導(dǎo)語(yǔ):
「天下熙熙,皆為利來(lái);天下攘攘,皆為利往。」太史公一語(yǔ)道盡眾生之奔忙。在虛擬的世界,同樣有著海量的「眾生」,它們默默無(wú)聞,它們不知疲倦,它們無(wú)窮無(wú)盡,同樣為了「利」之一字一往無(wú)前。其事雖殊,其理一也。且隨騰訊安全云鼎實(shí)驗(yàn)室揭開(kāi)這虛擬世界的「眾生之相」。
一、惡意流量概述
1. 惡意流量是什么
要定義「惡意流量」,先來(lái)看「流量」是什么。說(shuō)到「流量」,僅在網(wǎng)絡(luò)領(lǐng)域就存在許多不同的概念:
手機(jī)流量:每個(gè)月給運(yùn)營(yíng)商付費(fèi)獲得若干G上網(wǎng)流量。
網(wǎng)站流量:網(wǎng)站訪問(wèn)量,用來(lái)描述一個(gè)網(wǎng)站的用戶數(shù)和頁(yè)面訪問(wèn)次數(shù)。
網(wǎng)絡(luò)流量:通過(guò)特定網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)據(jù)包和網(wǎng)絡(luò)請(qǐng)求數(shù)量。
在安全領(lǐng)域,研究的主要是網(wǎng)絡(luò)流量中屬于惡意的部分,其中包括網(wǎng)絡(luò)攻擊、業(yè)務(wù)攻擊、惡意爬蟲等。惡意流量絕大部分都來(lái)自自動(dòng)化程序,通常通過(guò)未經(jīng)許可的方式侵入、干擾、抓取他方業(yè)務(wù)或數(shù)據(jù)。
2. 為什么研究惡意流量
騰訊云作為國(guó)內(nèi)最大最專業(yè)的云廠商之一,如何從海量的網(wǎng)絡(luò)流量中對(duì)惡意流量進(jìn)行識(shí)別,保護(hù)客戶利益的同時(shí)為業(yè)界輸出優(yōu)質(zhì)數(shù)據(jù),一直是我們努力的目標(biāo)。
3. 惡意流量的研究方法
為了捕獲真實(shí)的惡意流量,云鼎實(shí)驗(yàn)室在全球多個(gè)節(jié)點(diǎn)部署了蜜罐網(wǎng)絡(luò)集群,每天捕獲數(shù)億次的各類攻擊請(qǐng)求。
獲取海量真實(shí)惡意流量后,再通過(guò)對(duì)流量的研究和分析,反哺騰訊云對(duì)惡意流量的識(shí)別和防護(hù)能力。
二、惡意流量現(xiàn)狀
1. 惡意流量占比
根據(jù)國(guó)外公司 Distil Networks 發(fā)布的報(bào)告,2017年機(jī)器流量占全網(wǎng)流量的42.20%,其中惡意機(jī)器流量占21.80%。
這里「機(jī)器」指的是互聯(lián)網(wǎng)上的爬蟲、自動(dòng)程序或者是模擬器。部分機(jī)器流量來(lái)自于搜索引擎爬蟲、RSS 訂閱服務(wù)等,屬于正常機(jī)器流量。另外一部分由自動(dòng)化攻擊、僵尸網(wǎng)絡(luò)、惡意爬蟲等產(chǎn)生,屬于惡意機(jī)器流量。本文所描述的惡意流量幾乎都是自動(dòng)化的機(jī)器流量。
2. 惡意流量在做什么
從云鼎實(shí)驗(yàn)室捕獲到的惡意流量數(shù)據(jù)來(lái)看,大致可以分為四個(gè)大類,每個(gè)大類又可以分為若干個(gè)小類,詳細(xì)劃分如下:
1)網(wǎng)絡(luò)攻擊
☞ 端口掃描
掃描服務(wù)器常用的端口和指定的端口是否開(kāi)放,并進(jìn)一步進(jìn)行服務(wù)器軟件指紋探測(cè)。
☞ 登錄破解
主要指對(duì)服務(wù)器 SSH 服務(wù)(Linxu)或遠(yuǎn)程桌面服務(wù)(Windows)使用弱口令進(jìn)行破解。
