本文作者:karmayu @云鼎實驗室
公眾號:云鼎實驗室
「天下熙熙,皆為利來;天下攘攘,皆為利往。」太史公一語道盡眾生之奔忙。在虛擬的世界,同樣有著海量的「眾生」,它們默默無聞,它們不知疲倦,它們無窮無盡,同樣為了「利」之一字一往無前。其事雖殊,其理一也。且隨騰訊安全云鼎實驗室揭開這虛擬世界的「眾生之相」。
一、惡意流量概述
1. 惡意流量是什么
要定義「惡意流量」,先來看「流量」是什么。說到「流量」,僅在網絡領域就存在許多不同的概念:
- 手機流量:每個月給運營商付費獲得若干 G 上網流量。
- 網站流量:網站訪問量,用來描述一個網站的用戶數和頁面訪問次數。
- 網絡流量:通過特定網絡節點的數據包和網絡請求數量。
在安全領域,研究的主要是網絡流量中屬于惡意的部分,其中包括網絡攻擊、業務攻擊、惡意爬蟲等。惡意流量絕大部分都來自自動化程序,通常通過未經許可的方式侵入、干擾、抓取他方業務或數據。
2. 為什么研究惡意流量
騰訊云作為國內最大最專業的云廠商之一,如何從海量的網絡流量中對惡意流量進行識別,保護客戶利益的同時為業界輸出優質數據,一直是我們努力的目標。
3. 惡意流量的研究方法
為了捕獲真實的惡意流量,云鼎實驗室在全球多個節點部署了蜜罐網絡集群,每天捕獲數億次的各類攻擊請求。
獲取海量真實惡意流量后,再通過對流量的研究和分析,反哺騰訊云對惡意流量的識別和防護能力。
二、惡意流量現狀
1. 惡意流量占比
根據國外公司 Distil Networks 發布的報告[1],2017年機器流量占全網流量的42.20%,其中惡意機器流量占21.80%。
這里「機器」指的是互聯網上的爬蟲、自動程序或者是模擬器。部分機器流量來自于搜索引擎爬蟲、RSS 訂閱服務等,屬于正常機器流量。另外一部分由自動化攻擊、僵尸網絡、惡意爬蟲等產生,屬于惡意機器流量。本文所描述的惡意流量幾乎都是自動化的機器流量。
2. 惡意流量在做什么
從云鼎實驗室捕獲到的惡意流量數據來看,大致可以分為四個大類,每個大類又可以分為若干個小類,詳細劃分如下:
1)網絡攻擊
- 端口掃描?
掃描服務器常用的端口和指定的端口是否開放,并進一步進行服務器軟件指紋探測。
- 登錄破解?
主要指對服務器 SSH 服務(Linxu)或遠程桌面服務(Windows)使用弱口令進行破解。
本系列報告有一篇專門講述,詳見《SSH 暴力破解趨勢:從云平臺向物聯網設備遷移》[2] 。
- 漏洞利用
利用已知或未知漏洞及利用工具(EXP)試圖獲得服務器權限。
- DDoS 攻擊?
主要指源自僵尸網絡或反射攻擊的分布式拒絕服務攻擊。
本系列報告有一篇專門講述,詳見《2018上半年互聯網 DDoS 攻擊趨勢分析》[3] 。
- CC 攻擊?
