雷鋒網(wǎng)編者按：云計(jì)算本身的開放性、便捷性、多樣性和高性價比，不僅吸引著眾多的企業(yè)用戶，同樣也吸引著網(wǎng)絡(luò)黑灰產(chǎn)從業(yè)者?，F(xiàn)在，越來越多的網(wǎng)絡(luò)黑灰產(chǎn)通過購買公有云服務(wù)，將用于攻擊、詐騙、引流的網(wǎng)站和服務(wù)器置于云中，進(jìn)一步降本提效。同時，還可利用公有云提供的安全能力與企業(yè)和安全廠商進(jìn)行對抗。7月27日，威脅獵人聯(lián)合金山毒霸對外發(fā)布了針對公有云的惡意網(wǎng)站感知數(shù)據(jù)，對公有云云上資產(chǎn)的合規(guī)現(xiàn)狀進(jìn)行了調(diào)研分析。

本文為威脅獵人投稿，雷鋒網(wǎng)編輯。

在2018年上半年（2018年01月-06月）間，以國內(nèi)各大公有云的云上應(yīng)用和云主機(jī)為目標(biāo)的網(wǎng)絡(luò)攻擊整體呈明顯上升趨勢，威脅類型以機(jī)器人、撞庫攻擊為主，針對云主機(jī)、域名和郵箱等資源的業(yè)務(wù)灰產(chǎn)仍大量存在。

攻擊總次數(shù)整體呈上升趨勢

通過對相關(guān)攻擊行為按月進(jìn)行次數(shù)統(tǒng)計(jì)，我們可以看到，在排除2月份春節(jié)期間大規(guī)模企業(yè)營銷活動所造成的數(shù)據(jù)樣本偏差影響后，黑灰產(chǎn)對公有云的攻擊次數(shù)呈明顯的上升趨勢。

阿里云、騰訊云遭受攻擊最多

在國內(nèi)公有云廠商中，針對阿里云的攻擊次數(shù)占比最高，達(dá)55.32%，針對騰訊云的攻擊次數(shù)占比居第二，為27.34%，其他依次是UCLOUD、華為云、青云、百度云、金山云、京東云。這與國內(nèi)公有云廠商的市場份額占比排名基本趨同（此處忽略了部分公有云廠商較細(xì)微的市場份額差異）。

值得注意的是，如果按月統(tǒng)計(jì)攻擊次數(shù)占比，阿里云和騰訊云的占比在大多數(shù)月份都呈小幅上升趨勢（排除2月份春節(jié)的數(shù)據(jù)樣本偏差影響），這也與公有云市場份額的集中化趨勢基本趨同。

超五成攻擊為機(jī)器人所為

通過對攻擊流量中行為特征的提取，我們發(fā)現(xiàn)，超過五成的攻擊為機(jī)器人所為。這些機(jī)器人中絕大部分用來執(zhí)行互聯(lián)網(wǎng)掃描或漏洞利用動作，其中大部分（超過70%）為最為常見的批量端口掃描器，約兩成源自針對特定目標(biāo)的自動化漏洞掃描與利用工具（如Struts2-045/048系列漏洞），另有約一成應(yīng)與國家監(jiān)管部門、安全廠商和科研機(jī)構(gòu)的互聯(lián)網(wǎng)資產(chǎn)探測類系統(tǒng)有關(guān)。此外，還有極少部分機(jī)器人是針對公有云企業(yè)郵箱的注冊機(jī)。

此外，我們還發(fā)現(xiàn)一個有趣的現(xiàn)象，自動化掃描或漏洞利用類機(jī)器人中約三成的流量源頭指向了美國弗吉尼亞州阿什本，即亞馬遜AWS云計(jì)算園區(qū)所在地，且有逐月遞增趨勢。我們推斷，由于國內(nèi)網(wǎng)絡(luò)安全監(jiān)管趨嚴(yán)，黑灰產(chǎn)活動的部分基礎(chǔ)設(shè)施正逐步向國外轉(zhuǎn)移。

撞庫攻擊整體呈上升趨勢

除自動化掃描或漏洞利用行為外，有14.36%的攻擊行為為撞庫攻擊。對此類攻擊行為按月進(jìn)行次數(shù)統(tǒng)計(jì)，可以看到有明顯的上升趨勢（排除2月份春節(jié)的數(shù)據(jù)樣本偏差影響）。

此外，我們還發(fā)現(xiàn)，三成左右的撞庫攻擊使用了重疊度較高的新的字典庫，疑似與我們在2018年上半年監(jiān)控到的數(shù)起社工庫地下交易事件有關(guān)?？紤]到從數(shù)據(jù)泄露到流出至暗網(wǎng)、Q群、Telegram群等進(jìn)行小范圍交易，再到大規(guī)模散播的時延一般在三到六個月左右，我們可以推斷，到2018年下半年，撞庫攻擊將進(jìn)一步增加。

公有云業(yè)務(wù)灰產(chǎn)依舊活躍

通過對“TH-Karma”平臺采集的黑灰產(chǎn)數(shù)據(jù)進(jìn)行分析，我們發(fā)現(xiàn)針對公有云各類優(yōu)惠活動的薅羊毛活動仍然活躍。典型的有：通過批量刷阿里云、騰訊云和美團(tuán)云學(xué)生機(jī)優(yōu)惠再進(jìn)行轉(zhuǎn)租轉(zhuǎn)售，或是批量代過阿里云和騰訊云域名實(shí)名認(rèn)證，或是通過郵箱注冊機(jī)批量注冊公有云企業(yè)郵箱等等。我們認(rèn)為，這類活動已形成較為完整的“產(chǎn)-銷-用”灰產(chǎn)鏈條，為其他黑灰產(chǎn)活動提供基礎(chǔ)設(shè)施支撐。

數(shù)據(jù)分析補(bǔ)充說明

受限于數(shù)據(jù)獲取的渠道及樣本噪點(diǎn)的影響，我們的監(jiān)控渠道對DDoS攻擊和爬蟲兩類攻擊的捕獲率偏低，導(dǎo)致在數(shù)據(jù)統(tǒng)計(jì)結(jié)果中這兩類攻擊次數(shù)低于我們的經(jīng)驗(yàn)預(yù)期，無法判斷其趨勢走向，故在本報告中不對此做詳細(xì)分析。但從我們獲取的黑灰產(chǎn)交易數(shù)據(jù)來看，近6個月針對阿里云和騰訊云服務(wù)器的DDoS攻擊空單（即沒人接單或接單完不成）量明顯增多，側(cè)面反映了阿里云、騰訊云等云廠商在抗DDoS方面的努力已有一定成效。

本文為威脅獵人投稿，雷鋒網(wǎng)編輯。

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。