☞ 漏洞利用
利用已知或未知漏洞及利用工具(EXP)試圖獲得服務(wù)器權(quán)限。
☞ DDoS 攻擊
主要指源自僵尸網(wǎng)絡(luò)或反射攻擊的分布式拒絕服務(wù)攻擊。
☞ CC 攻擊
目的和 DDoS 攻擊類似,通過(guò)大量訪問(wèn)對(duì)方網(wǎng)站中對(duì)系統(tǒng)性能消耗較大的頁(yè)面(如需要進(jìn)行較復(fù)雜的數(shù)據(jù)庫(kù)查詢),造成數(shù)據(jù)庫(kù)或系統(tǒng)卡死,導(dǎo)致對(duì)方無(wú)法對(duì)外提供服務(wù)。
2)帳號(hào)攻擊
☞ 惡意注冊(cè)
在網(wǎng)站(社交類網(wǎng)站居多)注冊(cè)大量小號(hào),并持續(xù)養(yǎng)號(hào),用于后續(xù)謀取利益,尤其是在下面描述的「流量欺詐」領(lǐng)域。
☞ 帳號(hào)掃描
探測(cè)某帳號(hào)(包括用戶名、郵箱、手機(jī)號(hào)等)是否在某網(wǎng)站注冊(cè)過(guò),通常是作為「惡意注冊(cè)」和「撞庫(kù)攻擊」的前置步驟。
☞ 撞庫(kù)攻擊
使用 A 網(wǎng)站泄漏的帳號(hào)密碼信息在 B 網(wǎng)站嘗試登錄,如果成功登錄,則撞庫(kù)攻擊成功。由于近年來(lái)許多網(wǎng)站發(fā)生帳號(hào)密碼泄漏事件,導(dǎo)致撞庫(kù)攻擊變得非常流行。
☞ 資產(chǎn)竊取
當(dāng)撞庫(kù)攻擊成功后,盜取帳號(hào)內(nèi)資產(chǎn),例如虛擬幣、游戲帳號(hào)、裝備等。
3)流量欺詐
☞ 刷榜
在 AppStore(iOS)和其他 Android 軟件市場(chǎng)通過(guò)技巧,進(jìn)行刷下載量、刷評(píng)價(jià)、刷排行、刷點(diǎn)擊、刷關(guān)鍵詞等操作。
☞ 刷粉
主要是在公眾號(hào)、社交類網(wǎng)站、貼吧等刷粉絲、刷關(guān)注等,俗稱僵尸粉。
☞ 刷熱度
在公眾號(hào)、短視頻、直播、視頻播放等領(lǐng)域刷觀看次數(shù)、閱讀量、訪問(wèn)量、點(diǎn)贊量等等。
☞ 刷單
在電商類平臺(tái)刷成單量、商品評(píng)論等,達(dá)到影響商品排序等目的。
☞ 刷廣告
在廣告圈,總流傳著這樣一句話:“我知道我的廣告費(fèi)有一半是被浪費(fèi)的,但我不知道究竟是哪一半。”這個(gè)定律在互聯(lián)網(wǎng)廣告界亦是如此,乃至更甚。
4)惡意爬蟲
和遵循 Robots 協(xié)議的正規(guī)搜索引擎或 RSS 訂閱爬蟲不同,惡意爬蟲通過(guò)分析并構(gòu)造參數(shù)對(duì)公開(kāi)或非公開(kāi)接口進(jìn)行大量數(shù)據(jù)爬取或提交,獲取對(duì)方本不愿意被大量獲取的數(shù)據(jù),并造成對(duì)方服務(wù)器性能損耗。爬蟲工程師和反爬蟲工程師的交鋒,是互聯(lián)網(wǎng)上的一大戰(zhàn)場(chǎng)。
三、十個(gè)結(jié)論
通過(guò)對(duì)惡意流量數(shù)據(jù)進(jìn)行詳細(xì)分析,云鼎實(shí)驗(yàn)室對(duì)監(jiān)測(cè)到的惡意流量所反映出的一些互聯(lián)網(wǎng)安全趨勢(shì)進(jìn)行了總結(jié):
1.「永恒之藍(lán)」依然肆虐嚴(yán)重