目的和 DDoS 攻擊類似,通過大量訪問對方網站中對系統性能消耗較大的頁面(如需要進行較復雜的數據庫查詢),造成數據庫或系統卡死,導致對方無法對外提供服務。
2)帳號攻擊
- 惡意注冊
在網站(社交類網站居多)注冊大量小號,并持續養號,用于后續謀取利益,尤其是在下面描述的「流量欺詐」領域。
- 帳號掃描
探測某帳號(包括用戶名、郵箱、手機號等)是否在某網站注冊過,通常是作為「惡意注冊」和「撞庫攻擊」的前置步驟。
- 撞庫攻擊
使用 A 網站泄漏的帳號密碼信息在 B 網站嘗試登錄,如果成功登錄,則撞庫攻擊成功。由于近年來許多網站發生帳號密碼泄漏事件,導致撞庫攻擊變得非常流行。
- 資產竊取
當撞庫攻擊成功后,盜取帳號內資產,例如虛擬幣、游戲帳號、裝備等。
3)流量欺詐
- 刷榜
在 AppStore(iOS)和其他 Android 軟件市場通過技巧,進行刷下載量、刷評價、刷排行、刷點擊、刷關鍵詞等操作。
- 刷粉
主要是在公眾號、社交類網站、貼吧等刷粉絲、刷關注等,俗稱僵尸粉。
- 刷熱度
在公眾號、短視頻、直播、視頻播放等領域刷觀看次數、閱讀量、訪問量、點贊量等等。
- 刷單
在電商類平臺刷成單量、商品評論等,達到影響商品排序等目的。
- 刷廣告
在廣告圈,總流傳著這樣一句話:“我知道我的廣告費有一半是被浪費的,但我不知道究竟是哪一半。”這個定律在互聯網廣告界亦是如此,乃至更甚。
4)惡意爬蟲
和遵循 Robots 協議的正規搜索引擎或 RSS 訂閱爬蟲不同,惡意爬蟲通過分析并構造參數對公開或非公開接口進行大量數據爬取或提交,獲取對方本不愿意被大量獲取的數據,并造成對方服務器性能損耗。爬蟲工程師和反爬蟲工程師的交鋒,是互聯網上的一大戰場。
本系列報告有一篇專門講述,詳見《2018上半年互聯網惡意爬蟲分析:從全景視角看爬蟲與反爬蟲》[4]。
三、十個結論
通過對惡意流量數據進行詳細分析,云鼎實驗室對監測到的惡意流量所反映出的一些互聯網安全趨勢進行了總結:
1. 「永恒之藍」依然肆虐嚴重
由于美國國家安全局(NSA)掌握的網絡武器「永恒之藍」漏洞在2017年4月被某黑客組織獲取并泄漏,導致利用該漏洞的惡意程序在網絡上肆虐,其中最典型的正是令人聞之色變的勒索病毒。經統計,在2018上半年基于「永恒之藍」的攻擊嘗試超過漏洞攻擊總量的30%以上。
2. 挖礦成為自動化入侵的主要目的
早期,黑客拿到普通服務器權限后主要以 DDoS 為變現途徑,但近年來數字貨幣大熱后,用服務器挖礦成為黑客入侵變現的主要途徑。這種無差別變現方式的興起,導致自動化入侵攻擊越發猖獗。
3. 反射放大類 DDoS 攻擊成為主流
自從各種反射放大類 DDoS 攻擊方法被研究出來,普通肉雞服務器早已滿足不了黑客的「打擊欲」,各種將攻擊放大幾百倍乃至數萬倍的攻擊手法層出不窮,無論是從流量規模還是傷害大小來看,反射放大類攻擊已成為 DDoS 主流。
4. 黑灰產間互相攻擊依然激烈
有人的地方就有江湖,黑灰產則是互聯網江湖水最渾的領域,而黑灰產內部為了利益也是不斷亂斗,其中不擇手段之處更甚于正規商業江湖。
5. 黑色產業鏈已實現資源平臺化
相對早期黑客的單打獨斗,如今互聯網黑色產業更像一個航母戰斗群,各種外部資源如手機號、郵箱號、IP 資源、過驗證碼服務,都已經形成規模化平臺,猶如航母戰斗群里的護衛艦、補給艦,使得黑客只要專注最核心的技術實現,就可以快速整合資源對各公司造成危害。
6. 各廠對新注冊帳號應保持謹慎
通過自動化運營大量小號,利用「長尾效應」獲取利益的模式(小額度大基數),已成為黑客獲利的主流。很多時候,各廠對大量新增用戶的欣喜,背面卻是大量對抗成本的付出。
7. 撞庫攻擊成為帳號類攻擊主流
