1、 2018 年活跃 DDoS 攻击团伙分析报告 国家计算机网络应急技术处理协调中心 2019 年 1 月 1 目目 录录 一、 报告摘要 . 2 二、 总体概况 . 4 2.1 攻击资源概况 . 4 2.2 活跃团伙概况 . 7 三、 重点僵尸网络家族攻击特点 . 9 3.1 XorDDoS 僵尸网络家族 . 9 3.2 Gafgyt 僵尸网络家族 . 13 3.3 BillGates 僵尸网络家族 . 17 四、 重点攻击团伙分析 . 21 4.1 团伙 G1：C&C 数量及肉鸡规模最大的攻击团伙 . 21 4.1.1 团伙 G1 总览 . 21 4.1.2 重要子团伙分析 . 25 4.2

2、 团伙 G13：肉鸡规模第二大的攻击团伙 . 31 4.3 团伙 G9：肉鸡规模排名第三的团伙 . 35 4.4 团伙 G16：利用 Gafgyt 僵尸网络家族的月度最大团伙 . 38 2 一、一、 报告摘要报告摘要 CNCERT 针对多种主要用于发起 DDoS 攻击的僵尸网络家族进行抽样监测，并对 2018 年全年涉及的攻击资源和攻击团伙进行了多维分析，发现 C&C 控制端 IP 共 2108 个，总肉鸡 IP 数量为 140 万余台，受攻击目标 IP 数目 9 万余台，共发现攻击团伙 50 个，其中涉及活跃攻击团伙 16 个，共包含 358 个 C&C 控制端 IP，总共攻击约 3 万个目

3、标 IP，在全年攻击目标中占比 31%。总体来看，利用这些僵尸网络家族进行 DDoS 攻击的特点主要有： 1. 从攻击目标规模和攻击事件数目来看，8 月份均为全年的最高峰。从控制的肉鸡规模来看，11 月份是全年的最高峰。 2. XorDDoS、Gafgyt、BillGates 这三种僵尸网络家族参与攻击事件最多。其中，XorDDoS 僵尸网络家族所控制的肉鸡规模最大，且持续时间最长；Gafgyt 僵尸网络家族总活跃 C&C 控制端 IP 数量最多，为 1096 个，而大部分 C&C 控制端只存活一个月，但由于其样本的主动感染特性，往往在出现数天后就能获得非常大的肉鸡规模。从攻击时间来看，Xor

4、DDoS 和 BillGates 僵尸网络家族在凌晨 2-10 时发起的攻击数量明显减少，疑似是需要由人工触发的攻击方式；Gafgyt 僵尸网络的攻击按时间分布较均匀，疑似是作为 DDoSaaS（DDoS as a service）对外提供服务。 3 3. 活跃攻击团伙中，规模最大的攻击团伙使用的僵尸网络由多个家族组成，而其他的团伙的家族特性相对比较单一。所有团伙的攻击目标数量占据全年总攻击目标数量的 36%，而规模最大的团伙的攻击目标数量占据了全年总攻击目标数的 23%。攻击团伙攻击的目标主要位于云主机厂商网段，行业主要覆盖游戏、博彩、色情等。单一团伙的长期攻击目标并无行业特性， 仅在短期内

5、受攻击任务影响会有短暂的行业特性。 在本报告中，一次 DDoS 攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个 DDoS 攻击，攻击周期时长不超过 24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为 24小时或更多，则该事件被认为是两次攻击。此外，DDoS 攻击资源及攻击目标地址均指其 IP 地址， 它们的地理位臵由它的 IP 地址定位得到。DDoS 攻击团伙是指能利用一定规模的互联网攻击资源，在较长时间范围内活跃， 同时期内利用攻击资源针对极相似的攻击目标集合进行攻击，其攻击资源在一定时间范围内固定，长时间会发生变化。同一攻击团伙所发起的系列 DDoS 攻击称为团伙

6、性攻击。 4 二、二、 总体概况总体概况 2.12.1 攻击资源概况攻击资源概况 从全年来看，利用僵尸网络发起 DDoS 攻击的事件数量，在年初呈现上涨趋势，在 8 月份开始下滑，如图 2.1 所示。C&C 控制端数量的月度统计趋势和 DDoS 攻击事件数量的月度统计趋势基本一致，同样是在 8 月份达到最大值后逐步回落，如图 2.2 所示。僵尸网络肉鸡数量发展趋势前期与 C&C 控制端类似，在年初呈现上涨趋势，在 8 月至 9 月期间有一定程度的下滑，但是 10 月之后肉鸡数量开始呈现大幅上涨趋势， 说明在10月以后更少的C&C控制端控制了更多的肉鸡，出现了控制规模较大的控制端，如图 2.3