快捷搜索:  网络  CVE  渗透  后门  扫描  木马  黑客  as

2018年上半年国内公有如斯上资产合规现状讲演

封面图.jpg

声明:

本讲演版权属于威胁猎情面报中心,并受执法维护。转载、摘编或行使别的方式使用本讲演笔墨或者观点的,应注明“来源:威胁猎人”。背反上述声明者,将追究其相干执法责任。

1、讲演违景

自2005年亚马逊发布AWS伊始,云计算历经十数年的发铺,已被广泛应用于各个领域,云计算支出在环球IT支出中的比例不断抬举,并形成了一个新兴的、高达数千亿美元的环球市场。

在国内,2009年景立的阿里云引领了云计算风潮。在实现一定的手艺积累以及客户普及教育后,目前,我国的云计算产业已进入一个较长的高速增进期,在国家政策的大力扶持下,加之阿里云、腾讯云等大型公有云厂商的大力推动,我国云计算市场的规模急剧扩张,收集效应以及规模效应显然放大,并已成为我国IT产业一个新的高速增进点。

然而,在各个公有云厂商起劲开疆拓土,打造各自的云计算帝国的同时,云上资产的合规性问题也日益凸显:

一方面,越来越多的互联网企业以及传统企业依托公有云厂商提供的服务开铺营业或进行数字转型,企业的数字资产正在向云上集中,云上资产的安全与合规显得尤其重要。而公有云厂商在某种程度上已经与上云企业形成了责任共担关系:上云企业必须依托公有云厂商在基础举措措施、平台以致软件层面提供的安全能力来构建云上营业的安全系统,公有云厂商在安全以及合规层面也承担了比传统的IDC厂商以及收集运营商更多的责任以及使命,安全与合规能力的输出也已成为其核心竞争力之一。

另一方面,云计算本身的开放性、便捷性、多样性、高性价比,和公有云厂商在安全方面的起劲,不仅吸取着正常的企业用户,一样也吸取着收集黑灰产从业者:越来越多的收集黑灰产通过购买公有云服务,将用于攻击、骗取、引流的网站以及服务器置于云中,进一步降本提效。同时,还可行使公有云提供的安全能力与企业以及安全厂商进行匹敌。这迫使公有云厂商必须加强对云上资产的合规审计能力,做到及时、准确地识别云上资产及服务的背规、滥用举动,强化对公有云内容以及举动安全的管控力度,承担起相应的社会责任。

有鉴于此,威胁猎人依托自身的黑灰产流量布控能力,结合战略合作伙伴金山毒霸提供的恶意网站感知数据,对公有如斯上资产的合规现状进行了深入的调研阐发,通过大批的一手数据,形成了《国内公有如斯上资产合规现状讲演(2018年上半年)》,旨在阐明国内公有云在云上资产合规审计领域面临的现状及问题,为国家相干监管机构以及公有云厂商提供参考。

二、基本概念

一、讲演中触及的概念及术语

(1)撞库:撞库攻击指的是黑客通过网络互联网上已泄露的用户账户信息,生成对应的字典表,再行使部分用户相同的注册习性(即使用相同的用户名以及暗码),尝试上岸别的的网站或应用,以获取新的可行使账户信息。

(2)爬虫:爬虫又称为网页蜘蛛,是一种按照既定规则,自动抓取收集上的指定信息的程序或脚本,可分为遍历爬取网页超链接的网页爬虫以及组织特定 API 接口要求数据的接口爬虫两类。

(3)蜜罐:蜜罐(Honeypot)是指被当入侵诱饵,诱导黑客前来攻击已网络相干证据信息的软件体系。遵照蜜网项目组(The Honeynet Project)的定义,蜜罐是一种安全资源,其价值在于被探测、被攻击或被攻陷。

(4)收集钓鱼:收集钓鱼是组织带有诈骗性的电子邮件或伪造的Web站点,以吸取受害者提交敏感信息,或向目标传递并植入恶意程序的一种社会工程攻击方式,常被用于执行收集欺诈以及收集入侵。按照攻击载体,收集钓鱼可分为网站钓鱼、邮件钓鱼、短信钓鱼、IM交际钓鱼、挪移APP钓鱼等类型。

(5)DDoS攻击:即分布式拒尽服务攻击。一般来说,DDoS攻击会行使“肉鸡”对目标网站在较短的时间内提议大批合法要求,以消费以及占用目标的收集以及主机资源,迫使其没法正常提供服务。

