이버 범죄자들은 ​​그들의 두뇌와 힘을 사용하고 있습니다. 8 월 중순, Imperva는 Pulse Wave 기술이 하이브리드 및 클라우드 기술의 취약성 덕분에 DDoS 공격의 힘을 증가시킬 수 있다고 설명했습니다 Imperva의 분석가들은 대부분의 DDoS 공격이 몇 시간 또는 며칠 동안 지속되는 짧지 만 강력한 갑작스러운 "punctuated"공격과 유사한 패턴을 곧 따라 올 것이라고 믿습니다.

사이버 범죄자의 이익 범위 내에서 목표는 동일하게 유지됩니다. 정치 분야에서 공격 건수의 증가는 질적 인 변화 과정을 촉발 시켰습니다. 일부 사람들은 DDoS 공격이 민주적 인 항의 의 정당한 형태라고 믿고 있습니다. 그러나이 방법의 효과는 여전히 의심 스럽습니다. 3/4 분기의 가장 주목할만한 두 가지 정치 활동 ( DreamHost 호스팅 제공 업체 및 자유 의지 사이트 에 대한 공격)은 공격받은 리소스에 대한 더 많은 홍보로 별 의미가 없습니다.

DDoS 공격과 관련된 협박의 경우 - 또는 오히려 항상 잘 수행 되지는 않는 시도 - 는 더 자주 발생합니다. 에있는 동안 전 분기 기업 공격자를 갚기 위해 선호 위협과 대량 메일은 이제 종종 스팸의 또 다른 물결로 인식된다.

압력을 가하는 수단으로 DDoS 공격은 다운 타임과 통신 장애로 인해 이익과 평판이 손실되는 산업에서 더욱 유리합니다. 게이밍 산업은 사이버 범죄자들에게 더욱 매력적으로 변합니다. 여기에 나오는 이익 은 수억 억 달러에 이르는 것으로 추산됩니다. 하이브리드 게임 플랫폼은 자원과 응용 프로그램 간의 링크를 통한 공격에 취약합니다.

3 분기에는 게임 플랫폼과 관련된 3 건의 중대한 사건이있었습니다 ( 파이널 판타지 서버에 대한 DDoS 공격 은 포함되지 않았습니다. Square Enix에 따르면 6 월에 시작하여 7 월 말까지 지속되었습니다).

첫째, 8 월 중순, 블리자드 엔터테인먼트 (Blizzard Entertainment) 는 Overwatch 및 World of Warcraft의 플레이어에게 문제 를 일으키는 홍수 교통 사고를보고했습니다 .

둘째, 9 월 초 미주 Cardroom 온라인 포커 사이트가 어려움을 겪기 시작했습니다. 공격 (자원을 대상으로 한 최초의 공격이 아닌)은 악명 높은 패턴 인 "힘을 발휘하여 몸값을 요구합니다"를 따랐습니다. 이 사이트의 경영진은 지불을 거부했지만 이미 진행중인 포커 챔피언십 을 취소 하거나 더 정확하게 지연시킬 수밖에 없었습니다 .

4 분기 말, 9 월 30 일에 영국 국립 복권 사이트에 심각한 영향을 미쳤습니다 . 90 분 동안 플레이어는 온라인 또는 신청서를 통해 지분을 낼 수 없었습니다. 이로 인해 서비스가 심각한 손실을 입었습니다.

엔터테인먼트 업계에 대한 지속적인 DDoS 공격이 새로운 표준이되고있는 것처럼 보입니다. 가장 큰 회사는 보안에 대한 접근 방식을 심각하게 재검토하거나 고객 충성도를 위험에 노출해야합니다. 그들 중 일부는 가능한 벡터를 제거하기 시작했습니다. 예를 들어, Netflix (통신 손실로 인해 고객을 잃을 수있는 또 다른 엔터테인먼트 플랫폼) 은 API에 심각한 취약점을 발견 하고 감염된 응용 프로그램을 처리 할 수있는 두 가지 도구를 개발했습니다.

