導語:
「天下熙熙,皆為利來;天下攘攘,皆為利往。」太史公一語道盡眾生之奔忙。在虛擬的世界,同樣有著海量的「眾生」,它們默默無聞,它們不知疲倦,它們無窮無盡,同樣為了「利」之一字一往無前。其事雖殊,其理一也。且隨騰訊安全云鼎實驗室揭開這虛擬世界的「眾生之相」。
一、惡意流量概述
1. 惡意流量是什么
要定義「惡意流量」,先來看「流量」是什么。說到「流量」,僅在網絡領域就存在許多不同的概念:
手機流量:每個月給運營商付費獲得若干G上網流量。
網站流量:網站訪問量,用來描述一個網站的用戶數和頁面訪問次數。
網絡流量:通過特定網絡節點的數據包和網絡請求數量。
在安全領域,研究的主要是網絡流量中屬于惡意的部分,其中包括網絡攻擊、業務攻擊、惡意爬蟲等。惡意流量絕大部分都來自自動化程序,通常通過未經許可的方式侵入、干擾、抓取他方業務或數據。
2. 為什么研究惡意流量
騰訊云作為國內最大最專業的云廠商之一,如何從海量的網絡流量中對惡意流量進行識別,保護客戶利益的同時為業界輸出優質數據,一直是我們努力的目標。
3. 惡意流量的研究方法
為了捕獲真實的惡意流量,云鼎實驗室在全球多個節點部署了蜜罐網絡集群,每天捕獲數億次的各類攻擊請求。
獲取海量真實惡意流量后,再通過對流量的研究和分析,反哺騰訊云對惡意流量的識別和防護能力。
二、惡意流量現狀
1. 惡意流量占比
根據國外公司 Distil Networks 發布的報告,2017年機器流量占全網流量的42.20%,其中惡意機器流量占21.80%。
這里「機器」指的是互聯網上的爬蟲、自動程序或者是模擬器。部分機器流量來自于搜索引擎爬蟲、RSS 訂閱服務等,屬于正常機器流量。另外一部分由自動化攻擊、僵尸網絡、惡意爬蟲等產生,屬于惡意機器流量。本文所描述的惡意流量幾乎都是自動化的機器流量。
2. 惡意流量在做什么
從云鼎實驗室捕獲到的惡意流量數據來看,大致可以分為四個大類,每個大類又可以分為若干個小類,詳細劃分如下:
1)網絡攻擊
☞ 端口掃描
掃描服務器常用的端口和指定的端口是否開放,并進一步進行服務器軟件指紋探測。
☞ 登錄破解
主要指對服務器 SSH 服務(Linxu)或遠程桌面服務(Windows)使用弱口令進行破解。
☞ 漏洞利用
利用已知或未知漏洞及利用工具(EXP)試圖獲得服務器權限。
☞ DDoS 攻擊
主要指源自僵尸網絡或反射攻擊的分布式拒絕服務攻擊。
☞ CC 攻擊
目的和 DDoS 攻擊類似,通過大量訪問對方網站中對系統性能消耗較大的頁面(如需要進行較復雜的數據庫查詢),造成數據庫或系統卡死,導致對方無法對外提供服務。
2)帳號攻擊
☞ 惡意注冊
在網站(社交類網站居多)注冊大量小號,并持續養號,用于后續謀取利益,尤其是在下面描述的「流量欺詐」領域。
☞ 帳號掃描
探測某帳號(包括用戶名、郵箱、手機號等)是否在某網站注冊過,通常是作為「惡意注冊」和「撞庫攻擊」的前置步驟。
☞ 撞庫攻擊
使用 A 網站泄漏的帳號密碼信息在 B 網站嘗試登錄,如果成功登錄,則撞庫攻擊成功。由于近年來許多網站發生帳號密碼泄漏事件,導致撞庫攻擊變得非常流行。
☞ 資產竊取
當撞庫攻擊成功后,盜取帳號內資產,例如虛擬幣、游戲帳號、裝備等。
3)流量欺詐
☞ 刷榜
在 AppStore(iOS)和其他 Android 軟件市場通過技巧,進行刷下載量、刷評價、刷排行、刷點擊、刷關鍵詞等操作。
☞ 刷粉
主要是在公眾號、社交類網站、貼吧等刷粉絲、刷關注等,俗稱僵尸粉。
☞ 刷熱度
在公眾號、短視頻、直播、視頻播放等領域刷觀看次數、閱讀量、訪問量、點贊量等等。
☞ 刷單
在電商類平臺刷成單量、商品評論等,達到影響商品排序等目的。
☞ 刷廣告
在廣告圈,總流傳著這樣一句話:“我知道我的廣告費有一半是被浪費的,但我不知道究竟是哪一半。”這個定律在互聯網廣告界亦是如此,乃至更甚。
4)惡意爬蟲
和遵循 Robots 協議的正規搜索引擎或 RSS 訂閱爬蟲不同,惡意爬蟲通過分析并構造參數對公開或非公開接口進行大量數據爬取或提交,獲取對方本不愿意被大量獲取的數據,并造成對方服務器性能損耗。爬蟲工程師和反爬蟲工程師的交鋒,是互聯網上的一大戰場。
三、十個結論
通過對惡意流量數據進行詳細分析,云鼎實驗室對監測到的惡意流量所反映出的一些互聯網安全趨勢進行了總結:
1.「永恒之藍」依然肆虐嚴重
由于美國國家安全局(NSA)掌握的網絡武器「永恒之藍」漏洞在2017年4月被某黑客組織獲取并泄漏,導致利用該漏洞的惡意程序在網絡上肆虐,其中最典型的正是令人聞之色變的勒索病毒。經統計,在2018上半年基于「永恒之藍」的攻擊嘗試超過漏洞攻擊總量的30%以上。
2.挖礦成為自動化入侵的主要目的
