2017 全球僵尸网络 DDOS攻击威胁态势报告.pdf

联合编写：安天捕风团队、电信云堤 初稿完成时间： 2018年 1月 9日 08时 首次发布时间： 2018年 1月 9日 08时 本版更新时间： 2018年 1月 9日 08时 2017 全球僵尸网络 DDOS攻击威胁态势报告 文章 分享二维码 2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 2 页 目 录 1 概述 . 3 2 DDoS 僵尸网络攻击情报 . 4 2.1 DDoS 僵尸网络 DDoS 攻击情报全球分布情况 . 5 2.2 DDoS 僵尸网络发起 DDoS 攻击全国分布情报 . 6 3 DDoS 攻击带宽流量情报信息 . 6 4 DDoS 僵尸网络 C2 情报 信息 . 9 4.1 DDoS 僵尸网络 C2 攻击情报 . 9 4.1.1 DDoS 僵尸网络 C2 分布 . 9 4.1.2 DDoS 僵尸网络 C2 存活时间 . 12 4.2 黑客攻击工具 . 12 4.2.1 DDoS 僵尸网络木马传播 . 12 4.2.2 全球各 DDoS 家族僵尸网络威胁情报 . 15 4.3 DDoS 攻击方式 . 22 5 DDoS 攻击情报信息 . 23 5.1 全球范围受 DDoS 攻击情报统计 . 23 5.2 全国受攻 击 DDoS 攻击地区情报统计 . 24 5.3 攻击国内的 DDoS 攻击发起源情报分析 . 25 5.4 受攻击行业类型 . 26 6 国内 “肉鸡 “情报 . 27 6.1 国内 DDoS 僵尸网络 “肉鸡 ”设备类型情报 . 27 6.2 国内 DDoS 僵尸网络 “肉鸡 ”分布地区情报 . 27 7 总结 . 28 附录一 参考资料 . 29 附录二 关于安天 . 30 2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 3 页 1 概述 本报告由安天捕风小组与电信云堤联合发布 ， 本年度 报告 主要以安天捕风蜜网和电信云堤流量监测数据为基础，针对 2017 年 发生的 僵尸网络 DDoS（分布式拒绝 服务 ）攻击 事件 进行 汇总 分析。报告给出了 2017 年 全球范围 内僵尸网络 发起 DDoS 攻击 的事件 分布 、地区 分布情况 以及攻击情报数据，并对黑客的攻击方法、攻击资源、 僵尸网络家族进行了详细分析。 从整体的攻击情报数据来看，全球 DDoS 僵尸网络全年攻击态势呈“山”形，其主要爆发在第二季度的 4、 5、 6 三个月；在比特币交易价格暴涨期间，大部分 DDoS 僵尸网络被更换为挖矿僵尸网络，所以第四季度则处于相对低迷的阶段。 根据 全球数据统计 ， 2017 年 ， 美国境内发起的 DDoS 攻击数量是最多的 ， 占全球 DDoS攻击 总 事件 的 37.06%； 而中国则成为了 遭受 DDoS 攻击的重灾区 ，承受 了全球 DDoS 攻击数量 的 84.79%（ 占 整个亚洲 DDoS 攻击 量的 98.63%）。 DDoS 攻击我国的 事件 ， 37.47%来源于 美国， 27.77%来源于 我国 国内， 23.28%来源于法国， 10.17%来源于韩国。 黑客发起 DDoS 攻击事件采用的主流 僵尸网络家族为 Xor（ Xor_Ex 和 Xor_D）家族 ，黑客 通过 控制 Xor 家族 僵尸 网络 发起 的 DDoS 攻击占全球 DDoS 攻击 的 51.04%。 SYN flood为 目前黑客使用 的 主流 DDoS 攻击 方式， Xor、 BillGates、 Mayday 等 大型的僵尸网络 家族 的攻击方式均 以 SYN flood 为主 。物联网僵尸网络爆发 式增长是 2017 年的一个趋势，由于Mirai2开源导致众多 IoT 变种出现，同时传统的 Windows、 Linux 僵尸网络家族也向 IoT 平台进行拓展。 2017 年僵尸网络活动的主要表现为： 以 Linux 僵尸网络为主流 由于 Linux 服务器所在环境带宽大、长时间在线、安全措施落后，该类僵尸网络具有稳定性且易形成规模化。 IoT 僵尸网络大发展 开源 Mirai 导致物联网僵尸网络变种快速增加，同时传统的 Windows 平台家族僵尸网络发觉 IoT 的规模和攻击威力后，也快速向 IoT 平台演进。 Jenki、台风等僵尸家族就是典型代表。 具有明显的趋利性 今年以来比特币等电子加密货币快速发展，僵尸网络作为网络犯罪组织的重要工具从DDoS 攻击转到挖矿， Linux、 IoT 僵尸网络成为 DDoS 攻击、挖矿的主流。 2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 4 页 DDoS 攻击的受害者主要分布在中国和美国。