由于美國(guó)國(guó)家安全局(NSA)掌握的網(wǎng)絡(luò)武器「永恒之藍(lán)」漏洞在2017年4月被某黑客組織獲取并泄漏,導(dǎo)致利用該漏洞的惡意程序在網(wǎng)絡(luò)上肆虐,其中最典型的正是令人聞之色變的勒索病毒。經(jīng)統(tǒng)計(jì),在2018上半年基于「永恒之藍(lán)」的攻擊嘗試超過(guò)漏洞攻擊總量的30%以上。
2.挖礦成為自動(dòng)化入侵的主要目的
早期,黑客拿到普通服務(wù)器權(quán)限后主要以 DDoS 為變現(xiàn)途徑,但近年來(lái)數(shù)字貨幣大熱后,用服務(wù)器挖礦成為黑客入侵變現(xiàn)的主要途徑。這種無(wú)差別變現(xiàn)方式的興起,導(dǎo)致自動(dòng)化入侵攻擊越發(fā)猖獗。
3.反射放大類 DDoS攻擊成為主流
自從各種放射放大類 DDoS 攻擊方法被研究出來(lái),普通肉雞服務(wù)器早已滿足不了黑客的「打擊欲」,各種將攻擊放大幾百倍乃至數(shù)萬(wàn)倍的攻擊手法層出不窮,無(wú)論是從流量規(guī)模還是傷害大小來(lái)看,反射放大類攻擊已成為 DDoS 主流。
4.黑灰產(chǎn)間互相攻擊依然激烈
有人的地方就有江湖,黑灰產(chǎn)則是互聯(lián)網(wǎng)江湖水最渾的領(lǐng)域,而黑灰產(chǎn)內(nèi)部為了利益也是不斷亂斗,其中不擇手段之處更甚于正規(guī)商業(yè)江湖。
5.黑色產(chǎn)業(yè)鏈已實(shí)現(xiàn)資源平臺(tái)化
相對(duì)早期黑客的單打獨(dú)斗,如今互聯(lián)網(wǎng)黑色產(chǎn)業(yè)更像一個(gè)航母戰(zhàn)斗群,各種外部資源如手機(jī)號(hào)、郵箱號(hào)、IP 資源、過(guò)驗(yàn)證碼服務(wù),都已經(jīng)形成規(guī)模化平臺(tái),猶如航母戰(zhàn)斗群里的護(hù)衛(wèi)艦、補(bǔ)給艦,使得黑客只要專注最核心的技術(shù)實(shí)現(xiàn),就可以快速整合資源對(duì)各公司造成危害。
6.各廠對(duì)新注冊(cè)帳號(hào)應(yīng)保持謹(jǐn)慎
通過(guò)自動(dòng)化運(yùn)營(yíng)大量小號(hào),利用「長(zhǎng)尾效應(yīng)」獲取利益的模式(小額度大基數(shù)),已成為黑客獲利的主流。很多時(shí)候,各廠對(duì)大量新增用戶的欣喜,背面卻是大量對(duì)抗成本的付出。
7.撞庫(kù)攻擊成為帳號(hào)類攻擊主流
由于網(wǎng)民安全意識(shí)的不足,習(xí)慣在多個(gè)網(wǎng)站使用相同帳號(hào)密碼,以及眾多網(wǎng)站用戶密碼的泄漏,導(dǎo)致撞庫(kù)攻擊異常泛濫。這早已替代傳統(tǒng)的盜號(hào)木馬成為主流的盜號(hào)攻擊模式。各廠商應(yīng)加強(qiáng)登錄接口的監(jiān)管,尤其是邊緣業(yè)務(wù)使用登錄接口的審核。
8.游戲行業(yè)是黑客攻擊第一大目標(biāo)
由于游戲行業(yè)擁有可觀的資金,龐大的用戶量,以及便捷的虛擬物品變現(xiàn)渠道,故而一直是黑客最青睞的行業(yè),該行業(yè)擁有滲透最廣泛的黑色產(chǎn)業(yè)鏈,沒(méi)有之一。
9.熱門行業(yè)虛假繁榮狀況依然嚴(yán)峻
互聯(lián)網(wǎng)創(chuàng)投熱點(diǎn)的領(lǐng)域幾乎都是黑灰產(chǎn)關(guān)注的領(lǐng)域,從團(tuán)購(gòu)到共享單車,從自媒體到直播,無(wú)不存在大量虛擬小號(hào)炒作出來(lái)的熱度。君不見(jiàn),從微博千萬(wàn)大V到抖音全民網(wǎng)紅,從公眾號(hào)10w+閱讀量到電視劇數(shù)億播放量,其中有多少真實(shí)、多少虛幻,恐怕誰(shuí)也說(shuō)不清楚。
