雷鋒網(wǎng)編者按：云計(jì)算本身的開放性、便捷性、多樣性和高性價(jià)比，不僅吸引著眾多的企業(yè)用戶，同樣也吸引著網(wǎng)絡(luò)黑灰產(chǎn)從業(yè)者?，F(xiàn)在，越來(lái)越多的網(wǎng)絡(luò)黑灰產(chǎn)通過(guò)購(gòu)買公有云服務(wù)，將用于攻擊、詐騙、引流的網(wǎng)站和服務(wù)器置于云中，進(jìn)一步降本提效。同時(shí)，還可利用公有云提供的安全能力與企業(yè)和安全廠商進(jìn)行對(duì)抗。7月27日，威脅獵人聯(lián)合金山毒霸對(duì)外發(fā)布了針對(duì)公有云的惡意網(wǎng)站感知數(shù)據(jù)，對(duì)公有云云上資產(chǎn)的合規(guī)現(xiàn)狀進(jìn)行了調(diào)研分析。

本文為威脅獵人投稿，雷鋒網(wǎng)編輯。

在2018年上半年（2018年01月-06月）間，以國(guó)內(nèi)各大公有云的云上應(yīng)用和云主機(jī)為目標(biāo)的網(wǎng)絡(luò)攻擊整體呈明顯上升趨勢(shì)，威脅類型以機(jī)器人、撞庫(kù)攻擊為主，針對(duì)云主機(jī)、域名和郵箱等資源的業(yè)務(wù)灰產(chǎn)仍大量存在。

攻擊總次數(shù)整體呈上升趨勢(shì)

通過(guò)對(duì)相關(guān)攻擊行為按月進(jìn)行次數(shù)統(tǒng)計(jì)，我們可以看到，在排除2月份春節(jié)期間大規(guī)模企業(yè)營(yíng)銷活動(dòng)所造成的數(shù)據(jù)樣本偏差影響后，黑灰產(chǎn)對(duì)公有云的攻擊次數(shù)呈明顯的上升趨勢(shì)。

阿里云、騰訊云遭受攻擊最多

在國(guó)內(nèi)公有云廠商中，針對(duì)阿里云的攻擊次數(shù)占比最高，達(dá)55.32%，針對(duì)騰訊云的攻擊次數(shù)占比居第二，為27.34%，其他依次是UCLOUD、華為云、青云、百度云、金山云、京東云。這與國(guó)內(nèi)公有云廠商的市場(chǎng)份額占比排名基本趨同（此處忽略了部分公有云廠商較細(xì)微的市場(chǎng)份額差異）。

值得注意的是，如果按月統(tǒng)計(jì)攻擊次數(shù)占比，阿里云和騰訊云的占比在大多數(shù)月份都呈小幅上升趨勢(shì)（排除2月份春節(jié)的數(shù)據(jù)樣本偏差影響），這也與公有云市場(chǎng)份額的集中化趨勢(shì)基本趨同。

超五成攻擊為機(jī)器人所為

通過(guò)對(duì)攻擊流量中行為特征的提取，我們發(fā)現(xiàn)，超過(guò)五成的攻擊為機(jī)器人所為。這些機(jī)器人中絕大部分用來(lái)執(zhí)行互聯(lián)網(wǎng)掃描或漏洞利用動(dòng)作，其中大部分（超過(guò)70%）為最為常見的批量端口掃描器，約兩成源自針對(duì)特定目標(biāo)的自動(dòng)化漏洞掃描與利用工具（如Struts2-045/048系列漏洞），另有約一成應(yīng)與國(guó)家監(jiān)管部門、安全廠商和科研機(jī)構(gòu)的互聯(lián)網(wǎng)資產(chǎn)探測(cè)類系統(tǒng)有關(guān)。此外，還有極少部分機(jī)器人是針對(duì)公有云企業(yè)郵箱的注冊(cè)機(jī)。

此外，我們還發(fā)現(xiàn)一個(gè)有趣的現(xiàn)象，自動(dòng)化掃描或漏洞利用類機(jī)器人中約三成的流量源頭指向了美國(guó)弗吉尼亞州阿什本，即亞馬遜AWS云計(jì)算園區(qū)所在地，且有逐月遞增趨勢(shì)。我們推斷，由于國(guó)內(nèi)網(wǎng)絡(luò)安全監(jiān)管趨嚴(yán)，黑灰產(chǎn)活動(dòng)的部分基礎(chǔ)設(shè)施正逐步向國(guó)外轉(zhuǎn)移。

撞庫(kù)攻擊整體呈上升趨勢(shì)

除自動(dòng)化掃描或漏洞利用行為外，有14.36%的攻擊行為為撞庫(kù)攻擊。對(duì)此類攻擊行為按月進(jìn)行次數(shù)統(tǒng)計(jì)，可以看到有明顯的上升趨勢(shì)（排除2月份春節(jié)的數(shù)據(jù)樣本偏差影響）。

此外，我們還發(fā)現(xiàn)，三成左右的撞庫(kù)攻擊使用了重疊度較高的新的字典庫(kù)，疑似與我們?cè)?018年上半年監(jiān)控到的數(shù)起社工庫(kù)地下交易事件有關(guān)?？紤]到從數(shù)據(jù)泄露到流出至暗網(wǎng)、Q群、Telegram群等進(jìn)行小范圍交易，再到大規(guī)模散播的時(shí)延一般在三到六個(gè)月左右，我們可以推斷，到2018年下半年，撞庫(kù)攻擊將進(jìn)一步增加。

公有云業(yè)務(wù)灰產(chǎn)依舊活躍

通過(guò)對(duì)“TH-Karma”平臺(tái)采集的黑灰產(chǎn)數(shù)據(jù)進(jìn)行分析，我們發(fā)現(xiàn)針對(duì)公有云各類優(yōu)惠活動(dòng)的薅羊毛活動(dòng)仍然活躍。典型的有：通過(guò)批量刷阿里云、騰訊云和美團(tuán)云學(xué)生機(jī)優(yōu)惠再進(jìn)行轉(zhuǎn)租轉(zhuǎn)售，或是批量代過(guò)阿里云和騰訊云域名實(shí)名認(rèn)證，或是通過(guò)郵箱注冊(cè)機(jī)批量注冊(cè)公有云企業(yè)郵箱等等。我們認(rèn)為，這類活動(dòng)已形成較為完整的“產(chǎn)-銷-用”灰產(chǎn)鏈條，為其他黑灰產(chǎn)活動(dòng)提供基礎(chǔ)設(shè)施支撐。

數(shù)據(jù)分析補(bǔ)充說(shuō)明

受限于數(shù)據(jù)獲取的渠道及樣本噪點(diǎn)的影響，我們的監(jiān)控渠道對(duì)DDoS攻擊和爬蟲兩類攻擊的捕獲率偏低，導(dǎo)致在數(shù)據(jù)統(tǒng)計(jì)結(jié)果中這兩類攻擊次數(shù)低于我們的經(jīng)驗(yàn)預(yù)期，無(wú)法判斷其趨勢(shì)走向，故在本報(bào)告中不對(duì)此做詳細(xì)分析。但從我們獲取的黑灰產(chǎn)交易數(shù)據(jù)來(lái)看，近6個(gè)月針對(duì)阿里云和騰訊云服務(wù)器的DDoS攻擊空單（即沒人接單或接單完不成）量明顯增多，側(cè)面反映了阿里云、騰訊云等云廠商在抗DDoS方面的努力已有一定成效。

本文為威脅獵人投稿，雷鋒網(wǎng)編輯。

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。