(6)僵尸收集:僵尸收集(Botnet)是攻击者出于恶意目的,传播僵尸程序bot以控制大批计算机,并通过一对多的命令与控制信道所组成的收集。需注意的是,这个收集并非物理意义上具有拓扑结构的收集。

(7)暗网:暗网(DarkWeb)是指统称那些只能用特殊软件、特殊授权或对电脑做特殊配置才能连上的收集,使用一般的阅读器以及搜索引擎找不到暗网的内容。

2、数据取样及说明

数据来源说明

本讲演的首要数据来源包括:

(1)内容类数据;通过定向监控手段(云清平台)获取的背规/恶意网站及其内容数据。

(2)样本类数据:通过广谱监控手段(TH-Karma平台)获取的黑灰产工具样本。

(3)流量类数据:通过蜜罐监控手段(TH-Karma平台)获取的黑灰产攻击流量数据。

(4)黑IP/域名类数据:通过第三方合作、蜜罐监控手段(云清平台及TH-Karma平台)获取的黑IP/域名数据。

(5)其他类数据:通过其他第三方合作以及监控手段获得的云主机安全相干数据,包括但不限于上述的数据类型。

数据取样说明

本讲演的数据取样首要采取下列几种方式:

(1)症结词取样:根据特定的症结词及症结词组合,从全集数据中提取与特定阐发对象或特定阐发场景有关的数据子集。首要用于数据统计或趋向阐发。

(2)相似度采样:根据文本或样本数据的相似度,从全集数据中提取具有较高相似度的数据子集。首要用于数据分类统计或案例阐发。

(3)随机采样:对未知类型或内容数据进行简单随机采样,抽样比例根据详细的阐发场景决定,首要用于情报线索发现或症结词校验。

(4)分层采样:对已知工具/事故数据按既定的标签规则分为多少子集,对每一个子集中的数据随机抽取部分数据进行阐发,抽样比例根据详细阐发场景决定,首要用于案例阐发或症结词校验。

我们认为我方采集的非全量数据样本,在概率上相符一定的数据取样准则,基于相干数据样本的阐发效果,在趋向阐发以及分类统计上与实际情形不会存在太大的误差值。对于受限于数据获取的渠道、数据本身的变迁、抽样概率的制约及样本噪点的影响等所导致的误差,我们会采取人工经验判定方式进行修正,这部分数据我们会加以注明。

3、针对公有云的收集攻击威胁

基于威胁猎人自有的黑灰产攻击流量监控数据,我们从中专程提取了针对公有云的各类攻击数据。从中可以看出,2018年上半年(2018年01月-06月)间,以国内各大公有云的云上应用以及云主机为目标的收集攻击总体呈显然上升趋向,威胁类型以机器人、撞库攻击为主,针对云主机、域名以及邮箱等资源的营业灰产仍大批存在。

一、攻击总次数总体呈上升趋向

通过对相干攻击举动按月进行次数统计,我们可以看到,在排除2月份春节期间大规模企业营销活动所酿成的数据样本误差影响后,黑灰产对公有云的攻击次数呈显然的上升趋向。

1.png2、阿里云、腾讯云遭攻击至多

在国内公有云厂商中,针对阿里云的攻击次数占比最高,达55.32%,针对腾讯云的攻击次数占比居第二,为27.34%,其他依次是UCLOUD、华为云、青云、百度云、金山云、京东云。这与国内公有云厂商的市场份额占比排名基本趋同(此处忽略了部分公有云厂商较细微的市场份额悬殊)。

2.png

值得注意的是,要是按月统计攻击次数占比,阿里云以及腾讯云的占比在大多数月份都呈小幅上升趋向(排除2月份春节的数据样本误差影响),这也与公有云市场份额的集中化趋向基本趋同。

3.png4.png三、超五成攻击为机器人所为

通过对攻击流量中举动特征的提取,我们发现,超过五成的攻击为机器人所为。这些机器人中尽大部分用来执行互联网扫描或漏洞行使动作,其中大部分(超过70%)为最为常见的批量端口扫描器,约两成源自针对特定目标的自动化漏洞扫描与行使工具(如Struts2-045/048系列漏洞),另有约一成应与国家监管部门、安全厂商以及科研机构的互联网资产探测类体系有关。此外,还有极少部分机器人是针对公有云企业邮箱的注册机。

