1、 2018 年活躍 DDoS 攻擊團伙分析報告 國家計算機網絡應急技術處理協調中心 2019 年 1 月 1 目目 錄錄 一、 報告摘要 . 2 二、 總體概況 . 4 2.1 攻擊資源概況 . 4 2.2 活躍團伙概況 . 7 三、 重點僵尸網絡家族攻擊特點 . 9 3.1 XorDDoS 僵尸網絡家族 . 9 3.2 Gafgyt 僵尸網絡家族 . 13 3.3 BillGates 僵尸網絡家族 . 17 四、 重點攻擊團伙分析 . 21 4.1 團伙 G1：C&C 數量及肉雞規模最大的攻擊團伙 . 21 4.1.1 團伙 G1 總覽 . 21 4.1.2 重要子團伙分析 . 25 4.2

2、 團伙 G13：肉雞規模第二大的攻擊團伙 . 31 4.3 團伙 G9：肉雞規模排名第三的團伙 . 35 4.4 團伙 G16：利用 Gafgyt 僵尸網絡家族的月度最大團伙 . 38 2 一、一、 報告摘要報告摘要 CNCERT 針對多種主要用于發起 DDoS 攻擊的僵尸網絡家族進行抽樣監測，并對 2018 年全年涉及的攻擊資源和攻擊團伙進行了多維分析，發現 C&C 控制端 IP 共 2108 個，總肉雞 IP 數量為 140 萬余臺，受攻擊目標 IP 數目 9 萬余臺，共發現攻擊團伙 50 個，其中涉及活躍攻擊團伙 16 個，共包含 358 個 C&C 控制端 IP，總共攻擊約 3 萬個目

3、標 IP，在全年攻擊目標中占比 31%?？傮w來看，利用這些僵尸網絡家族進行 DDoS 攻擊的特點主要有： 1. 從攻擊目標規模和攻擊事件數目來看，8 月份均為全年的最高峰。從控制的肉雞規模來看，11 月份是全年的最高峰。 2. XorDDoS、Gafgyt、BillGates 這三種僵尸網絡家族參與攻擊事件最多。其中，XorDDoS 僵尸網絡家族所控制的肉雞規模最大，且持續時間最長；Gafgyt 僵尸網絡家族總活躍 C&C 控制端 IP 數量最多，為 1096 個，而大部分 C&C 控制端只存活一個月，但由于其樣本的主動感染特性，往往在出現數天后就能獲得非常大的肉雞規模。從攻擊時間來看，Xor

4、DDoS 和 BillGates 僵尸網絡家族在凌晨 2-10 時發起的攻擊數量明顯減少，疑似是需要由人工觸發的攻擊方式；Gafgyt 僵尸網絡的攻擊按時間分布較均勻，疑似是作為 DDoSaaS（DDoS as a service）對外提供服務。 3 3. 活躍攻擊團伙中，規模最大的攻擊團伙使用的僵尸網絡由多個家族組成，而其他的團伙的家族特性相對比較單一。所有團伙的攻擊目標數量占據全年總攻擊目標數量的 36%，而規模最大的團伙的攻擊目標數量占據了全年總攻擊目標數的 23%。攻擊團伙攻擊的目標主要位于云主機廠商網段，行業主要覆蓋游戲、博彩、色情等。單一團伙的長期攻擊目標并無行業特性， 僅在短期內

5、受攻擊任務影響會有短暫的行業特性。 在本報告中，一次 DDoS 攻擊事件是指在經驗攻擊周期內，不同的攻擊資源針對固定目標的單個 DDoS 攻擊，攻擊周期時長不超過 24小時。如果相同的攻擊目標被相同的攻擊資源所攻擊，但間隔為 24小時或更多，則該事件被認為是兩次攻擊。此外，DDoS 攻擊資源及攻擊目標地址均指其 IP 地址， 它們的地理位臵由它的 IP 地址定位得到。DDoS 攻擊團伙是指能利用一定規模的互聯網攻擊資源，在較長時間范圍內活躍， 同時期內利用攻擊資源針對極相似的攻擊目標集合進行攻擊，其攻擊資源在一定時間范圍內固定，長時間會發生變化。同一攻擊團伙所發起的系列 DDoS 攻擊稱為團伙