10.惡意爬蟲滲透到生活方方面面
前不久,我們發(fā)布了互聯(lián)網(wǎng)惡意爬蟲分析報(bào)告,報(bào)告顯示,每天至少數(shù)十億的爬蟲在互聯(lián)網(wǎng)上孜孜不倦地工作,影響著我們生活的各個(gè)方面,從火車搶票到醫(yī)院掛號(hào),從熱點(diǎn)炒作到信息泄漏……無(wú)不有洶涌的黑客在蠶食其中的利益。
四、部分詳細(xì)數(shù)據(jù)剖析
1. 端口掃描
1)TCP 掃描
此處,我們列舉了近期 TCP 端口被掃描情況,相關(guān)端口涉及的具體業(yè)務(wù)如下:
TCP 端口
涉及環(huán)境/協(xié)議
說(shuō)明
445
SMB
永恒之藍(lán)/勒索病毒
23
Telnet
部分路由器支持 Telnet 登陸
22
SSH
Linux 遠(yuǎn)程登錄
3389
RDP
Windows 遠(yuǎn)程桌面
3306
MYSQL
數(shù)據(jù)庫(kù)
80/8080
Web
眾多web服務(wù)
81
Web/IoT
web服務(wù)或某些物聯(lián)網(wǎng)設(shè)備
1433
SQL Server
數(shù)據(jù)庫(kù)
5555
adb 遠(yuǎn)程調(diào)試
Android
△ TCP 被掃描端口涉及環(huán)境或協(xié)議1
從 TCP 掃描情況來(lái)看,針對(duì) Windows SMB 協(xié)議的攻擊依然最大量,遠(yuǎn)超其他類型。從請(qǐng)求數(shù)據(jù)來(lái)看,大部分是基于 NSA 泄漏的「永恒之藍(lán)」漏洞在進(jìn)行自動(dòng)化攻擊。
其他端口都比較常規(guī),但在后面的長(zhǎng)尾數(shù)據(jù)中我們發(fā)現(xiàn)了大量對(duì)非常規(guī)端口的掃描行為,例如:
TCP 端口
涉及環(huán)境/協(xié)議
說(shuō)明
7547
TR-064 協(xié)議
涉及多個(gè)路由器品牌
8291
MikroTik Winbox
路由器漏洞
8088
Hadoop
遠(yuǎn)程執(zhí)行漏洞
5900
VNC
遠(yuǎn)程控制弱口令漏洞
8545
JSON-RPC
以太坊節(jié)點(diǎn)服務(wù)器,盜取ETH
9300
ElasticSearch
漏洞
11211
Memcache
漏洞
5984
CouchDB
漏洞
……
……
……
△ TCP 被掃描端口涉及環(huán)境或協(xié)議2
這個(gè)列表還能列很長(zhǎng),千萬(wàn)不要以為自己的服務(wù)器不會(huì)被人注意到,每天有大量黑客在通過(guò)自動(dòng)化掃描器在尋找攻破你服務(wù)器的機(jī)會(huì)。
2)UDP 掃描
相關(guān)端口涉及的具體業(yè)務(wù)如下:
UDP 端口
涉及環(huán)境/協(xié)議
說(shuō)明
5060
SIP
用于DDoS 反射放大攻擊
53413
Netcore 路由器后門
獲得root權(quán)限
123
NTP
用于DDoS 反射放大攻擊
443
HTTPS/QUIC
web服務(wù)
53
DNS
用于DDoS 反射放大攻擊
1900
SSDP
用于DDoS 反射放大攻擊
623
IPMI
用于DDoS 反射放大攻擊
11211
Memcached
用于DDoS 反射放大攻擊
161
SNMP
用于DDoS
| 