近年来中国互联网事业飞速发展，数据中心和云服务发展迅速，网络服务需求与日俱增，导致勒索和因同行竞争导致的恶意攻击频繁。 2 DDoS 僵尸网络攻击情报 通过对 2017 年 捕获的 DDoS 攻击情报进行统计分析 ，可得到全球 及国内 DDoS 攻击情报在这 2017 年度 的 分布 情况 ，如下图 所示。 图 1 2017 年 全球 DDoS 僵尸网络发起 DDoS 攻击 态势 11,304,82428,448,67413,616,7719,687,35905,000,00010,000,00015,000,00020,000,00025,000,00030,000,0002017年全球 DDoS僵尸网络发起 DDoS攻击态势2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 5 页 图 2 2017 年 国内 DDoS僵尸网络 DDoS 攻击 态势 2.1 DDoS 僵尸网络 DDoS 攻击情报全球 分布 情况 跟据监测情报数据 统计分析， 2017 年 全球各国发起的 DDoS 攻击分布 如下图。其中 ，C2 位于 美国 境内 对 各国发起 的 DDoS 攻击 数为 5800 多万，占 全球 各国发起 DDoS 攻击总数 的 37.06%； C2 位于 中国 境内 对各国发起的 DDoS 攻击占总比 的 34.19%； C2 位于 法国 境内 对各国发起的 DDoS 攻击 占比 19.10%。 图 3 DDoS 僵尸网络发起攻击的全球分布比例 4,661,05115,907,2451,526,997 2,113,46502,000,0004,000,0006,000,0008,000,00010,000,00012,000,00014,000,00016,000,00018,000,0002017年国内 DDoS僵尸网络发起 DDoS攻击态势美国36.87%中国34.19%法国19.26%韩国8.41%日本0.82%加拿大0.31%荷兰0.03%罗马尼亚0.03%俄罗斯0.02% 瑞士0.02%其他0.04%DDOS僵尸网络发起攻击的全球分布比例2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 6 页 2.2 DDoS 僵尸网络发起 DDoS 攻击全国 分布 情报 对 国内各地区发起的 DDoS 攻击 情报 进行分析，可得如下图所示的各 省份 DDoS（间歇性）攻击量 分布情况 。其中 ，江西省 内发起 的 DDoS 攻击 量 为 1600 多万， 在全国 占比最高，为 30.40%； 香港特别行政区内 发起的 DDoS 攻击量为 1300 多万，在 全国占比中位列 第二，为 26.07%； 广东 省内 发起的 DDoS攻击量为 1200多万，在 全国占比中 中 位列 第 三 ，为 23.12%。 图 4 DDoS 僵尸网络发起攻击的国内分布统计 3 DDoS 攻击带宽 流量 情报信息 对 2017 年 1 月到 12 月份国际、互联互通、电信来自三方的攻击总带宽流量进行统计分析可得，国际和互联互通发起的 TB 带宽流量均稳定在 10000 左右；而通过电信发起的 TB带宽流量在前半年一直处于上升趋势， 5 月份时出现了峰值，达到 56397.336TB，而后半年的带宽流量开始下降并趋于平稳。攻击带宽流量数据与攻击情报数据的“山”形趋势吻合。 江西香港广东广西江苏 浙江吉林 河南 贵州 陕西 其他020000004000000600000080000001000000012000000140000001600000018000000江西 香港 广东 广西 江苏 浙江 吉林 河南 贵州 陕西 其他DDOS僵尸网络发起攻击的国内分布统计2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 7 页 图 5 DDoS 攻击 带宽 总流量统计 据数据统计分析， 2017 年 DDoS 攻击持续时间多数少于 30 分钟，占每个月攻击的 70%左右。 图 6 DDoS 攻击 带宽 流量持续时间分布 统计 12 个月中，当月单个攻击目标被 DDoS 攻击的流量峰值排名前三的分别是在 5 月份、 30100002000030000400005000060000DDoS攻击带宽总流量统计国际发起 TB 互联互通 TB 电信发起 TB0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%90.00%DDoS攻击带宽流量持续时间分布统计1-3小时 3-6小时 6-12小时 =12小时 =200G2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 9 页 图 8 DDoS 攻击 Top 10 地区每月攻击 带宽 流量分布 统计 4 DDoS 僵尸网络 C2 情报 信息 4.1 DDoS 僵尸网络 C2 攻击情报 4.1.1 DDoS 僵尸网络 C2 分布 对 2017 年所捕获的 DDoS 攻击 C2 信息进行追溯并分析，发起 DDoS 攻击的 C2 在全球范围内的分布情况如下。