6、性攻擊。 4 二、二、 總體概況總體概況 2.12.1 攻擊資源概況攻擊資源概況 從全年來看，利用僵尸網絡發起 DDoS 攻擊的事件數量，在年初呈現上漲趨勢，在 8 月份開始下滑，如圖 2.1 所示。C&C 控制端數量的月度統計趨勢和 DDoS 攻擊事件數量的月度統計趨勢基本一致，同樣是在 8 月份達到最大值后逐步回落，如圖 2.2 所示。僵尸網絡肉雞數量發展趨勢前期與 C&C 控制端類似，在年初呈現上漲趨勢，在 8 月至 9 月期間有一定程度的下滑，但是 10 月之后肉雞數量開始呈現大幅上漲趨勢， 說明在10月以后更少的C&C控制端控制了更多的肉雞，出現了控制規模較大的控制端，如圖 2.3

7、所示。受攻擊目標的月度趨勢與肉雞基本一致， 8 月達到了高峰， 9 月有一定程度的下降， 此后，受攻擊目標的數量一直在中高位波動，如圖 2.4 所示。 圖 2.1 DDoS 攻擊事件月度統計趨勢 5 圖 2.2 C&C 控制端月度統計趨勢 圖 2.3 肉雞月度統計趨勢 圖 2.4 攻擊目標月度統計趨勢 6 2018 年全年涉及的攻擊資源中，共發現 C&C 控制端 IP 共 2108個，其中包含境內控制端占比 15.8%，境外控制端占比 84.2%，境內外的控制端按地理位臵分布見圖 2.5； 總肉雞 IP 數量為 140 萬余臺，其中境內肉雞占比 90.6%，境外肉雞占比 9.4%，境內外的肉雞

8、地址按地理位臵分布見圖 2.6；受攻擊目標 IP 數目 9 萬余臺，其中境內受攻擊目標占比 36.7%，境外受攻擊目標占比 63.3%，境內外的受攻擊目標按地理位臵分布見圖 2.7。綜上可見，大量的境內肉雞被境外控制端所利用，向境內外目標地址發起攻擊。這些攻擊目標所屬行業主要分布在色情、博彩、文化體育和娛樂、運營商 IDC、金融、教育、國家機構等行業，如圖 2.8 所示。 圖 2.5 2018 年控制端地址數量 TOP10 國家或地區分布 圖 2.6 2018 年肉雞地址數量 TOP10 國家或地區分布 7 圖 2.7 2018 年攻擊目標地址數量 TOP10 國家或地區分布 圖 2.8 攻擊

9、目標所屬行業云圖 2.22.2 活躍團伙概況活躍團伙概況 2018 年， CNCERT 共監測發現 50 個利用僵尸網絡進行攻擊的 DDoS攻擊團伙，攻擊團伙的月度數量趨勢如圖 2.9 所示，與 C&C 控制端及攻擊事件數量一樣， 在 8 月份達到最高峰。 其中， 活躍兩個月及以上，且肉雞數量較大的較活躍攻擊團伙有 16 個，共包含 358 個 C&C，在全年 C&C 中占比 16%，總共攻擊 2.8 萬個目標，在全年攻擊目標中占比 31%，其基本信息表見表 2.1。 8 圖 2.9 攻擊團伙月度統計趨勢 表 2.1 活躍攻擊團伙基本信息表 團伙團伙編號編號 最早活躍最早活躍時間時間 最近活躍

10、最近活躍時間時間 活躍月份活躍月份 C&CC&C 數量數量 肉雞肉雞數量數量 起止月份起止月份間隔間隔 攻擊目標攻擊目標數目數目 G1 20180101 20181231 12 283 571016 12 21324 G2 20180502 20181230 8 9 384 8 57 G3 20180308 20181104 2 2 462 8 2 G4 20180101 20180731 5 4 1779 7 185 G5 20180721 20181222 3 2 509 5 20 G6 20180606 20180925 2 2 543 4 74 G7 20180531 20180801

