0
雷鋒網編者按:云計算本身的開放性、便捷性、多樣性和高性價比,不僅吸引著眾多的企業用戶,同樣也吸引著網絡黑灰產從業者。現在,越來越多的網絡黑灰產通過購買公有云服務,將用于攻擊、詐騙、引流的網站和服務器置于云中,進一步降本提效。同時,還可利用公有云提供的安全能力與企業和安全廠商進行對抗。7月27日,威脅獵人聯合金山毒霸對外發布了針對公有云的惡意網站感知數據,對公有云云上資產的合規現狀進行了調研分析。
本文為威脅獵人投稿,雷鋒網編輯。
在2018年上半年(2018年01月-06月)間,以國內各大公有云的云上應用和云主機為目標的網絡攻擊整體呈明顯上升趨勢,威脅類型以機器人、撞庫攻擊為主,針對云主機、域名和郵箱等資源的業務灰產仍大量存在。
通過對相關攻擊行為按月進行次數統計,我們可以看到,在排除2月份春節期間大規模企業營銷活動所造成的數據樣本偏差影響后,黑灰產對公有云的攻擊次數呈明顯的上升趨勢。
阿里云、騰訊云遭受攻擊最多在國內公有云廠商中,針對阿里云的攻擊次數占比最高,達55.32%,針對騰訊云的攻擊次數占比居第二,為27.34%,其他依次是UCLOUD、華為云、青云、百度云、金山云、京東云。這與國內公有云廠商的市場份額占比排名基本趨同(此處忽略了部分公有云廠商較細微的市場份額差異)。
值得注意的是,如果按月統計攻擊次數占比,阿里云和騰訊云的占比在大多數月份都呈小幅上升趨勢(排除2月份春節的數據樣本偏差影響),這也與公有云市場份額的集中化趨勢基本趨同。
超五成攻擊為機器人所為
通過對攻擊流量中行為特征的提取,我們發現,超過五成的攻擊為機器人所為。這些機器人中絕大部分用來執行互聯網掃描或漏洞利用動作,其中大部分(超過70%)為最為常見的批量端口掃描器,約兩成源自針對特定目標的自動化漏洞掃描與利用工具(如Struts2-045/048系列漏洞),另有約一成應與國家監管部門、安全廠商和科研機構的互聯網資產探測類系統有關。此外,還有極少部分機器人是針對公有云企業郵箱的注冊機。
此外,我們還發現一個有趣的現象,自動化掃描或漏洞利用類機器人中約三成的流量源頭指向了美國弗吉尼亞州阿什本,即亞馬遜AWS云計算園區所在地,且有逐月遞增趨勢。我們推斷,由于國內網絡安全監管趨嚴,黑灰產活動的部分基礎設施正逐步向國外轉移。
除自動化掃描或漏洞利用行為外,有14.36%的攻擊行為為撞庫攻擊。對此類攻擊行為按月進行次數統計,可以看到有明顯的上升趨勢(排除2月份春節的數據樣本偏差影響)。
此外,我們還發現,三成左右的撞庫攻擊使用了重疊度較高的新的字典庫,疑似與我們在2018年上半年監控到的數起社工庫地下交易事件有關。考慮到從數據泄露到流出至暗網、Q群、Telegram群等進行小范圍交易,再到大規模散播的時延一般在三到六個月左右,我們可以推斷,到2018年下半年,撞庫攻擊將進一步增加。
通過對“TH-Karma”平臺采集的黑灰產數據進行分析,我們發現針對公有云各類優惠活動的薅羊毛活動仍然活躍。典型的有:通過批量刷阿里云、騰訊云和美團云學生機優惠再進行轉租轉售,或是批量代過阿里云和騰訊云域名實名認證,或是通過郵箱注冊機批量注冊公有云企業郵箱等等。我們認為,這類活動已形成較為完整的“產-銷-用”灰產鏈條,為其他黑灰產活動提供基礎設施支撐。
受限于數據獲取的渠道及樣本噪點的影響,我們的監控渠道對DDoS攻擊和爬蟲兩類攻擊的捕獲率偏低,導致在數據統計結果中這兩類攻擊次數低于我們的經驗預期,無法判斷其趨勢走向,故在本報告中不對此做詳細分析。但從我們獲取的黑灰產交易數據來看,近6個月針對阿里云和騰訊云服務器的DDoS攻擊空單(即沒人接單或接單完不成)量明顯增多,側面反映了阿里云、騰訊云等云廠商在抗DDoS方面的努力已有一定成效。
本文為威脅獵人投稿,雷鋒網編輯。
雷峰網特約稿件,未經授權禁止轉載。詳情見轉載須知。
