报告中指出，泄露的账号信息中，50% 来自于僵尸网络。这些工具通常用于部署高度准确的信息窃取恶意软件。这些信息窃取程序使网络犯罪分子能够大规模工作，窃取有效凭证、cookie、自动填充数据和其他有价值的信息，展开有针对性的攻击或在暗网上出售获利。

研究人员调查中发现了 86 亿个个人身份信息资产，其中包括 14 亿个全名、3.32 亿个国民身份证 / 完整的社会安全号码和 6700 万个信用卡号码。

报告中还发现了 220 亿个设备和会话 cookies，这些记录允许犯罪分子绕过 MFA 并劫持活动会话，从而使他们能够访问敏感信息。

尽管近年来越来越重视安全培训，但密码使用习惯仍然很糟糕。从报告中获悉，在 2022 年泄露的用户密码中，有 72% 仍在重复使用之前泄露的密码。

自 IT之家

季度总结

1、2021年第二季度大多数DDoS攻击都是针对美国的(36%)。中国（10.28%）的攻击份额下降6.36个百分点，排在第二名。本季度排名第三的是波兰（6.34%），其份额上升了4.33个百分点。加拿大 (5.23%)在第一季度排在前三名，第二季度下降至第五位。

2、本季度DDoS攻击最活跃的一天是6月2日，当时发生了1164次攻击。最安静的一天是4月18日，只有60次。6月24日和25日，攻击次数不足200次。但是，第二季度有两天DDoS攻击超过1000次。

3、第二季度，DDoS攻击在一周的分布比第一季度更为均匀，周一至周四的份额有所增加。大部分DDoS攻击发生在周二（15.31%），一周里最平静的一天是周日（13.26%）。

4、2020年第四季度，最长的一次攻击持续时间超过302小时。2021年第一季度最长的攻击时间为746小时（超过31天），第二季度最长的攻击时间为776小时（超过32天）。

5、60%的DDoS攻击使用UDP洪泛。

6、拥有最多僵尸网络C&C服务器的国家是美国（47.95%）。

DDoS攻击数量的动态

DDoS攻击的持续时间和类型

僵尸网络分布地理

DDoS攻击目标排名与攻击数量排名的前三个地区一致，分别为中国（44.49%）、美国（23.57%）和中国香港（7.20%）。

在“最安静”的日子里，DDoS攻击的数量每天不超过1次。

就DDoS而言，该季度最活跃的一天是12月31日，共记录了1,349次攻击。

周四是第四季度DDoS攻击数量最多一天，而周日则最少。

第四季度，非常短时间的攻击（71.63%）和非常长时间的攻击（0.14%）的份额分别下降，而所有中间时段攻击的份额则有所增加。

第四季度按类型划分DDoS攻击的分布表明，UDP泛洪位居第二（15.17%），而卡巴斯基报告中未提及的GRE泛洪成为第四大常见事件（0.69%）。

Linux僵尸网络几乎占100%的攻击。

大部分僵尸网络C＆C服务器位于美国（36.30%）、荷兰（19.18%）和德国（8.22%）。

• 攻击次数和攻击目标份额的前三名保持不变：中国（71.20和72.83%）、美国（15.30和15.75%）和中国香港特别行政区（4.47和4.27%）。

• 荷兰和越南是攻击次数前十名中的新面孔。
• 按目标数量进行排名，亚洲的兴趣显着下降：香港下跌了2.07个百分点。但是，中国的目标份额上升了6.81个百分点。
• 在第二季度好转之后，第三季度的攻击次数再次下降。而且，峰值（每天323次攻击）和反峰值（1次注册攻击）之间的差异急剧增加。
• 第三季度观察到8月底和9月初有两周DDoS攻击下降了。在此期间，还有3个反高峰时段（8月31日、9月1/7日），每天只有1次攻击，另有5天少于10次。
• DDoS僵尸网络泛洪在周四最为活跃，而周五则明显下降。

• 尽管就持续时间而言，第3季度远远落后于第1季度，但有两次记录的攻击发生时间超过10天（246和245小时），持续5–9天的攻击次数增加了，有12次攻击持续了121-236小时。

• 按类型划分的攻击分布没有任何变化：SYN泛洪仍然是主要工具（94.6%），自上一季度以来，其份额实际上保持不变。 ICMP攻击占3.4%，而HTTP泛洪得分不到0.1%。