5.png此外,我们还发现一个有趣的征象,自动化扫描或漏洞行使类机器人中约三成的流量源头指向了美国弗吉尼亚州阿什本,即亚马逊AWS云计算园区地点地,且有逐月递增趋向。我们推断,由于国内收集安全监管趋严,黑灰产活动的部分基础举措措施正逐步向国外转移。

四、撞库攻击总体呈上升趋向

除自动化扫描或漏洞行使举动外,有14.36%的攻击举动为撞库攻击。对此类攻击举动按月进行次数统计,可以看到有显然的上升趋向(排除2月份春节的数据样本误差影响)。

6.png

此外,我们还发现,三成左右的撞库攻击使用了重叠度较高的新的字典库,疑似与我们在2018年上半年监控到的数起社工库公开交易事故有关。考虑到从数据泄露到流出至暗网、Q群、Telegram群等进行小范围交易,再到大规模散布的时延一般在三到六个月左右,我们可以推断,到2018年下半年,撞库攻击将进一步增添。

五、公有云营业灰产依旧活跃

通过对“TH-Karma”平台采集的黑灰产数据进行阐发,我们发现针对公有云各类优惠活动的薅羊毛活动仍旧活跃。典型的有:通过批量刷阿里云、腾讯云以及美团云门生气希望优惠再进行转租转售,或是批量代过阿里云以及腾讯云域名实名认证,或是通过邮箱注册机批量注册公有云企业邮箱等等。我们认为,这种活动已形成较为完备的“产-销-用”灰产链条,为其他黑灰产活动提供基础举措措施支撑。

7.png8.png9.png六、数据阐发补充说明

受限于数据获取的渠道及样本噪点的影响,我们的监控渠道对DDoS攻击以及爬虫两类攻击的拿获率偏低,导致在数据统计效果中这两类攻击次数低于我们的经验预期,没法判定其趋向走向,故在本讲演中纰谬此做具体阐发。但从我们获取的黑灰产交易数据来看,近6个月针对阿里云以及腾讯云服务器的DDoS攻击空单(即没人接单或接单完不成)量显然增多,侧面反映了阿里云、腾讯云等云厂商在抗DDoS方面的起劲已有一定成效。

4、来自公有云的收集攻击威胁

一样基于威胁猎人自有的黑灰产攻击流量监控数据,我们从中专程提取了来自公有云的各类攻击数据。可以看到,2018年上半年(2018年01月-06月)间,相干收集攻击举动无显然增进,总体趋于安稳,威胁类型以机器人、撞库为主,营业层面的攻击举动有显然增添。

一、攻击总次数总体趋于安稳

通过对相干攻击举动按月进行次数统计,我们可以看到,在排除2月份春节期间大规模企业营销活动所酿成的数据样本误差影响后,从公有云主机提议的攻击次数无显然增进,工控黑客 ,基本趋于安稳。

10.jpg2、从阿里云、腾讯云提议的攻击至多

在国内公有云厂商中,从阿里云主机提议的攻击次数占比最高,达60.65%,从腾讯云主机的攻击次数占比居第二,为23.51%,其他依次是金山云、UCLOUD、华为云、百度云、京东云。

若按月统计攻击次数占比,阿里云以及腾讯云的占比在大多数月份都呈一定幅度的上升趋向(排除2月份春节的数据样本误差影响)。究其缘故起因,我们认为这与阿里云、腾讯云在2018年上半年的一系列促销优惠活动有关:诸如前述的门生气希望,和老客户6元机等云主机资源被越来越多的黑灰产用于对外提议攻击。

11.png

若按月统计攻击次数占比,阿里云以及腾讯云的占比在大多数月份都呈一定幅度的上升趋向(排除2月份春节的数据样本误差影响)。究其缘故起因,我们认为这与阿里云、腾讯云在2018年上半年的一系列促销优惠活动有关:诸如前述的门生气希望,和老客户6元机等云主机资源被越来越多的黑灰产用于对外提议攻击。

三、机器人中注册占比上升

通过对攻击流量中举动特征的提取,我们对在所有攻击类型中占比高达54.73%的机器人进行了类型细分以及统计。效果显示,与3.3中机器人中扫描或漏洞行使类工具占尽大多数的类型分布有所不同的是,从公有云主机提议的机器人举动中约有超三成(31.84%)为各类注册机(如邮箱注册机、账号注册机等)所为,另有近一成(9.50%)为各类外挂工具(如红包外挂、游戏外挂等)。因而可知,公有云主机较之传统IDC机房更高性价比以及安全性,使得注重成本以及自我维护的黑灰产正在将部分服务类营业向公有云迁移。