其中位于中国的 C2最多，为 14744个，占比全球 C2分布的 58.36%；其次是美国，占比全球 C2 分布的 24.98%；排在第三位的是韩国，位于韩国的 C2 有 1039个，占比全球 C2 分布的 4.11%。 0.00%5.00%10.00%15.00%20.00%25.00%30.00%35.00%40.00%浙江电信 江苏电信 福建电信 广东电信 湖北电信 上海电信 湖南电信 陕西电信 山东电信 北京电信DDoS攻击 Top 10地区每月攻击流量分布统计1月份 2月份 3月份 4月份 5月份 6月份7月份 8月份 9月份 10月份 11月份 12月份2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 10 页 图 9 DDoS 僵尸网络 C2 全球 的 分布 情报统计 对每一个 C2 进行攻击目标的溯源统计，并按照 C2 所在国家进行划分，得出以下统计数据如下图所示。可以看到，各国 C2 产生的攻击事件数由高到低、排名前三的分别是法国（ 729343 个）、美国（ 231916 个）和中国（ 65840 个）。 对攻击事件数 TOP100 的 C2 进行国家划分， 71 个 C2 位于法国， 27 个 C2 位于美国，其余 2 个 C2 分别位于韩国和瑞士，产生的攻击事件最多的一个 C2 来自法国，该 C2 存活时间为 7494.9 个小时，攻击事件数量达到 19172 个。 图 10 全球 DDoS 僵尸网络 C2 攻击目标统计 对国内 C2 进行统计 ，得出以下 C2 在各省份的分布统计图。其中位于江苏省的 C2 最多，为 3420 个，占比国内 C2 总数的 23.20%；其次是位于香港的 C2，有 2632 个，占比国内 C2 总数的 17.85%。 中国 , 58.36%美国 , 24.98%韩国 , 4.11%荷兰 , 2.74%法国 , 2.16%德国 , 0.74%意大利 , 0.73%英国 , 0.70%加拿大 , 0.59%其他国家 , 4.89%DDOS僵尸网络 C2 全球分布情报统计8804297481512262830153625746015175658402319167293430 100000 200000 300000 400000 500000 600000 700000 800000其他国家英国加拿大俄罗斯日本荷兰意大利罗马尼亚韩国中国美国法国全球 DDoS僵尸网络 C2攻击事件统计全球 DDoS僵尸网络 C2攻击事件统计2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 11 页 图 11 全国 DDoS 僵尸网络 C2 各省份的分布 统计 对国内的 C2进行溯源分析，并按省份划分得出以下各省份 C2的攻击事件量统计数据，产生攻击事件个数排前三的省份，由高到低依次为香港（ 19687 个）、广东（ 18065 个）和江西（ 10750 个）。 对国内攻击情报 TOP100 的 C2 按照省份划分，其中 31 个 C2 位于香港， 19 个 C2 位于广东， 14 个 C2 位于江苏， 7 个 C2 位于浙江， 6 个 C2 位于福建， 6 个 C2 位于江西。产生攻击事件数最多的一个 C2 位于香港，其产生的攻击事件数为 6162 个，该 C2 的存活时间为508.05 个小时。 图 12 全国 DDoS 僵尸网络 C2 攻击 事件统计 江苏 , 23.20%香港 , 17.85%广东 , 12.29%浙江 , 8.13%北京 , 6.65%辽宁 , 4.99%河南 , 4.04%山东 , 3.64%贵州 , 3.32%江西 , 2.48%上海 , 2.44%四川 , 2.12%福建 , 2.10%安徽 , 1.28%天津 , 0.78%其他省份 , 4.70%全国 DDOS僵尸网络 C2各省份的分布统计74040485110041168136213782373276052981075018065196870 5000 10000 15000 20000 25000其他省份北京黑龙江河南福建贵州山东浙江广西江苏江西广东香港全国 DDoS僵尸网络 C2攻击 事件统计全国 DDoS僵尸网络 C2攻击事件统计2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 12 页 4.1.2 DDoS 僵尸网络 C2 存活时间 国内 C2 的存活时间在 1000 小时以内的占比 40%，超过 6000 小时的接近 20%；国外C2 的存活时间在 1000 小时以内的占比 80%，超过 1000 小时的 仅占比 20%。