由于網民安全意識的不足,習慣在多個網站使用相同帳號密碼,以及眾多網站用戶密碼的泄漏,導致撞庫攻擊異常泛濫。這早已替代傳統的盜號木馬成為主流的盜號攻擊模式。各廠商應加強登錄接口的監管,尤其是邊緣業務使用登錄接口的審核。
8. 游戲行業是黑客攻擊第一大目標
由于游戲行業擁有可觀的資金,龐大的用戶量,以及便捷的虛擬物品變現渠道,故而一直是黑客最青睞的行業,該行業擁有滲透最廣泛的黑色產業鏈,沒有之一。
9. 熱門行業虛假繁榮狀況依然嚴峻
互聯網創投熱點的領域幾乎都是黑灰產關注的領域,從團購到共享單車,從自媒體到直播,無不存在大量虛擬小號炒作出來的熱度。君不見,從微博千萬大V到抖音全民網紅,從公眾號10w+閱讀量到電視劇數億播放量,其中有多少真實、多少虛幻,恐怕誰也說不清楚。
10. 惡意爬蟲滲透到生活方方面面
前不久,我們發布了互聯網惡意爬蟲分析報告,報告顯示,每天至少數十億的爬蟲在互聯網上孜孜不倦地工作,影響著我們生活的各個方面,從火車搶票到醫院掛號,從熱點炒作到信息泄漏……無不有洶涌的黑客在蠶食其中的利益。
四、部分詳細數據剖析
1. 端口掃描
1)TCP 掃描
此處,我們列舉了近期 TCP 端口被掃描情況,相關端口涉及的具體業務如下:
從 TCP 掃描情況來看,針對 Windows SMB 協議的攻擊依然最大量,遠超其他類型。從請求數據來看,大部分是基于 NSA 泄漏的「永恒之藍」漏洞在進行自動化攻擊。
其他端口都比較常規,但在后面的長尾數據中我們發現了大量對非常規端口的掃描行為,例如:
這個列表還能列很長,千萬不要以為自己的服務器不會被人注意到,每天有大量黑客在通過自動化掃描器在尋找攻破你服務器的機會。
2)UDP 掃描
相關端口涉及的具體業務如下:
對 UDP 端口的掃描行為絕大多數都是為了搜索 DDoS 攻擊資源,由于許多對外的 UDP 類服務都被發現可以用來做 DDoS 反射放大攻擊,因此尋找此類服務器成為黑產一大行為。另外,53413端口的 Netcore 路由器后門漏洞依然利用十分猖獗。
根據我們的統計數據,在網絡上,平均每臺機器每天要遭受數萬到數十萬次的掃描。想象一下,每天有一火車站那么多的人偷偷瞄你家窗戶看里面有什么好東西,你還不重視服務器安全么。
2. CC 攻擊
源于黑灰產的暴利,黑灰產間互相攻擊一直是惡意攻擊的很大一部分,除了使用 DDoS 攻擊外,CC 攻擊由于簡單實用,也是黑灰產間互相攻擊的主要方式之一。上圖可見,超過一半的 CC 攻擊流量都是黑灰產之間互相攻擊,剩下的也部分由于網站直接打掛了或轉移了無法統計。
由于黑灰產服務器、域名變換頻繁,多是垃圾域名,服務器也多在海外,互相攻擊不影響大公司,此類攻擊也一直游離于三不管的灰色地帶,僅在他們對主流互聯網公司造成影響的的時候才為人們所知。其中最受關注的一次是2009年由于游戲私服火拼導致的「六省斷網」事件[5]。
3. 惡意注冊
各類帳號可以說是黑灰色產業的基石,下圖簡單繪制了這個產業鏈的流程,而實際上該鏈條上的每一個群體,都還有更小的產業鏈在支撐其業務。
產業鏈的模式極大地簡化了黑色產業的入行門檻,例如帳號注冊人需要注冊對應網站的帳號,可以直接購買更基礎的服務,例如已注冊好的郵箱帳號密碼或手機接收驗證碼服務,再配上自動化工具和相關 IP 資源,一個毫不懂技術的「黑客」就可以直接開始他的業務了。
如下圖為例,是某郵箱注冊商的自動銷售頁面,可以精準購買用于注冊不同網站帳號的郵箱(由于一個郵箱可以注冊多個網站,故可針對不同網站重復售賣)。
(某郵箱注冊商的銷售頁面)
4. 帳號掃描
帳號掃描指判斷某帳戶是否已在該網站注冊,掃描方法通常有以下幾種方式:
- 從帳戶注冊接口的返回信息判斷
- 從帳戶登錄接口的返回信息判斷