아마도이 분기의 가장 흥미로운 공격은 엔터테인먼트 및 게임 산업과 관련이 있습니다. 사이버 범죄자들은 ​​똑똑한 수조 를 통해 미국 카지노를 해킹했습니다 DDoS 공격과는 아무런 관련이 없지만 수조가 자체 VPN에 설치되었지만 범죄자가 메인 프레임을 돌파하여 조직의 100GB 기밀 데이터를 훔치는 것은 흥미 롭습니다. 가까운 장래에 오락 및 게임 부문이 대규모 공격의 범위와 독창성에 관해서 금융 부문과 동등 할 가능성이 높습니다.

트렌드의 관점에서 볼 때 현재 악명 높은 암호와 관련된 공격의 새로운 벡터가있었습니다. 군대 자금 조달의 일종 인 ICO (Initial Coin Offering) 플랫폼이 점점 더 많은 공격을 받고 있습니다. Blockchain 기술은 트랜잭션을 안전하게 수행 할 수 있으므로 ICO는 빠르게 인기를 얻고 있습니다. 그러나 위험도 있습니다 : 급속한 성장과 암호화 통화의 회전율 증가로 인해, 그러한 플랫폼은 DDoS 공격을 포함한 사이버 공격을 받게됩니다. 플랫폼의 광범위한 가용성은 안정적이고 안전한 트랜잭션을 보장하는 반면 DDoS 공격은 서비스의 작동 가능성을 깨뜨려서 서비스의 신뢰성을 떨어 뜨리거나보다 심한 공격 유형에 대한 연막을 생성하는 것을 목표로합니다.

이번 분기의 또 다른 세부 사항은 혼합, 다중 구성 요소 (SYN + TCP 연결 + HTTP 홍수 + UDP 플러드) 공격의 비율 증가입니다. 앞서 예상했듯이 점차 인기를 얻고 있습니다. 이러한 공격에는 근본적으로 새로운 것이 없지만 올바른 방향 으로는 매우 효과적 일 수 있습니다 .

봇넷을 이용한 DDoS 공격 통계

방법론

카스퍼 스키 랩은 다양한 복잡성 유형 및 범위의 DDoS 공격을 포함하여 사이버 위협에 대한 광범위한 경험을 가지고 있습니다. 회사의 전문가들은 DDoS Intelligence 시스템을 사용하여 봇넷의 활동을 추적하고 있습니다.

카스퍼 스키 DDoS 방지 솔루션의 일부인 DDoS 인텔리전스 시스템은 명령 및 제어 서버의 봇으로 보내진 명령을 가로 채고 분석하고 사용자 장치를 감염 시키거나 사이버 범죄자의 명령을 실제로 실행하지 못하도록하기위한 것입니다.

이 보고서에는 2017 년 3 분기의 DDoS Intelligence 통계가 포함되어 있습니다.

이 보고서의 맥락에서 보봇 (Botnet) 활동 기간 사이의 간격이 24 시간을 초과하지 않는 경우 인시던트는 개별 (단일) DDoS 공격이라고 가정합니다. 예를 들어 동일한 웹 리소스가 24 시간 이상의 간격으로 동일한 봇넷에 의해 공격을당한 경우이 사건은 두 가지 공격으로 간주됩니다. 또한, 봇 요청은 다른 봇넷에서 시작되었지만 별도의 공격으로 하나의 리소스 카운트로 지정되었습니다.

명령을 보내는 데 사용 된 DDoS 공격 희생자와 C & C 서버의 지리적 위치는 각각의 IP 주소에 의해 결정됩니다. 이 보고서에서 DDoS 공격의 고유 대상 수는 분기 별 통계의 고유 한 IP 주소 수로 계산됩니다.

DDoS Intelligence 통계는 카스퍼 스키 랩에서 탐지 및 분석 한 봇넷에만 적용됩니다. 또한 봇넷은 DDoS 공격을 수행하는 도구 중 하나 일뿐입니다. 따라서이 보고서에 표시된 데이터는 표시된 기간 동안 발생한 모든 단일 DDoS 공격을 다루지는 않습니다.