12.png13.png四、超三成攻击为撞库且仍会增进

同时,我们还发现,超过三成(33.67%)的攻击均为撞库攻击,且逐月呈现一定幅度的上升趋向(排除2月份春节的数据样本误差影响)。结合前文中3.4章节的阐发效果,我们可以推断,到2018年下半年,从公有云主机对外提议的撞库攻击将进一步增添。

14.png五、数据阐发补充说明

受限于数据获取的渠道,我们的监控渠道没法准确判定被用于对外攻击的云主机中哪些是最初目的就是用于黑灰产攻击,哪些又是被黑后的失陷主机,而单纯基于DGA域名规则进行判定也存在一定的局限性,且相应的数据统计效果遥低于我们的经验预期。因此,在本讲演中纰谬这一方面做具体阐发。

5、被忽视的云上内容合规问题

结合金山毒霸在端上的恶意站点感知数据,和威胁猎人采集的黑灰产活动数据,我们发现,除了前述各类收集攻击威胁外,公有云厂商还面临较严重的云上内容合规问题:大批恶意、背规网站行使公有云部署便捷、性价比高以及防护能力强的特点,在公有云上搭建并对外开铺收集赌博、收集色情、收集钓鱼、收集传销、内嵌挖矿等非法活动。

一、云上收集赌博类的占比最高

2018年上半年(2018年01月-06月)间的监控数据显示,云上的恶意、背规网站中,与收集赌博相干的占比最高,高达75.38%。尤为是受到6月全国杯的影响,有大批足球类博彩网站在6月集中上线,并有大批云上的正常网站被批量植入带有博彩内容的暗链以及页面。预计到7月份全国杯结束,收集赌博类的占比将归落到正常水平(预估约在50%-60%间)。

15.png16.png2、云上收集色情大多意在欺诈

通过数据取样阐发,我们发现,公有云中收集色情类大多都与收集欺诈活动相干。一般操作伎俩是:先借助广告、交际软件引流等方式,行使诱惑性视频或图片将用户吸取至网站,再引诱用户进行充值,但大多并不提供相应的服务,是一种典型的收集欺诈举动。

这种网站为了藏避监管,大多都会行使低价的批量域名以及云主机资源,每一隔1-3天随机切换域名以及主机。这类操作伎俩在云上的收集钓鱼活动中也大批出现。

三、云上收集钓鱼类玩法多样

我们通过对各公有云中收集钓鱼类非法内容的数据统计发现,钓鱼网站至多见的仿冒网站类型分别是:银行、游戏、电商、P2P金融、赌博。

17.png

通过结合黑灰产交易渠道监控数据的关联阐发,我们发现银行类钓鱼网站存在下列两大特征:一是呈现一定周期性的出现规律,二是与公开黑市的一些银行账户以及小我私人隐衷交易事故存在较大关联性,这都说明从事相干活动的多为固定团伙,活跃周期多在1个月左右。

P2P金融类是之前较少出现的一类钓鱼网站,这与近几年持续的理财热有关。有趣的是,我们发现有少部分此类钓鱼网站竟然是行使近期大批P2P金融“爆雷”潮,通过微信、QQ以及论坛的维权群诱骗指望追归钱财的人到虚假网站上填写小我私人信息,或是进一步欺骗金钱。

赌博类钓鱼网站一样受全国杯的影响出现激增征象,预计全国杯结束后会有所归落。

四、传销类屡禁不止

通过数据阐发发现,云上的收集传销类站点大多以所谓“现金平台”、“网上微商”、“网上兼职”等情势出现,并引流至相应的传销微信群、QQ群、论坛或线下集会。

18.png

值得注意的是,随着数字货币的大热,主打“交易即挖矿”等新兴概念的收集传销也正在兴起,并与一些收集欺诈举动相结合,已诱使不少人深陷其中。

19.png

写在最后:

在云计算普及的当下,各大云计算服务提供商也承担偏重要的角色,对背规内容以及营业的审计能力一样成为云计算服务提供商的标准能力。除了各大云计算厂商自身的投入之外,行业的联动中举三方服务提供商的能力合入也在抬举总体安全审计效劳。互联网生态快速变迁过程中,安全系统的迭代存在更大压力。

*

您可能还会对下面的文章感兴趣: