2023年DDoS趋势回顾及2024年可操作性策略

也许最重要的一点是，不要假设现有的DDoS和DNS安全态势"足够好"，或者组织的业务不在攻击者的目标列表上。 对于毫无防备和准备不足的受害者来说，2023年可谓教训深刻的一年，他们中的许多人低估了DDoS威胁的演变方式，同时也高估了他们现有的安全管理能力。 DDOSIA志愿者需要通过Telegram注册以接收带有恶意软件（dosia.exe）的ZIP文件，其中包含每个用户的唯一ID。
在DDOSIA项目启动一个月后，项目管理员发布了对贡献最大的攻击者的金钱激励更新。 8月中旬，NoName057(16)披露了其用来开展DDoS攻击的"特殊软件"。 随后，该组织提供了有关他们名为DDOSIA的"特殊软件"的更多信息，并说明了如何使用它来帮助打击西方的"俄罗斯恐惧症"。
卡巴斯基全球研究与分析团队(GReAT)发布了季度APT活动摘要，揭示了复杂且不断增加的网络安全威胁。 网络间谍活动的目的是窃取敏感信息，如知识产权或内部通信，以获取地缘政治优势。 这类攻击通常由国家支持，具有高度的复杂性和持续性，对组织构成了最大的网络风险。
网络间谍使用的恶意软件通常非常先进，而且他们能够迅速适应安全措施的更新，通过不断变化的攻击手段来逃避检测。 网络犯罪分子不仅销售恶意软件，还提供基础设施服务，如租用僵尸网络（botnets）来发起DDoS攻击或网络钓鱼活动。 此外，他们还可能利用"抗弹托管"（Bulletproof Hosting, XXXX VIDO (mana-mana.nl) BPH）服务来隐藏其恶意行为，这给执法机关的追踪和取证工作带来了巨大的挑战。
最后，在整个2023年，Akamai观察到更长时间的DDoS攻击活动重现抬头迹象。 平均而言，许多攻击持续时间超过20分钟，而在2021年至2023年期间，持续时间超过一小时的攻击数量增加了50%。 这与之前观察到的持续时间通常不到2分钟的短爆发式攻击趋势截然相反。 例如，对手可能会攻击与特定组织关联的所有IP地址，或者他们可能会进行更深入的侦察，以识别大量活动的服务或系统，并同时攻击所有这些服务或系统。 2022年9月，研究人员发现了一起破纪录的DDoS攻击，攻击者攻击了分布在六个物理数据中心的1813个IP地址，这是这种威胁的完美说明。
Spyrtacus恶意软件之前通过Android设备针对意大利的个人，现在已经发展到包含Windows变种。 有证据表明，该组织可能正在将其业务扩展到欧洲、非洲和中东的其他国家，这凸显了跨平台恶意软件开发的增长趋势。 如果说2023年给企业和机构上了一堂关于DDoS的课，那只能说明前一年的保护措施不再足以应对今年的攻击。
2023年，Akamai缓解的DDoS攻击中，有近60%使用了DNS组件（见图2）。 值得注意的是，该组织利用韩国独有的合法软件作为初始感染媒介。 朝鲜国家资助的组织Kimsuky或SharpTongue通过针对韩国加密货币公司的供应链攻击，部署了一个名为"Durian"的新的基于Golang的后门。 这些发生在2023年的创纪录攻击并非只是网络犯罪的一个异常现象！ 事实证明，这些攻击与2022年开始的"震慑式"DDoS攻击趋势非常一致。 2022年，Akamai就曾检测到一起创纪录的DDoS攻击，其最高攻击速度为704.8 Mpps。
Bobik经常通过RedLine Stealer等信息窃取程序部署，它会下载威胁组织在DDoS攻击中利用的第二阶段DDoS模块。 在整个2023年，DDoS攻击变得更加频繁、持续时间更长、复杂程度更高（具有多个向量），并专注横向目标（在同一攻击事件中攻击多个IP目的地）。 针对这些行业的攻击通常旨在造成声誉损害，或分散安全专业人员的注意力，以发动DDoS+勒索软件混合攻击。