Q3 요약

  • 98 개국의 자원이 2017 년 3 분기에 공격 받았고 2017 년 2 분기에 86 건의 공격을 받았습니다.
  • Q2에서와 마찬가지로 모든 공격의 약 절반 (51.56 %)이 중국에서 시작되었습니다.
  • 중국, 미국, 한국은 공격 건수와 목표 건수 측면에서 여전히 선두를 지켰다. 보고 된 C & C 서버의 수에 따르면, 이번에 한국이 1 위에 올랐지 만, 같은 국가가 TOP 3를 구성합니다.
  • 가장 긴 DDoS 공격은 215 시간으로, Q2에 비해 28 % 감소했습니다. 동시에 50 시간 미만 지속 된 공격 점유율은 사실상 변하지 않았습니다 (Q3의 99.6 % 대 Q2의 99.7 %).
  • 전 분기와 마찬가지로 TCP (11.2 %에서 28.2 %로)와 ICPM (9.42 %에서 7.1 %로 감소)에 대한 공격 비율이 크게 감소했습니다. 이로 인해 SYN 홍수 및 HTTP 공격의 비율이 증가했습니다.
  • Linux 봇넷의 비율이 계속 증가했습니다. 이러한 봇넷은 Q2의 51.23 %에 비해 Q3의 공격의 69.62 %를 담당했습니다.

공격의 지리학

2000 년 3 분기에 98 개국에 DDoS 공격이 등록되어 가장 많은 공격이 중국을 겨냥했으며 (전체 공격의 63.30 %), 이는 전 분기보다 5.3pp 더 높습니다. 한국의 점유율은 14.17 %에서 8.70 %로 하락하여 3 위를 차지했다. 미국은 14.03 %에서 12.98 %로 떨어지는 공격에도 불구하고 2 위를 차지했습니다.

상위 10 위는 모든 공격의 93.56 %를 차지했습니다. 독일 (1.24 %)이 10 위권에 다시 진입하여 이탈리아를 등급에서 탈락시켰다. 홍콩 (1.31 %)은 4 위에서 7 위로 하락했으며 1.07 PP를 잃었다. 러시아 (1.58 %)는 0.35 PP를 획득했으며 다시 4 위를 차지했다. 네덜란드는 5 위를 차지한 반면 네덜란드는 0.84 %에서 1.31 %로 6 위를 차지했다.

국가 별 DDoS 공격 분포, Q2 2017 vs. Q3 2017

모든 공격의 91.27 %는 2017 년 3 분기에 상위 10 개국의 목표를 겨냥한 것입니다.

국가 별 고유 DDoS 공격 대상 분포, 2017 년 2 분기 대 2017 년 3 분기

중국은 1 위를 고수했습니다. 모든 대상의 51.56 %가이 지역에 위치했으며, 이는 Q2에 비해 4.14pP 증가했습니다. 동시에 미국과 한국은 각각 두 번째와 세 번째로 남아 있지만 두 국가의 목표는 미국의 경우 18.63 %에서 17.33 %로, 한국의 경우 16.35 %에서 11.11 %로 크게 떨어졌습니다 .

러시아 영토에 위치한 목표물의 점유율은 Q2의 1.33 %에서 Q2의 2.24 %로 증가하여 러시아는 7 위에서 4 위로 상승했다. 호주와 이탈리아는 상위 10 위권에 들었고 프랑스 (1.43 %)와 독일 (1.65 %)로 대체됐다.

DDoS 공격의 역학

1 일당 공격 건수는 2017 년 3 분기 296 건 (7 월 24 일)에서 1508 건 (9 월 26 일)으로, 7 월 27 일 (1399)과 9 월 24 일 (1497)에 등록되었습니다. 상대 침체는 7 월 28 일 (300 일), 5 월 31 일 (240 일), 9 월 25 일 (297 일)에 등록되었습니다.

2017 년 3 분기의 DDoS 공격 역학 * 
* DDoS 공격이 며칠 동안 지속될 수 있기 때문에 한 번의 공격이 타임 라인에서 여러 번 계산 될 수 있습니다 (하루에 한 번).

2017 년 3 분기의 월요일은 DDoS 공격에 가장 조용한 날이었습니다 (10.39 % 대 전 분기 11.78 %). 목요일은 가장 바쁜 날 (17.54 %)이었습니다. 지난 분기의 토요일 (15.59 %)은 일요일 (14.89 %), 화요일 (14.79 %) 순이었다.