• Linux僵尸网络仍然占据主导地位，占攻击总数的95.39%，比上一季度上升0.61个百分点。

199IT.com原创编译自：卡巴斯基 非授权请勿转载

受攻击最严重的前三个国家/地区依然是中国（65.12%）、美国（20.28%）和中国香港（6.08%）。

罗马尼亚跌出前十名，排名第17位，英国从第18位上升到第10位。

攻击目标数和攻击次数均排在前五位的国家/地区分别是中国（66.02%）、美国（19.32%）、中国香港（6.34%）、南非（1.63%）和新加坡（1.04%）。

现在熟悉的袭击趋势开始逆转：今年4月攻击的数量有所增加，在4月9日达到298起的峰值。

在第二季度，我们观察到了两次持续数天的下降，分别是4月30日-5月6日和6月10日-12日，袭击数量保持在每天10-15起。

DDoS僵尸网络活动在周三和周四增加，在周六减少。

即使是最长的攻击也没有达到9天（215、214和210小时），这是上个季度持续时间最长的攻击（大约19天）的一半。

SYN洪流仍然是主要的DDoS攻击工具（94.7%），ICMP攻击占4.9%，其他类型的DDoS攻击被排挤在外。

Windows与Linux僵尸网络的比例几乎没有变化，后者仍然是攻击的绝对多数（94.78%）。

199IT.com原创编译自：卡巴斯基实验室 非授权请勿转载

攻击事件地域分布排名前十的意外来宾是南非，排名第四（2.40%），之前从未出现在卡巴斯基排行榜上。

按目标数量划分的前10名与按攻击次数排名前10相似：前3名仍然是中国（57.20%）、美国（22.16%）和中国香港（4.29%）。

上个季度，DDOS僵尸网络活动峰值出现在7月份；最危险的一天是星期一，占攻击量的17.53%，最安静的是周日，仅占10.69%。

最长的攻击持续时间超过11天（279小时），几乎是第二季度的一半。

最常见的攻击类型仍然是SYN泛洪（79.7%），UDP泛洪排在第二位（9.4%）。最不受欢迎的是ICMP泛洪（0.5%）。

Windows和Linux僵尸网络的份额与第二季度相比几乎没有变化；Linux僵尸网络仍占攻击活动的绝大多数（97.75%）。

僵尸网络C&C服务器数量再次领先，尤其是在美国（47.55%）、荷兰（22.06%）和中国（6.37%）。

第二季度和第三季度最易受攻击的国家

攻击数量动态

一周里每日DDoS攻击比例

第二季度和第三季度不同攻击时长份额

DDoS攻击类型

Windows和Linux僵尸网络情况

第三季度C&C服务器僵尸网络分布

199IT.com原创编译自：卡巴斯基实验室 非授权请勿转载

        卡巴斯基实验室发布了2017年工业网络基础设施受僵尸网络代理攻击的情况。

        在大多数情况下，僵尸网络代理的作用包括搜索和窃取金融信息、窃取认证数据、暴力破解密码、发送垃圾邮件，以及对特定的远程互联网资源进行攻击。此外，在僵尸网络代理攻击第三方资源的情况下，拥有启动攻击IP地址的公司可能会面临一定的声誉风险。

        虽然僵尸网络代理的破坏性活动并非专门设计用于破坏任何工业系统的运行，但感染这类恶意软件可能对工业基础设施的一部分造成严重威胁，可能导致网络故障、感染系统和网络上其他设备。恶意软件在其代码中包含错误，并与控制工业基础设施的软件不兼容，这可能会导致工业流程监控和控制的中断。

        僵尸网络代理的另一个危险是通常包含数据收集功能，并且像后门恶意软件一样，使攻击者能够暗中控制受感染的机器，对感染工业控制系统感兴趣的威胁者可以访问受害公司的敏感数据和用于控制工业基础设施的系统。

        2017年，10.8%的工业控制系统（ICS）受到僵尸网络代理的攻击。此外，僵尸网络代理攻击统计数据显示，2%的ICS系统同时遭受了多个恶意程序的攻击。

        去年僵尸网络代理攻击ICS系统的主要来源是互联网，可移动媒体和电子邮件。

        这再次证明了对访问控制的需求，以确保信息在工业网络和其他网络之间安全地交互，并且需要阻止未经授权的可移动介质连接到ICS系统，并安装旨在检测和过滤恶意软件的工具。

        下图显示了2017年ICS系统最常见的五大僵尸网络代理商

        近2%的系统受到Virus.Win32.Sality恶意软件的攻击。除了感染其他可执行文件外，该恶意软件还包括抵御反病毒解决方案和从命令与控制服务器下载其他恶意模块的功能。最普遍的Sality模块是用于发送垃圾邮件、窃取存储在系统中的认证数据以及下载和安装其他恶意软件的组件。

        Dinihou僵尸网络代理攻击了0.9%的ICS系统，排在第二位。它能让攻击者从受感染系统上传任意文件，从而给企业敏感数据泄露带来威胁。此外，Worm.VBS.Dinihou和Virus.Win32.Nimnul（位居第三，攻击0.88%的系统）可用于在受感染的系统上下载和安装其他恶意软件。

        199IT.com原创编译自：卡巴斯基实验室 非授权请勿转载

虽然70.5%的比例仍然很高，但已经较数年前大幅下降，彼时的数据曾经超过90%。赛门铁克上月每天都会分析约80亿封电子邮件，并借此得出了上述数据。

在微软等企业与美国执法机构今年3月联合捣毁了Rustock僵尸网络后，垃圾邮件的数量大幅下滑。该僵尸网络每天发送的垃圾邮件高达300亿封。赛门铁克高级软件工程师安迪·沃森(Andy Watson)说：“自那以后，并没有新的僵尸网络填补空缺。”

各国执法机构都加大了对僵尸网络的处罚力度，今年被捣毁的僵尸网络还包括Coreflood和Kelihos，2010年则包括Waledac和Bredolab。

但沃森表示，垃圾信息传播者目前已经将重点放在社交媒体网站，并且可以从中获得更好的回报。他们可以借助Twitter和Facebook等服务散布恶意链接，并展开不法活动。