11、 4 8 1426 2 369 G8 20180723 20180911 3 2 654 2 476 G9 20180511 20180712 3 9 13035 2 642 G10 20180708 20180905 3 2 699 2 87 G11 20180303 20180515 3 12 2921 2 47 G12 20180707 20180902 3 2 3243 2 380 G13 20180614 20180827 3 5 13290 2 5440 G14 20180109 20180225 2 2 639 2 142 G15 20180907 20181027 2 8 83

12、58 2 4023 G16 20180802 20180816 1 74 10936 1 747 較活躍攻擊團伙的 C&C 控制端和攻擊目標總覽如圖 2.10 所示，圖中的節點為 C&C 控制端及其攻擊目標，C&C 控制端攻擊過某攻擊目標則連一條邊，全年間它們的攻擊關系自然地形成了力導向關系圖。 9 從圖中可以看出，代表不同攻擊團伙的 16 個不同顏色的簇之間相互較為獨立，同一攻擊團伙的攻擊目標非常集中，不同攻擊團伙間的攻擊目標重合度較小。 圖 2.10 活躍攻擊團伙總覽（C&C 和攻擊目標） 三、三、 重點僵尸網絡家族攻擊特點重點僵尸網絡家族攻擊特點 3.13.1 XorDDoSXorDDo

13、S 僵尸網絡家族僵尸網絡家族 XorDDoS 僵尸網絡家族在全年共活躍 11 個月，在 2018 年 2 月份時曾短暫退出，家族總活躍 C&C 數量為 146 個，單個 C&C 攻擊活躍時間最長持續 7 個月，C&C 控制端的月度數量分布如圖 3.1 所示，其控制端數量在上半年大幅上升，在 6 月份達到高峰后逐步回落。該家族對僵尸網絡的控制規模在上半年逐步攀升，在 7 月份達到小高峰后， 10 在 8-9 月份期間短暫回落后，在 10 月份重新擴大對僵尸網絡的控制規模， 并于 11 月份達到頂峰， 當月單個 C&C 最高控制了 7 萬個肉雞，如圖 3.2 所示；該家族攻擊目標的月度分布如圖 3

14、.3 所示，全年的攻擊目標數量呈現上升趨勢； 該家族每月涉及的攻擊團伙數量趨勢如圖3.4 所示，5-8 月的攻擊團伙數量有一定下降，之后保持在 4 個以下的較穩定數量。 圖 3.1 XorDDoS 僵尸網絡家族 C&C 控制端月度數量分布 圖 3.2 XorDDoS 僵尸網絡家族控制規模月度分布 11 圖 3.3 XorDDoS 僵尸網絡家族的攻擊目標月度分布 圖 3.4 XorDDoS 僵尸網絡家族月度涉及攻擊團伙數量 從攻擊發起時間分布來看，在凌晨 2 點到 10 點內，發起的攻擊數量呈現明顯下降，可能與作息時間相關，疑似是需要由人工觸發的攻擊方式。從攻擊發起時間分布猜測，一方面，可能這是

15、控制者的晚睡時間， 另一方面也有可能是因為控制者的攻擊目標在該時間段內都處于活躍低谷，沒有攻擊價值，如圖 3.5 所示。 12 圖 3.5 XorDDoS 僵尸網絡家族攻擊發起時間分布 XorDDoS僵尸網絡家族C&C控制端月活和日活情況如圖3.6所示，月度攻擊目標熱度如圖 3.7 所示。平均每個控制端活躍 2 個月，每個月平均活躍 11 天，每個月平均針對 209 個攻擊目標發起攻擊；其中有 7 個控制端的活躍月度超過 7 個月， 且每個月的平均活躍天數超過20 天，這些控制端同時也是發起攻擊最多的攻擊源，平均每個月攻擊的目標數量為 1662 個。 圖 3.6 XorDDoS 僵尸網絡家族