可见，国内 C2的存活时间超过 1000 小时的数量是国外的 3 倍之多。 图 13 国内 DDoS 僵尸网络 C2 存活时间 图 14 国外 DDoS 僵尸网络 C2 存活时间 4.2 黑客攻击工具 4.2.1 DDoS 僵尸网络木马传播 无论是 何种 类型的僵尸网络，“肉鸡”都是执行各种攻击的基础，所以拓展“肉鸡”便是黑客要 进行 的第一步，而常见的“肉鸡”拓展方法主要有以下几种： 00.20.40.60.811.20 1000 2000 3000 4000 5000 6000 7000 8000 9000 100001100012000CDFC2存活小时国内 DDoS僵尸网络 C2存活时间00.20.40.60.811.20 1000 2000 3000 4000 5000 6000 7000 8000 9000 1000011000CDFDDoS僵尸网络 C2存活小时国外 DDoS僵尸网络 C2存活时间2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 13 页 1. 弱口令爆破。 通过常见远程服务端口（例如 22、 2222、 23、 2323、 1433、 3306、3389 端口）的自动化弱口令爆破，执行远程命令植入木马。通过安天捕风蜜网捕获的爆破数据统计，上述端口每天的爆破量在 300 万到 500 万之间，且每次新一波物联网僵尸网络爆发时，爆破数据都会呈几何式上升，特别是在国外相关的物联网类型僵尸网络上比较常见。 表格 1 扫描端口可疑 IP 端口 月均独立扫描 IP （单位：万） 23 75 2323 73 445 10 22 6.7 80 2.3 1433 2 3389 2 81 2 3306 0.3 2. 漏洞扫描。 通过自动化漏洞利用，执行远程命令拓展“肉鸡”已经是新趋势，这一点在 Mirai 家族的僵尸网络上已经展示得淋漓尽致。 下表为 Mirai 变种利用的部分漏洞信息及受影响设备情况。 表格 2 Mirai 利用 的 部分漏洞 列表 厂商名称 漏洞编号 估计受影响设备 SENRIO CVE-2017-9765 100 万 + IoT 设备 Goahead CVE-2017-8225 250 万 + IoT 设备 Huawei CVE-2017-17215 250 万 + 路由设备 2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 14 页 Dlink CNVD-2017-20002、CNVD-2017-20001 250 万 + 路由设备 Netgear CVE-2017-5521 路由设备 Linksys CVE-2017-17411、CVE-2014-8244 300 万路由器 对于导致德国断网的 SOAP 漏洞，黑客尝试通过对网络时间协议、 NTP 服务器名称字段执行注入式攻击，在易受攻击的设备中远程执行恶意命令。最终， NTP 服务器名称会解析为引发 RCE 漏洞的命令。恶意代码可以通过 TR-069 协议插入到 NTP 服务器名称字段。互联网服务提供商（ ISP）可以利用此协议远程管理网络中的设备。遭受攻击的设备可以接收来自互联网的 TR-064 命令，进而改变 NTP 设置。 TR-064 基于 HTTP 和 SOAP，其默认端口为 TCP 7547。 Embedthis 公司的 Web 服务器 GoAhead 爆出远程代码执行漏洞 CVE-2017-82253。当与 glibc 动态链接器结合使用时，可以利用特殊参数名称，如 LD_PRELOAD，就可以实施远程代码执行。攻击者可以在请求的正文中 POST 其共享对象的有效 Payload, 并使用/proc/self/fd/0 引用它。 GoAhead 是一个开源（商业许可）、简单、轻巧、功能强大、可以在多个平台运行的嵌入式 Web Server。 GoAhead Web Server 是为嵌入式实时操作系统（ RTOS）量身定制的 Web 服务器，支持多种操作系统，包括 eCos、 Linux、 LynxOS、 QNX、 VxWorks、WinCE、 pSOS 等。 磊科后门利用是 2014 年爆出的后门利用方法，目前在捕获的攻击数据中依旧有出现。 据 CheckPoint 披露， IoTroop 恶意利用多种漏洞进行入侵，包括 Zyxel（路由器）、 Dlink（路由器）、 Netgear（路由器）、 Linksys（路由器）、 Goahead（摄像头）、 JAWS（摄像头）、 AVTECH（摄像头）、 Vacron（ NVR）设备的漏洞。 