在2018年上半年(2018年01月-06月)间,以国内各大公有云的云上应用和云主机为目标的网络攻击整体呈明显上升趋势,威胁类型以机器人、撞库攻击为主,针对云主机、域名和邮箱等资源的业务灰产仍大量存在。
攻击总次数整体呈上升趋势
通过对相关攻击行为按月进行次数统计,我们可以看到,在排除2月份春节期间大规模企业营销活动所造成的数据样本偏差影响后,黑灰产对公有云的攻击次数呈明显的上升趋势。
阿里云、腾讯云遭受攻击最多
在国内公有云厂商中,针对阿里云的攻击次数占比最高,达55.32%,针对腾讯云的攻击次数占比居第二,为27.34%,其他依次是UCLOUD、华为云、青云、百度云、金山云、京东云。这与国内公有云厂商的市场份额占比排名基本趋同(此处忽略了部分公有云厂商较细微的市场份额差异)。
值得注意的是,如果按月统计攻击次数占比,阿里云和腾讯云的占比在大多数月份都呈小幅上升趋势(排除2月份春节的数据样本偏差影响),这也与公有云市场份额的集中化趋势基本趋同。
超五成攻击为机器人所为
通过对攻击流量中行为特征的提取,我们发现,超过五成的攻击为机器人所为。这些机器人中绝大部分用来执行互联网扫描或漏洞利用动作,其中大部分(超过70%)为最为常见的批量端口扫描器,约两成源自针对特定目标的自动化漏洞扫描与利用工具(如Struts2-045/048系列漏洞),另有约一成应与国家监管部门、安全厂商和科研机构的互联网资产探测类系统有关。此外,还有极少部分机器人是针对公有云企业邮箱的注册机。
此外,我们还发现一个有趣的现象,自动化扫描或漏洞利用类机器人中约三成的流量源头指向了美国弗吉尼亚州阿什本,即亚马逊AWS云计算园区所在地,且有逐月递增趋势。我们推断,由于国内网络安全监管趋严,黑灰产活动的部分基础设施正逐步向国外转移。撞库攻击整体呈上升趋势
除自动化扫描或漏洞利用行为外,有14.36%的攻击行为为撞库攻击。对此类攻击行为按月进行次数统计,可以看到有明显的上升趋势(排除2月份春节的数据样本偏差影响)。
此外,我们还发现,三成左右的撞库攻击使用了重叠度较高的新的字典库,疑似与我们在2018年上半年监控到的数起社工库地下交易事件有关。
考虑到从数据泄露到流出至暗网、Q群、Telegram群等进行小范围交易,再到大规模散播的时延一般在三到六个月左右,我们可以推断,到2018年下半年,撞库攻击将进一步增加。
公有云业务灰产依旧活跃
通过对“TH-Karma”平台采集的黑灰产数据进行分析,我们发现针对公有云各类优惠活动的薅羊毛活动仍然活跃。典型的有:通过批量刷阿里云、腾讯云和美团云学生机优惠再进行转租转售,或是批量代过阿里云和腾讯云域名实名认证,或是通过邮箱注册机批量注册公有云企业邮箱等等。
我们认为,这类活动已形成较为完整的“产-销-用”灰产链条,为其他黑灰产活动提供基础设施支撑。
数据分析补充说明
受限于数据获取的渠道及样本噪点的影响,我们的监控渠道对DDoS攻击和爬虫两类攻击的捕获率偏低,导致在数据统计结果中这两类攻击次数低于我们的经验预期,无法判断其趋势走向,故在本报告中不对此做详细分析。
但从我们获取的黑灰产交易数据来看,近6个月针对阿里云和腾讯云服务器的DDoS攻击空单(即没人接单或接单完不成)量明显增多,侧面反映了阿里云、腾讯云等云厂商在抗DDoS方面的努力已有一定成效。