16、C&C 控制端月度日活躍熱度 13 圖 3.7 XorDDoS 僵尸網絡家族 C&C 控制端月度攻擊目標數量熱度 XorDDoS 家族中規模最大的攻擊團伙從 5 月份開始出現，全年總共連續出現 8 個月。該團伙的 C&C 控制端 IP 大多與某域名下的子域名相關，構成了本報告第四部分討論的重要攻擊團伙中的團伙 G1 的子團伙 G1-2。該子團伙與某 2014 年被發現的公開組織相關，該組織與游戲私服、色情、賭博等產業聯系緊密。CNCERT 也對其進行了長期跟蹤，監測發現該組織使用了大量包含特定字符串的惡意域名。CNCERT 于 2017 年溯源分析的數千起大流量攻擊事件中，監測發現這些域名涉及

17、了其中多起事件，且在 2017 年 8 月左右非?；钴S，此后沉寂了半年多的時間，在 2018 年 5 月開始又重新活躍起來。對該子團伙的介紹詳見 4.1.2 節。 3.23.2 GafgytGafgyt 僵尸網絡家族僵尸網絡家族 Gafgyt 僵尸網絡家族在全年 12 個月持續活躍，總活躍 C&C 控制端 IP 數量為 1096 個，超過總控制端的半數；單個 C&C 控制端存活時間最長為 8 個月,而其中僅有 133 個控制端 IP 存活時間超過一個月，大部分控制端 IP 只在一個月內存活。如圖 3.8 所示，該家族的 C&C 14 控制端數量在上半年不斷上升， 并在 8 月份達到最高值后開始

18、持續下滑；該家族對僵尸網絡的控制規模在上半年呈現上升趨勢，在 6-8 月份達到最高峰后，在 9 月份有一定下降，之后又緩慢上升，如圖 3.9所示，當月單個 C&C 最多控制了將近 7300 個肉雞，平均單個 C&C 的肉雞規模相對較??；利用該家族發起 DDoS 攻擊的被攻擊目標的月度分布如圖 3.10 所示，10 月和 11 月的攻擊目標數量呈現大幅上升趨勢。 圖 3.8 Gafgyt 僵尸網絡家族 C&C 控制端月度數量分布 圖 3.9 Gafgyt 僵尸網絡家族控制規模月度分布 15 圖 3.10 Gafgyt 僵尸網絡家族的攻擊目標月度分布 從圖 3.11 的攻擊發起時間分布來看， 利用

19、 Gafgyt 家族的攻擊團伙，其攻擊時間在全天分布相對較均勻，主要由于其為物聯網僵尸網絡，控制的肉雞為常常 24 小時在線的物聯網設備，且利用 Gafgyt 僵尸網絡家族發起攻擊，符合 DDoSaaS(DDoS as a Service)模式的服務特征。DDoSaaS 模式的僵尸網絡是指提供租賃服務，即提供給沒有僵尸資源和技術水平的用戶一定時間內一定數量僵尸的使用權， 并根據用戶所需的規模、配臵等參數的不同提供定制化的服務，加上自動支付平臺的普及， 用戶們只要付款就可以即時獲得一批傭兵式的攻擊資源，這些因素正使得這一模式逐漸成為僵尸網絡獲利的主流。 16 圖 3.11 Gafgyt 僵尸網絡

20、家族攻擊發起時間分布 從僵尸網絡肉雞規模上來看，使用 Gafgyt 家族的攻擊團伙的特點是， 每個月基本都會利用多個控制規模較大的 C&C 主機和其他控制規模較小的C&C主機共同攻擊， 并且C&C之間很少共同控制一批肉雞，如圖 3.12 所示。 圖 3.12 Gafgyt 家族的月度僵尸網絡控制規模 Gafgyt僵尸網絡家族C&C控制端月活和日活情況如圖3.13所示，月度攻擊目標熱度如圖 3.14 所示。平均每個控制端活躍 1.3 個月，每個月平均活躍 3.44 天，每個月平均針對 29 個攻擊目標發起攻擊。 17 圖 3.13 Gafgyt 僵尸網絡家族 C&C 控制端月度日活躍熱度 圖 3

