FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序把安全装进口袋
自2005年亚马逊发布AWS伊始,云计算历经十数年的发展,已被广泛应用于各个领域,云计算支出在全球IT支出中的比例不断提升,并形成了一个新兴的、高达数千亿美元的全球市场。
在国内,2009年成立的阿里云引领了云计算风潮。在完成一定的技术积累和客户普及教育后,目前,我国的云计算产业已进入一个较长的高速增长期,在国家政策的大力扶持下,加之阿里云、腾讯云等大型公有云厂商的大力推动,我国云计算市场的规模急剧扩张,网络效应和规模效应明显放大,并已成为我国IT产业一个新的高速增长点。
然而,在各个公有云厂商努力开疆拓土,打造各自的云计算帝国的同时,云上资产的合规性问题也日益凸显:
一方面,越来越多的互联网企业和传统企业依托公有云厂商提供的服务开展业务或进行数字转型,企业的数字资产正在向云上集中,云上资产的安全与合规显得尤为重要。而公有云厂商在某种程度上已经与上云企业形成了责任共担关系:上云企业必须依托公有云厂商在基础设施、平台乃至软件层面提供的安全能力来构建云上业务的安全体系,公有云厂商在安全和合规层面也承担了比传统的IDC厂商和网络运营商更多的责任和义务,安全与合规能力的输出也已成为其核心竞争力之一。
另一方面,云计算本身的开放性、便捷性、多样性、高性价比,以及公有云厂商在安全方面的努力,不仅吸引着正常的企业用户,同样也吸引着网络黑灰产从业者:越来越多的网络黑灰产通过购买公有云服务,将用于攻击、诈骗、引流的网站和服务器置于云中,进一步降本提效。同时,还可利用公有云提供的安全能力与企业和安全厂商进行对抗。这迫使公有云厂商必须加强对云上资产的合规审计能力,做到及时、准确地识别云上资产及服务的违规、滥用行为,强化对公有云内容和行为安全的管控力度,承担起相应的社会责任。
(1)撞库:撞库攻击指的是黑客通过收集互联网上已泄露的用户账户信息,生成对应的字典表,再利用部分用户相同的注册习惯(即使用相同的用户名和密码),尝试登陆其它的网站或应用,以获取新的可利用账户信息。
(2)爬虫:爬虫又称为网页蜘蛛,是一种按照既定规则,自动抓取网络上的指定信息的程序或脚本,可分为遍历爬取网页超链接的网页爬虫和构造特定API接口请求数据的接口爬虫两类。
(4)网络钓鱼:网络钓鱼是构造带有欺骗性的电子邮件或伪造的Web站点,以吸引受害者提交敏感信息,或向目标传递并植入恶意程序的一种社会工程攻击方式,常被用于执行网络欺诈和网络入侵。按照攻击载体,网络钓鱼可分为网站钓鱼、邮件钓鱼、短信钓鱼、IM社交钓鱼、移动APP钓鱼等类型。
(6)僵尸网络:僵尸网络(Botnet)是攻击者出于恶意目的,传播僵尸程序bot以控制大量计算机,并通过一对多的命令与控制信道所组成的网络。需注意的是,这个网络并非物理意义上具有拓扑结构的网络。
(1)内容类数据;通过定向监控手段(云清平台)获取的违规/恶意网站及其内容数据。
(2)样本类数据:通过广谱监控手段(TH-Karma平台)获取的黑灰产工具样本。
(3)流量类数据:通过蜜罐监控手段(TH-Karma平台)获取的黑灰产攻击流量数据。
(4)黑IP/域名类数据:通过第三方合作、蜜罐监控手段(云清平台及TH-Karma平台)获取的黑IP/域名数据。
数据取样说明
本报告的数据取样主要采取以下几种方式:
(1)关键词取样:根据特定的关键词及关键词组合,从全集数据中提取与特定分析对象或特定分析场景有关的数据子集。主要用于数据统计或趋势分析。
(2)相似度采样:根据文本或样本数据的相似度,从全集数据中提取具有较高相似度的数据子集。主要用于数据分类统计或案例分析。
(3)随机采样:对未知类型或内容数据进行简单随机采样,抽样比例根据具体的分析场景决定,主要用于情报线索发现或关键词校验。
(4)分层采样:对已知工具/事件数据按既定的标签规则分为若干子集,对每个子集中的数据随机抽取部分数据进行分析,抽样比例根据具体分析场景决定,主要用于案例分析或关键词校验。