요일별 DDoS 공격 분포, 2 분기 대비 2017 년 3 분기

DDoS 공격 유형 및 기간

지난 분기와 마찬가지로, SYN의 DDoS 공격의 수를 동시에 Q3 2017 년 60.43 %로 53.26 %에서 상승, 성장을 계속, TCP의 DDoS 공격의 비율에 영향을주지 않았다, 11.19 %로 18.18 %에서 급락 이 유형의 공격에 대한 등급에서 두 번째 순위. UDP 및 ICMP 공격은 매우 드물게 나타 났으며 그들의 점유율은 11.91 %에서 10.15 %로, 그리고 9.38 %에서 7.08 %로 각각 떨어졌습니다. 한편 HTTP 공격의 인기는 7.27 %에서 11.6 %로 증가하여 3 위를 차지했습니다.

유형, Q3 2017에 의하여 DDoS 공격의 배급

장기 공격의 수는 전 분기와 거의 변하지 않았습니다. 공격의 0.02 %는 150 시간 이상 지속되었습니다 (0.01 %). 가장 긴 공격은 215 시간 동안 지속되었는데, 이는 Q2의 기록보다 62 시간 짧았다. 동시에 4 시간 이내에 지속 된 공격 점유율은 2 분기 85.93 %에서 3 분기 76.09 %로 떨어졌습니다. 따라서 5 ~ 49 시간 및 50 ~ 99 시간 지속되는 공격의 비율이 증가하여 모든 공격의 23.55 %와 0.3 %를 각각 차지합니다.

기간 (시간) 별 DDoS 공격 분포, Q2와 Q3 2017

C & C 서버 및 봇넷 유형

가장 많은 C & C 서버 수를 기록한 상위 3 개국은 Q2와 변함이 없었습니다. 한국의 점유율은 49.11 %에서 50.16 %로 증가하여 여전히 높은 순위를 유지했습니다. 미국은 2 위 (16.94 % vs 2 분기 16.07 %)를 유지했다. 중국은 7.74 %에서 5.86 %로 하락했지만 3 위를 유지했다. 상위 3 개국은 전체 C & C 서버의 72.96 %를 차지했으며 이는 전분기보다 약간 높은 수준입니다.

상위 10 개국은 이탈리아 (1.63 %)와 영국 (0.98 %)을 포함하여 Q3에서 캐나다와 독일을 축출했다. 2017 년 2 분기와 비교하여 프랑스 주식 시장은 1.79 %에서 2.93 %로, 러시아는 2.68 %에서 3.58 %로 크게 증가했다.

2017 년 3 분기 국가 별 봇넷 C & C 서버 배포

Windows 기반 봇넷의 비율은 30.38 %로 떨어졌지만 Linux 기반 봇넷은 Windows 기반 순위에서 계속 우위를 보였습니다. Linux 기반 봇넷의 점유율은 69.62 %로 나타났습니다.

Windows 기반 및 Linux 기반 봇넷 공격, Q3 2017의 상관 관계

결론

2017 년 3 분기에 우리는 DDoS 공격과 목표의 수를 상당히 증가 시켰습니다. 전통적으로 중국은 공격 원과 목표가 가장 많은 국가입니다. 그 뒤를 이어 미국과 한국이 뒤따 랐습니다. Linux 기반 봇넷의 비중이 비례하여 증가하면서 봇넷을 창출하기위한 기반으로서의 Windows OS의 인기는 눈에 띄게 떨어졌습니다.

이번 분기에는 ICO 플랫폼에 대한 공격이 증가했습니다. Q3에서는 암호화 통화가 인터넷과 대중 매체에서 광범위하게 논의되었으며 사이버 범죄자는 인기를 무시하지 않았습니다. 이번 분기의 또 다른 세부 사항은 SYN, TCP 연결, HTTP 플러드 및 UDP 플러드 기술의 다양한 조합으로 구성된 다중 구성 요소 공격의 비율 증가입니다.

추천 컨텐츠