3. 捆绑下载暗藏后门。可 通过激活工具捆绑木马，魔釉 DDoS 木马 1就是利用小马激活工具捆绑来进行大规模传播。在很多非正规的应用网站中，很多“绿色”小应用程序中被黑客绑定了木马，木马会随着小应用程序的扩散使用而不断感染设备拓展“肉鸡”。捆绑传播方式，因为“绿马甲”的身份可以有效地避免杀毒软件的查杀，所以通过这种传播方式形成的僵尸网络，经过时间的积累往往会形成一个庞大的“ 肉鸡”群。 2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 15 页 4. 交叉感染。 通过已有的僵尸网络传播新木马，实现不同僵尸网络的交叉传播。由于这种方式可以实现快速部署成型的僵尸网络，所以在常见的 DDoS 僵尸网络中出现得特别频繁。 4.2.2 全球各 DDoS 家族 僵尸网络 威胁情报 对 2017 年捕获的样本进行统计分析得出，捕获到的 Gafgyt 僵尸网络家族的样本最多，为 26083 个；其次是 Nitol，捕获样本为 10667 个。如下图所示： 图 15 全球各 DDoS 家族僵尸网络捕获的样本数统计 对全球的 DDoS 攻击以及黑客控制的僵尸网络家族进行统计分析可知，黑客最为惯用的僵尸网络家族为 Xor_Ex 家族，其利用 Xor_Ex 家族发起的 DDoS 攻击达 6500 多万次，占使用的所有家族的 34.92%；其次是 BillGates 家族，黑客利用该家族发起的 DDoS 攻击达 3400 多万次，占使用的所有家族的 21.87%；排名第三的家族是 Mayday 家族，占使用的所有家族的 19.44%。 7311348 905102262608392 4537761662731066742 1089 33 22161423050001000015000200002500030000全球各 DDoS家族僵尸网络捕获的样本数统计BillGates Ddostf DnsAmp Dofloo Gafgyt GoramJenki Mayday Mirai MrBlack Nitol SotdasTogapy Tsunami Xor Znaich2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 16 页 图 16 全球 DDoS 僵尸网络各家族 攻击量的 情报统计 对全国 DDoS 攻击占比排名前 6 位的僵尸网络家族的攻击行为进行统计分析，可得出以下僵尸网络家族在使用的攻击方式分布情况。 1、 Xor 家族 Xor 家族是全国甚至全球近两年来攻击态势最为活跃的 DDoS 僵尸网络家族。根据目前掌握的情报显示，操作 Xor 家族僵尸网络的黑客为了隐藏身份，从 2016 年下半年开始将大部分僵尸网络 C2 逐渐向国外转移，而且 C2 对应的设备基本是通过非法渠道获取远程控制权限进行部署，极大增加了对黑客的溯源难度。 10262.5620.4980.838451428466213117719048690327,62030,82334,68965,4830 10000 20000 30000 40000 50000 60000 70000otherIPKCloudsSotdasSkunkPalevoJenkiTogapyChinaZDdostfGafgytMiraiDoflooNitolXor_DMaydayBillGatesXor_Ex千全球 DDoS僵尸网络各家族攻击量的情报统计2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 17 页 图 17 Xor_Ex 家族攻击方式分布 统计 图 18 Xor_D 家族攻击方式分布 统计 2、 BillGates 家族 BillGates 又名 Setag/Ganiw，其活跃度仅次于 Xor 家族。情报数据显示， BillGates 家族的活跃事件主要集中在上半年，且攻击类型主要是 SYN flood； 7 月中旬后，随着虚拟货币交易价格大幅攀升，大部分 BillGates 家族的僵尸网络开始转换为挖矿僵尸网络从事挖矿。 图 19 BillGates 年度攻击情报时间分布 0000034065,4490 10000 20000 30000 40000 50000 60000 70000othericmp floodhttp floodudp floodcc flooddns floodtcp floodsyn flood千Xor_Ex家族攻击方式分布统计0000029027,5920 5000 10000 15000 20000 25000 30000othericmp floodhttp floodudp floodcc flooddns floodtcp floodsyn flood千Xor_D家族攻击方式分布统计2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 18 页 图 20 BillGates 家族攻击方式分布 统计 3、 Mayday 家族 Mayday 家族攻击情报走势与 BillGates 家族类似，但相较于 BillGates 家族低迷比较早，且活跃度也明显低于 BillGates 家族。 