在国内公有云厂商中,针对阿里云的攻击次数占比最高,达55.32%,针对腾讯云的攻击次数占比居第二,为27.34%,其他依次是UCLOUD、华为云、青云、百度云、金山云、京东云。这与国内公有云厂商的市场份额占比排名基本趋同(此处忽略了部分公有云厂商较细微的市场份额差异)。
值得注意的是,如果按月统计攻击次数占比,阿里云和腾讯云的占比在大多数月份都呈小幅上升趋势(排除2月份春节的数据样本偏差影响),这也与公有云市场份额的集中化趋势基本趋同。
除自动化扫描或漏洞利用行为外,有14.36%的攻击行为为撞库攻击。对此类攻击行为按月进行次数统计,可以看到有明显的上升趋势(排除2月份春节的数据样本偏差影响)。
此外,我们还发现,三成左右的撞库攻击使用了重叠度较高的新的字典库,疑似与我们在2018年上半年监控到的数起社工库地下交易事件有关。考虑到从数据泄露到流出至暗网、Q群、Telegram群等进行小范围交易,再到大规模散播的时延一般在三到六个月左右,我们可以推断,到2018年下半年,撞库攻击将进一步增加。
受限于数据获取的渠道及样本噪点的影响,我们的监控渠道对DDoS攻击和爬虫两类攻击的捕获率偏低,导致在数据统计结果中这两类攻击次数低于我们的经验预期,无法判断其趋势走向,故在本报告中不对此做详细分析。但从我们获取的黑灰产交易数据来看,近6个月针对阿里云和腾讯云服务器的DDoS攻击空单(即没人接单或接单完不成)量明显增多,侧面反映了阿里云、腾讯云等云厂商在抗DDoS方面的努力已有一定成效。
在国内公有云厂商中,从阿里云主机发起的攻击次数占比最高,达60.65%,从腾讯云主机的攻击次数占比居第二,为23.51%,其他依次是金山云、UCLOUD、华为云、百度云、京东云。
若按月统计攻击次数占比,阿里云和腾讯云的占比在大多数月份都呈一定幅度的上升趋势(排除2月份春节的数据样本偏差影响)。究其原因,我们认为这与阿里云、腾讯云在2018年上半年的一系列促销优惠活动有关:诸如前述的学生机,以及老客户6元机等云主机资源被越来越多的黑灰产用于对外发起攻击。
同时,我们还发现,超过三成(33.67%)的攻击均为撞库攻击,且逐月呈现一定幅度的上升趋势(排除2月份春节的数据样本偏差影响)。结合前文中3.4章节的分析结果,我们可以推断,到2018年下半年,从公有云主机对外发起的撞库攻击将进一步增加。
受限于数据获取的渠道,我们的监控渠道无法准确判断被用于对外攻击的云主机中哪些是最初目的就是用于黑灰产攻击,哪些又是被黑后的失陷主机,而单纯基于DGA域名规则进行判断也存在一定的局限性,且相应的数据统计结果远低于我们的经验预期。因此,在本报告中不对这一方面做详细分析。
结合金山毒霸在端上的恶意站点感知数据,以及威胁猎人采集的黑灰产活动数据,我们发现,除了前述各类网络攻击威胁外,公有云厂商还面临较严重的云上内容合规问题:大量恶意、违规网站利用公有云部署便捷、性价比高和防护能力强的特点,在公有云上搭建并对外开展网络赌博、网络色情、网络钓鱼、网络传销、内嵌挖矿等非法活动。
这类网站为了躲避监管,大多都会利用低价的批量域名和云主机资源,每隔1-3天随机切换域名和主机。这种操作手法在云上的网络钓鱼活动中也大量出现。
我们通过对各公有云中网络钓鱼类非法内容的数据统计发现,钓鱼网站最常见的仿冒网站类型分别是:银行、游戏、电商、P2P金融、赌博。
赌博类钓鱼网站同样受世界杯的影响出现激增现象,预计世界杯结束后会有所回落。
值得注意的是,随着数字货币的大热,主打“交易即挖矿”等新兴概念的网络传销也正在兴起,并与一些网络欺诈行为相结合,已诱使不少人深陷其中。
在云计算普及的当下,各大云计算服务提供商也承担着重要的角色,对违规内容和业务的审计能力也成为云计算服务提供商的标准能力。除了各大云计算厂商自身的投入之外,行业的联动及第三方服务提供商的能力合入也在提升整体安全审计效率。互联网生态快速变化过程中,安全体系的迭代存在更大压力。
*本文作者:威胁猎人Threathunter,转载注明来自FreeBuf.COM