21、.14 Gafgyt 僵尸網絡家族 C&C 控制端月度攻擊目標數量熱度 3.33.3 BillGatesBillGates 僵尸網絡家族僵尸網絡家族 BillGates 僵尸網絡家族在全年 12 個月持續活躍，總活躍 C&C控制端 IP 數量為 569 個， 單個 C&C 存活時間最長為 11 個月,僅有 147個 IP 存活時間超過一個月，而有 150 個 C&C 只出現一天。該家族的C&C 數目全年保持較穩定的數量，在 10 月份達到全年最高峰，如圖3.15 所示。該家族對僵尸網絡的控制規模在 5 月份達到頂峰，單個C&C 最多控制 15010 個肉雞，從 6 月份開始大幅下滑，在 8 月

22、份逐漸緩慢擴大對僵尸網絡的控制規模，并于 10 月份達到下半年的頂峰， 18 當月單個 C&C 最高控制了將近 5694 個肉雞，僅全年最高峰的三分之一，如圖 3.16 所示。利用該家族發起 DDoS 攻擊的被攻擊目標的月度分布如圖 3.17 所示， 全年的攻擊目標數量呈現一定的波動上升趨勢。 圖 3.15 BillGates 僵尸網絡家族 C&C 控制端月度數量分布 圖 3.16 BillGates 僵尸網絡家族控制規模月度分布 19 圖 3.17 BillGates 僵尸網絡家族的攻擊目標月度分布 從攻擊發起時間看， 該家族與 XorDDoS 僵尸網絡家族的情況極為相似，同樣疑似是需要由人

23、工觸發的攻擊方式。在凌晨 2 點到 10 點內，發起的攻擊數量呈現明顯下降，可能與作息時間相關，從攻擊發起時間分布猜測，一方面，可能這是控制者的晚睡時間，另一方面也有可能是因為控制者的攻擊目標在該時間段內都處于活躍低谷， 沒有攻擊價值，如圖 3.18 所示。 圖 3.18 BillGates 僵尸網絡家族攻擊發起時間分布 BillGates 僵尸網絡家族 C&C 控制端月活和日活情況如圖 3.19所示，月度攻擊目標熱度如圖 3.20 所示。平均每個控制端活躍 1.6 20 個月， 每個月平均活躍 5 天， 每個月平均針對 96 攻擊目標發起攻擊；其中有 3 個控制端的活躍月度超過 7 個月，

24、且每個月的平均活躍天數超過 18 天，這些控制端同時也是發起攻擊最多的攻擊源，平均每個月攻擊的目標數量為 974 個。 圖 3.19 BillGates 僵尸網絡家族 C&C 控制端月度日活躍熱度 圖 3.20 BillGates 僵尸網絡家族 C&C 控制端月度攻擊目標數量熱度 21 四、四、 重點攻擊團伙分析重點攻擊團伙分析 4.14.1 團伙團伙 G1G1：C&C&C C 數量及肉雞規模最大的攻擊團伙數量及肉雞規模最大的攻擊團伙 4.1.14.1.1 團伙團伙 G1G1 總覽總覽 團伙 G1 在 2018 年全年持續活躍， 共擁有 C&C 控制端 IP 數量 283個，肉雞規模超過 57

25、 萬，攻擊目標超過 2 萬個。該團伙能夠利用多個僵尸網絡家族發起攻擊，XorDDoS 和 BillGates 家族的 C&C 控制端是該團伙的重點利用資源。該團伙的活躍 C&C 控制端數量在 4 月、5月、6 月、12 月的數量最多，如圖 4.1 所示；活躍僵尸網絡肉雞數量在 11 月、12 月的數量有大幅提升，如圖 4.2 所示；攻擊目標數量在8 月、11 月的數量最多，如圖 4.3 所示；攻擊目標的地理歸屬主要位于我國境內，特別是浙江省、福建省和廣東省，如圖 4.4 所示。 圖 4.1 團伙 G1 月度活躍 C&C 數量 22 圖 4.2 團伙 G1 月度活躍僵尸網絡肉雞數量 圖 4.3

26、團伙 G1 的月度攻擊目標數量 圖 4.4 團伙 G1 的攻擊目標歸屬國家和地區分布 團伙 G1 的 C&C 控制端月活和日活情況如圖 4.5 所示，月度攻擊目標熱度如圖 4.6 所示。圖中可示，在 283 個 CC 控制端中，平均每 23 個控制端活躍 1.77 個月，每個月平均活躍 9.7 天，每個月平均針對397 攻擊目標發起攻擊；其中有 7 個控制端的活躍月度超過 7 個月，且每個月的平均活躍天數超過 20 天，這些控制端同時也是發起攻擊最多的攻擊源，平均每個月攻擊的目標數量為 1099 個。 圖 4.5 團伙 G1 的 C&C 控制端月度日活躍熱度 圖 4.6 團伙 G1 的 C&C

27、 控制端月度攻擊目標數量熱度 團伙 G1 從其攻擊發起時間看，符合 XorDDoS 和 Billgates 僵尸網絡家族的攻擊時間特性，在凌晨 2-10 點期間攻擊數量有大幅的下降，在 11-12 點期間為攻擊最高峰，如圖 4.7 所示。 24 圖 4.7 子團伙 G1-2 的攻擊開始時間分布 團伙 G1 年度 C&C 和攻擊目標的關系拓撲、以及 C&C 和肉雞的關系拓撲如圖 4.8 和圖 4.9 所示，紅色節點為控制端節點、紫色節點為攻擊目標節點、黃色節點為肉雞節點。從圖中可以看到，攻擊目標節點及肉雞節點大量在各自的圖的中間聚集， 可以看出團伙使用的肉雞資源和攻擊目標具有非常強的重合性。 2

28、5 圖 4.8 團伙 G1 年度 C&C 和攻擊目標的關系拓撲（C&C 為紅色，攻擊目標為紫色） 圖 4.9 團伙 G1 的 C&C 和肉雞的關系拓撲（C&C 為紅色，肉雞為黃色） 4.1.24.1.2 重要子團伙分析重要子團伙分析 團伙G1中， 在各個月份出現的C&C控制端的攻擊目標非常集中，但是它可以根據攻擊資源的復用情況拆分成若干主要的子團伙， 最重要的子團伙有以下三個： 一、一、 子團伙子團伙 G1G1- -1 1 該子團伙在 3 月份首次出現，此后在每月均活躍，共包含了 23個 C&C 控制端，主要利用 BillGates 僵尸網絡發動攻擊。該子團伙每個月的控制端平均在 1-7 個之

29、間，如圖 4.10 所示，其所利用的肉雞 26 主要位于我國境內的北京、上海、浙江等省市，攻擊目標主要位于我國境內的福建、廣東、浙江等省市，如圖 4.11 和圖 4.12 所示。 圖 4.10 子團伙 G1-1 的月度活躍 C&C 數量 圖 4.11 子團伙 G1-1 控制的肉雞所屬國家和地區分布 圖 4.12 子團伙 G1-1 攻擊目標所屬國家和地區分布 二、二、 子團伙子團伙 G1G1- -2 2 子團伙 G1-2 首次出現在 5 月，此后每月均活躍，共包含 13 個C&C 控制端 IP，主要利用 XorDDoS 發動攻擊。該子團伙的控制端數量 27 在 5-10 月保持在 8-9 個，在

30、 11 月份增加為 12 個，隨后在 12 月份下降為 5 個，如圖 4.13 所示；同樣，該子團伙僵尸網絡肉雞數量在 11月份達到頂峰，當月肉雞規模超過 7 萬臺，隨后有一定程度的下降，如圖 4.14 所示。該團伙的控制端絕大部分都位于法國，僅在 10 月份短暫切換到韓國的服務器 IP。從每月的攻擊天數來看，該團伙基本每月都活躍 25 天以上。從攻擊目標數目來看，該團伙的從 8 月份開始的攻擊任務開始上升，如圖 4.15 和圖 4.16 所示。 圖 4.13 子團伙 G1-2 的月度活躍 C&C 數量 圖 4.14 子團伙 G1-2 的月度活躍僵尸網絡肉雞數量 28 圖 4.15 子團伙 G

31、1-2 的月度活躍天數 圖 4.16 子團伙 G1-2 的月度攻擊目標數目 子團伙 G1-2 所利用的肉雞地址絕大部分是位于我國境內的江蘇、廣東、福建等省份，涉及大量的家用寬帶用戶，如圖 4.17 所示；其攻擊目標絕大部分都為 IDC 機房， 主要包含位于杭州的阿里云服務器、位于福州和佛山電信/聯通 IDC 機房、及位于北京的騰訊云服務器，如圖 4.18 所示。 29 圖 4.17 子團伙 G1-2 的肉雞所屬國家和地區分布 圖 4.18 子團伙 G1-2 的攻擊目標所屬省份分布 從子團伙 10 月以前的肉雞和 C&C 的關系見圖 4.19，該團伙的每個 C&C 主要控制不同部分的肉雞，僅有小

32、部分肉雞在一月內被多個C&C 控制，然而在 11 月份，該團伙的大部分 C&C 都消亡，所有的肉雞的控制權均轉移至某特定網段的控制端 IP，如圖 4.20 所示。 圖 4.19 10 月以前子團伙 G1-2 的 C&C 與肉雞的關系圖 30 圖 4.20 11 月份子團伙 G1-2 的 C&C 與肉雞的關系圖 子團伙 G1-2 的主要攻擊目標主要為游戲行業和博彩業，僅在 11月份攻擊的游戲業相關 IP 達到 200 余個，關聯域名 400 余個；博彩相關 IP 就達到 53 個，關聯域名兩百余個，攻擊目標樣例如圖 4.21所示。 博彩博彩 色情色情 游戲外掛網站游戲外掛網站 游戲主頁游戲主頁

33、圖 4.21 子團伙 G1-2 的攻擊目標樣例 CNCERT 對該子團伙進行了長期跟蹤，監測發現該子團伙使用了大量包含特定字符串的惡意域名。該子團伙與某 2014 年被發現的公開組織相關， 該組織與游戲私服、 色情、 賭博等產業聯系緊密。 CNCERT 31 于 2017 年中心溯源分析的數千起大流量攻擊事件中，監測發現這些域名涉及了其中多起事件，且在 2017 年 8 月左右非?；钴S，此后沉寂了半年多的時間，在 2018 年 5 月開始又重新活躍起來。 三、三、 子團伙子團伙 G1G1- -3 3 子團伙 G1-3 只在 6，7 月份活躍，共包含 6 個 C&C 控制端 IP，集中在境外某特

34、定網段，主要利用 XorDDoS 僵尸網絡發動攻擊。該子團伙的主要攻擊目標大量位于我國境內，如圖 4.22 所示。 圖 4.22 子團伙 G1-3 的攻擊目標所屬國家或地區 TOP10 4.24.2 團伙團伙 G G1313：肉雞規模第二大的攻擊團伙：肉雞規模第二大的攻擊團伙 團伙 G13 全年的活躍時長為兩個月，最初活躍時間為 2018 年 6月，最近活躍時間為 2018 年 8 月，共包含 4 個 C&C 控制端，均位于我國境外，總共控制了 1.3 萬臺肉雞，攻擊目標總共 5440 個。該團伙所利用的肉雞資源主要分布在我國境內， 特別是江蘇、 廣東、 河南、浙江等省份，主要攻擊目標為境外，

35、特別是美國、加拿大、意大利等 32 國家的 VPS，如圖 4.23 和圖 4.24 所示。該團伙主要利用 Gafgyt 僵尸網絡家族發動攻擊。 圖 4.23 團伙 G13 的肉雞所屬國家和地區分布 圖 4.24 團伙 G13 的攻擊目標所屬國家和地區分布 團伙 G13 的 C&C 控制端月活和日活情況如圖 4.25 所示，月度攻擊目標熱度如圖 4.26 所示。在 5 個 CC 控制端中，平均每個控制端活躍 2 個月，每個月平均活躍 8 天，每個月平均針對 500 個攻擊目標發起攻擊；其中有 2 個控制端的活躍月度達到 3 個月，且每個月的平均活躍天數超過 15 天，這些控制端同時也是發起攻擊最