- 從找回密碼接口的返回信息判斷
而帳號掃描在攻擊鏈中的作用通常有以下幾種:
- 判斷該帳號是否可注冊,若可以,則進行惡意注冊。
- 判斷該帳號是否已存在,若存在,則進行撞庫攻擊。
- 判斷該帳號是否已存在,若存在,抓取相關信息收錄到社工庫用戶畫像。
根據捕獲到的攻擊數據,帳號掃描類攻擊在各行業所占比重如下:
可以看到,針對郵箱和游戲兩大行業的帳號掃描行為占據了絕大多數,超過總量的90%。究其原因,因為郵箱和手機號是黑灰產的最底層基礎設施,而且相對手機號,郵箱的獲取成本又低得多。因此,大量注冊郵箱號是極其剛需的,注冊之前先判斷一下隨機生成的用戶名是否可用,也是增加效率必要的操作。故而針對郵箱進行的帳號掃描占據接近六成的攻擊量。
而第二大領域游戲行業,這是撞庫攻擊的重災區,因為游戲業龐大的現金流,以及游戲道具或者金幣盜取后可以方便變現。因此,針對游戲業的帳戶攻擊占比,是非常可觀的。
5. 撞庫攻擊
繼續看帳號掃描的下級攻擊流程——撞庫攻擊。
云鼎實驗室監測數據顯示,在2018上半年,游戲行業占據了撞庫攻擊超過七成的份額。排除掉郵箱注冊類,帳號掃描和撞庫攻擊在各個行業的占比基本相符,間接說明帳號掃描和撞庫攻擊是同一個攻擊鏈上的行為。
6. 流量欺詐
云鼎實驗室上半年惡意流量監測數據顯示,在流量欺詐方面,刷熱度占據最大的比例,超過七成;基于 AppStore 和各個手機廠商 Android 軟件市場的刷榜占據第二;其次是對網絡廣告的假點擊方面,由于國內 CPC(點擊付費)類廣告相對較少,這塊主要集中在海外。
展開占比最大的「刷熱度」部分數據,可以看到,由于近兩年直播、短視頻相關 APP 的高速發展,包括傳統的視頻播放類網站,視頻類刷熱度直接占據了相關數據欺詐領域的 TOP 3。排在之后的是相對傳統的如公眾號、微博等領域。
可見,平時媒體熱衷的各種「十萬閱讀」、「百萬點贊」、「千萬網紅」、「億次播放」等等數據,其實到底有多少是真實的,怕是廠商也說不出個所以然。
7. 其他
其他詳細數據可參見本系列其他報告,本篇不進行羅列,詳見下方部分參考資料鏈接。
五、寫在最后
作為一個專注安全多年的少年,對種種技術的研究我都能保持著少年之心,好奇地看著這個世界的未知。但研究惡意流量的感覺卻全然不同,看著親手捕獲的種種攻擊行為,當無數的貪婪、癡念和焦慮毫無顧忌地展示在眼前,讓人莫名有了種「少年子弟江湖老」的情愫。我們努力揭示這一切,也并不覺得能改變多少局面,只是覺得,不能把心中的美好輕易讓出去。
參考資料
[1]?https://resources.distilnetworks.com/whitepapers/2018-bad-bot-report=
[2] https://mp.weixin.qq.com/s/uFaiXpYJigilckNSDPfpZw
[3] https://mp.weixin.qq.com/s/EqIuxDHnWnwDvMGqOOVJww
[4] https://mp.weixin.qq.com/s/-NRqdU-P6jkQvItfyXHjpg
[5]?http://tech.qq.com/zt/2009/duanwang/
騰訊安全云鼎實驗室關注云主機與云內流量的安全研究和安全運營。利用機器學習與大數據技術實時監控并分析各類風險信息,幫助客戶抵御高級可持續攻擊;聯合騰訊所有安全實驗室進行安全漏洞的研究,確保云計算平臺整體的安全性。相關能力通過騰訊云開放出來,為用戶提供黑客入侵檢測和漏洞風險預警等服務,幫助企業解決服務器安全問題。
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/722/
暫無評論