在2018年上半年間, 以國內各大公有雲的雲上應用和雲主機為目標的網路攻擊整體呈明顯上升趨勢, 威脅類型以機器人, 撞庫攻擊為主, 針對雲主機, 功能變數名稱和郵箱等資源的業務灰產仍大量存在.
攻擊總次數整體呈上升趨勢
通過對相關攻擊行為按月進行次數統計, 我們可以看到, 在排除2月份春節期間大規模企業營銷活動所造成的數據樣本偏差影響後, 黑灰產對公有雲的攻擊次數呈明顯的上升趨勢.
阿里雲, 騰訊雲遭受攻擊最多
在國內公有雲廠商中, 針對阿里雲的攻擊次數佔比最高, 達55.32%, 針對騰訊雲的攻擊次數佔比居第二, 為27.34%, 其他依次是UCLOUD, 華為雲, 青雲, 百度雲, 金山雲, 京東雲. 這與國內公有雲廠商的市場份額佔比排名基本趨同 (此處忽略了部分公有雲廠商較細微的市場份額差異) .
值得注意的是, 如果按月統計攻擊次數佔比, 阿里雲和騰訊雲的佔比在大多數月份都呈小幅上升趨勢 (排除2月份春節的數據樣本偏差影響) , 這也與公有雲市場份額的集中化趨勢基本趨同.
超五成攻擊為機器人所為
通過對攻擊流量中行為特徵的提取, 我們發現, 超過五成的攻擊為機器人所為. 這些機器人中絕大部分用來執行互聯網掃描或漏洞利用動作, 其中大部分 (超過70%) 為最為常見的批量通信埠掃描器, 約兩成源自針對特定目標的自動化漏洞掃描與利用工具 (如Struts2-045/048系列漏洞) , 另有約一成應與國家監管部門, 安全廠商和科研機構的互聯網資產探測類系統有關. 此外, 還有極少部分機器人是針對公有雲企業郵箱的註冊機.
此外, 我們還發現一個有趣的現象, 自動化掃描或漏洞利用類機器人中約三成的流量源頭指向了美國維吉尼亞州阿什本, 即亞馬遜AWS雲計算園區所在地, 且有逐月遞增趨勢. 我們推斷, 由於國內網路安全監管趨嚴, 黑灰產活動的部分基礎設施正逐步向國外轉移. 撞庫攻擊整體呈上升趨勢
除自動化掃描或漏洞利用行為外, 有14.36%的攻擊行為為撞庫攻擊. 對此類攻擊行為按月進行次數統計, 可以看到有明顯的上升趨勢 (排除2月份春節的數據樣本偏差影響) .
此外, 我們還發現, 三成左右的撞庫攻擊使用了重疊度較高的新的字典庫, 疑似與我們在2018年上半年監控到的數起社工庫地下交易事件有關.
考慮到從數據泄露到流出至暗網, Q群, Telegram群等進行小範圍交易, 再到大規模散播的時延一般在三到六個月左右, 我們可以推斷, 到2018年下半年, 撞庫攻擊將進一步增加.
公有雲業務灰產依舊活躍
通過對 'TH-Karma' 平台採集的黑灰產數據進行分析, 我們發現針對公有雲各類優惠活動的薅羊毛活動仍然活躍. 典型的有: 通過批量刷阿里雲, 騰訊雲和美團雲學生機優惠再進行轉租轉售, 或是批量代過阿里雲和騰訊雲功能變數名稱實名認證, 或是通過郵箱註冊機批量註冊公有雲企業郵箱等等.
我們認為, 這類活動已形成較為完整的 '產-銷-用' 灰產鏈條, 為其他黑灰產活動提供基礎設施支撐.
數據分析補充說明
受限於數據獲取的渠道及樣本噪點的影響, 我們的監控渠道對DDoS攻擊和爬蟲兩類攻擊的捕獲率偏低, 導致在數據統計結果中這兩類攻擊次數低於我們的經驗預期, 無法判斷其趨勢走向, 故在本報告中不對此做詳細分析.
但從我們獲取的黑灰產交易數據來看, 近6個月針對阿里雲和騰訊雲伺服器的DDoS攻擊空單 (即沒人接單或接單完不成) 量明顯增多, 側面反映了阿里雲, 騰訊雲等雲廠商在抗DDoS方面的努力已有一定成效.