早期,黑客拿到普通服務器權限后主要以 DDoS 為變現途徑,但近年來數字貨幣大熱后,用服務器挖礦成為黑客入侵變現的主要途徑。這種無差別變現方式的興起,導致自動化入侵攻擊越發猖獗。
3.反射放大類 DDoS攻擊成為主流
自從各種放射放大類 DDoS 攻擊方法被研究出來,普通肉雞服務器早已滿足不了黑客的「打擊欲」,各種將攻擊放大幾百倍乃至數萬倍的攻擊手法層出不窮,無論是從流量規模還是傷害大小來看,反射放大類攻擊已成為 DDoS 主流。
4.黑灰產間互相攻擊依然激烈
有人的地方就有江湖,黑灰產則是互聯網江湖水最渾的領域,而黑灰產內部為了利益也是不斷亂斗,其中不擇手段之處更甚于正規商業江湖。
5.黑色產業鏈已實現資源平臺化
相對早期黑客的單打獨斗,如今互聯網黑色產業更像一個航母戰斗群,各種外部資源如手機號、郵箱號、IP 資源、過驗證碼服務,都已經形成規模化平臺,猶如航母戰斗群里的護衛艦、補給艦,使得黑客只要專注最核心的技術實現,就可以快速整合資源對各公司造成危害。
6.各廠對新注冊帳號應保持謹慎
通過自動化運營大量小號,利用「長尾效應」獲取利益的模式(小額度大基數),已成為黑客獲利的主流。很多時候,各廠對大量新增用戶的欣喜,背面卻是大量對抗成本的付出。
7.撞庫攻擊成為帳號類攻擊主流
由于網民安全意識的不足,習慣在多個網站使用相同帳號密碼,以及眾多網站用戶密碼的泄漏,導致撞庫攻擊異常泛濫。這早已替代傳統的盜號木馬成為主流的盜號攻擊模式。各廠商應加強登錄接口的監管,尤其是邊緣業務使用登錄接口的審核。
8.游戲行業是黑客攻擊第一大目標
由于游戲行業擁有可觀的資金,龐大的用戶量,以及便捷的虛擬物品變現渠道,故而一直是黑客最青睞的行業,該行業擁有滲透最廣泛的黑色產業鏈,沒有之一。
9.熱門行業虛假繁榮狀況依然嚴峻
互聯網創投熱點的領域幾乎都是黑灰產關注的領域,從團購到共享單車,從自媒體到直播,無不存在大量虛擬小號炒作出來的熱度。君不見,從微博千萬大V到抖音全民網紅,從公眾號10w+閱讀量到電視劇數億播放量,其中有多少真實、多少虛幻,恐怕誰也說不清楚。
10.惡意爬蟲滲透到生活方方面面
前不久,我們發布了互聯網惡意爬蟲分析報告,報告顯示,每天至少數十億的爬蟲在互聯網上孜孜不倦地工作,影響著我們生活的各個方面,從火車搶票到醫院掛號,從熱點炒作到信息泄漏……無不有洶涌的黑客在蠶食其中的利益。
四、部分詳細數據剖析
1. 端口掃描
1)TCP 掃描
此處,我們列舉了近期 TCP 端口被掃描情況,相關端口涉及的具體業務如下:
TCP 端口
涉及環境/協議
說明
445
SMB
永恒之藍/勒索病毒
23
Telnet
部分路由器支持 Telnet 登陸
22
SSH
Linux 遠程登錄
3389
RDP
Windows 遠程桌面
3306
MYSQL
數據庫
80/8080
Web
眾多web服務
81
Web/IoT
web服務或某些物聯網設備
1433
SQL Server
數據庫
5555
adb 遠程調試
Android
△ TCP 被掃描端口涉及環境或協議1
從 TCP 掃描情況來看,針對 Windows SMB 協議的攻擊依然最大量,遠超其他類型。從請求數據來看,大部分是基于 NSA 泄漏的「永恒之藍」漏洞在進行自動化攻擊。
其他端口都比較常規,但在后面的長尾數據中我們發現了大量對非常規端口的掃描行為,例如:
TCP 端口
涉及環境/協議
說明
7547
TR-064 協議
涉及多個路由器品牌
8291
MikroTik Winbox
路由器漏洞
8088
Hadoop
遠程執行漏洞
5900
VNC
遠程控制弱口令漏洞
8545
JSON-RPC
以太坊節點服務器,盜取ETH
9300
ElasticSearch
漏洞
11211
Memcache
漏洞
5984
CouchDB
漏洞
……
……
……
△ TCP 被掃描端口涉及環境或協議2
這個列表還能列很長,千萬不要以為自己的服務器不會被人注意到,每天有大量黑客在通過自動化掃描器在尋找攻破你服務器的機會。
2)UDP 掃描
相關端口涉及的具體業務如下:
UDP 端口
涉及環境/協議
說明
5060
SIP
用于DDoS 反射放大攻擊
53413
Netcore 路由器后門
獲得root權限
123
NTP
用于DDoS 反射放大攻擊
443
HTTPS/QUIC
web服務
53
DNS
用于DDoS 反射放大攻擊
1900
SSDP
用于DDoS 反射放大攻擊
623
IPMI
用于DDoS 反射放大攻擊
11211
Memcached
用于DDoS 反射放大攻擊
161
SNMP
用于DDoS
| 