36、多的攻擊源，平均每個月攻擊的目標數量為 1456 個。 33 圖 4.25 團伙 G13 的 C&C 控制端月度日活躍熱度 圖 4.26 團伙 G13 的 C&C 控制端月度攻擊目標數量熱度 團伙 G13 的 C&C 和攻擊目標的關系拓撲、 以及 C&C 和肉雞的關系拓撲如圖 4.27 和圖 4.28 所示，紅色節點為控制端節點、紫色節點為攻擊目標節點、黃色節點為肉雞節點。從圖中可以看到，攻擊目標節點大量在圖的中間聚集， 可以看出團伙使用的攻擊目標具有非常強的重合性， 而團伙中每個 C&C 控制端所控制的肉雞資源則圍繞控制端節點分散開來，相對比較獨立。 34 圖 4.27 團伙 G13 年度

37、C&C 和攻擊目標的關系拓撲（C&C 為紅色，攻擊目標為紫色） 圖 4.28 團伙 G13 的 C&C 和肉雞的關系拓撲（C&C 為紅色，肉雞為黃色） 35 4.34.3 團伙團伙 G G9 9：肉雞規模排名第三的團伙：肉雞規模排名第三的團伙 團伙 G9 全年活躍時長為兩個月，活躍時間從 2018 年 5 月 11 日到 2018 年 7 月 12 日，共包含 9 個 C&C 控制端，均歸屬美國、荷蘭等境外國家，共控制 13035 個肉雞，攻擊目標為 642 個。該團伙主要利用 Gafgyt 僵尸網絡家族發動攻擊。該團伙所利用的大部分肉雞資源都位于我國境內，主要位于北京、廣東、浙江等省市，攻擊

38、的目標大量為我國福建省的電信 IDC 機房，還有許多境外的 IDC 機房，如圖4.29 和 4.30 所示。 圖 4.29 團伙 G9 利用的肉雞資源所屬國家或地區分布 圖 4.30 團伙 G9 的攻擊目標所屬國家或地區分布 團伙 G9 的 C&C 控制端月活和日活情況如圖 4.31 所示， 月度攻擊目標熱度如圖 4.32 所示。圖中可示，在 9 個 CC 控制端中，平均每個 36 控制端活躍 1.5 個月，每個月平均活躍 2.57 天，每個月平均針對 47攻擊目標發起攻擊；其中有 5 個控制端的活躍月度達到 2 個月，且每個月的平均活躍天數超過 3 天， 這些控制端同時也是發起攻擊最多的攻擊

39、源，平均每個月攻擊的目標數量為 66 個。 圖 4.31 團伙 G9 的 C&C 控制端月度日活躍熱度 圖 4.32 團伙 G9 的 C&C 控制端月度攻擊目標數量熱度 團伙 G9 的 C&C 和攻擊目標的關系拓撲、以及 C&C 和肉雞的關系拓撲如圖 4.33 和圖 4.34 所示，可以看出團伙 G9 的攻擊目標具有一定的重合性， 而團伙中每個 C&C 控制端所控制的肉雞資源圍繞控制端節點分散開來，相對較為獨立。 37 圖 4.33 團伙 G9 的 C&C 控制端及攻擊目標和的關系拓撲 （C&C 為紅色， 攻擊目標為紫色） 圖 4.34 團伙 G9 的 C&C 和肉雞的關系拓撲（C&C 為紅色

40、，肉雞為黃色） 38 4.44.4 團伙團伙 G G1616：利用利用 GafgytGafgyt 僵尸網絡家族的月度最大團伙僵尸網絡家族的月度最大團伙 團伙 G16 全年只在 8 月份活躍了一個月，是 Gafgyt 僵尸網絡家族中的控制端節點較為普遍的活躍形式，也是月度最大的團伙。只有一個 C&C 控制端是該團伙的核心控制端，如圖 4.35 所示，圖中最大的藍色節點就是核心控制端，大部分攻擊都由其所控制的肉雞完成，其余的小部分攻擊目標由多個 C&C 共同完成攻擊。該團伙在 2018 年8 月份控制了 1.1 萬臺肉雞，由 74 個 C&C 共同控制。從該團伙攻擊的目標 IP 相關域名來看，其主要攻擊虛機主機運營商。 圖 4.35 Gafgyt 家族的 C&C 中控制規模最大的團伙 G16（C&C 和攻擊目標的關系）