Mayday 家族的主要攻击类型仍为 SYN flood，其次为TCP flood，其他的具备反射型的攻击模式并不多见。 图 21 Mayday 年度攻击情报时间分布 图 22 Mayday 家族攻击方式分布 统计 4、 Nitol 家族 Nitol 家族是目前 Windows 系列中最为活跃的 DDoS 僵尸网络，而且经过多年的发展变0.6230040236234,4460 10000 20000 30000 40000othericmp floodhttp floodudp floodcc flooddns floodtcp floodsyn flood千BillGates家族攻击方式分布统计0005314998,91421,3560 5000 10000 15000 20000 25000othericmp floodhttp floodudp floodcc flooddns floodtcp floodsyn flood千Mayday家族攻击方式分布统计2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 19 页 异，现在已经存在 10 多个不同协议的变种，并且国外有关黑客通过 Nitol 家族开放的源代码进行升级修改和使用。虽然 Nitol 家族的僵尸网络工具已经扩散到国外，但是其主要感染设备还是在国内，特别是 NSA 的“永恒之蓝”漏洞和 Structs2 系列的漏洞被相继爆出后，开始出现通过自动化漏洞利用工具批量植入各家族恶意代码（ Nitol 家族包含在内）的事件。在 DDoS 攻击方面，最新 Nitol 的改进版本中集成了 SYN flood、 TCP flood、 DNS flood、 C2 flood、 UDP flood、 HTTP flood、 ICMP flood 和 NTP flood 等 8 种攻击类型。从 2017 年 Nitol家族系列的攻击威胁情报上看，其主要攻击方式还是倾向于 HTTP flood 和 C2 flood，这点明显区别于其他家族。 图 23 Nitol 年度威胁情报时间分布 图 24 Nitol 家族攻击方式分布 统计 1.82941323662811149410 50 100 150 200 250 300 350othericmp floodhttp floodudp floodcc flooddns floodtcp floodsyn flood千Nitol家族攻击方式分布统计2017 全球僵尸网络 DDoS 攻击威胁态势报告 安天实验室 版权所有， 欢迎无损转载 第 20 页 图 25 Nitol 家族感染设备系统版本 统计 从对 Nitol 家族系列的僵尸网络监测拓展发现，很多控制 Nitol 家族系列的僵尸网络同时还控制其它 RAT 类型的僵尸网络，多个僵尸网络之间通过“交叉感染”方式实现“肉鸡”互通和共享。随机统计 Nitol 家族的 3 万“肉鸡”设备类型上看， Nitol 家族系列感染的设备系统版本主要为 Windows 系列的低、中档系统版本，其中主要集中在 Win XP SP3系统版本上（约占 79.91%），其次是 Win 7 SP1 系统版本（约占 8.27%）。目前， Win XP SP3 的主要用户群集中在事业单位办公环境和企业工控环境等疏于系统升级和维护的终端设备上，也就说明 Nitol 家族系列感染的 设备系统主要是普通配置办公设备系统或者互联网工控设备系统，初步统计境内每天大约有 260 万台 Windows 环境设备受 Nitol 家族恶意代码感染。 5、 Dofloo 家族 Dofloo 家族无论是从数据加密算法还是攻击模式或是木马平台兼容性，都算是一个比较成熟完善的家族。 Dofloo 家族使用了 256 位 AES 加密算法将攻击数据加密，可以有效确保数据通信的安全性。在攻击类型上，除了常见的 SYN flood、 TCP flood、 HTTP flood等， Dofloo 家族还具备高放大倍数的 DNS flood、 NTP flood、 ICMP flood 等反射攻击类型。在兼容平台上，其木马不仅能够兼容常见的 Windows、 Linux 等两大类型平台，同时可以兼容 ARM、 MIPS、 SIMPLE 等物联网系统架构。因此，平台的兼容性为 Dofloo 家族的僵尸