本文作者:darrensong、karmayu @雲鼎實驗室
導語:近日,媒體頻頻爆出蘋果使用者帳號被盜刷,用於購買遊戲道具等物品,並由此牽出 App Store 及遊戲相關黑產的種種。8102年都快過去了,遊戲黑客在攻擊什麼?他們從哪裡來?哪些公司受害最嚴重?騰訊安全雲鼎實驗室致力於雲上攻擊的實時捕獲和防禦,基於部署於全網的威脅感知系統,揭開遊戲行業的真實攻擊狀況。
一、遊戲行業安全概括
遊戲行業一向是競爭和攻擊都極為複雜和持續的領域。這裡有最廣泛的使用者群,有 IT 業最瘋狂的加班,有最激烈的行業競爭,有滲透最廣泛的黑色產業鏈,也有戰線最長的攻防對抗。
除去伺服器和作業系統等通用安全問題,遊戲行業面臨的安全威脅主要集中在以下幾個領域:
➢ 帳號類攻擊
早期以打金工作室大量註冊小號、木馬盜號為主,近年來以撞庫攻擊和帳號掃描為主,攻擊成功後進一步進行資產竊取。
➢ DDoS 攻擊
遊戲行業長期是 DDoS 的主要攻擊物件,隨著各種反射放大攻擊模式的發明,受攻擊流量也越來越大。
➢ 外掛
外掛是遊戲黑客技術最有深度的領域,從逆向分析的難度到核心層各種對抗。外掛從受眾主要分為玩家掛和工作室掛;從功能主要分為打金做任務類和競技輔助類。
➢ 其他
除去私服類傳統的問題,近年新出現了一些直接影響遊戲公司收入的新問題。比如由於 iOS 平臺的封閉性,遊戲公司和 Apple 存在對賬延遲,衍生出 iOS 充值退款/盜刷信用卡等黑產業務。傳統針對遊戲的破解業務依然持續存在,比如最近大火的太吾畫卷,在試用版期間就出現了本地破解版。
二、五大攻擊趨勢
1、遊戲行業黑產國際化趨勢明顯
隨著近年吃雞類遊戲火爆的影響力,以及微信、支付寶等移動支付能力在海外逐漸打通,越來越多國人開始習慣於在海外遊戲平臺如 STEAM 進行消費和玩耍。自然也就吸引了遊戲黑客和黑產業者的關注。並且由於跨國法律打擊的難度,使得攻擊者更加張狂。
在2018年,可以觀察到針對 STEAM、EA 等海外平臺的撞庫攻擊持續提升,同時針對海外遊戲的外掛也是增長迅速,並帶動了海外信用卡盜刷等領域的攻擊增長。
2、撞庫成為遊戲行業帳號攻擊主流模式
在帳號攻擊層面,PC 時代流行的遊戲盜號木馬已近乎銷聲匿跡。隨著近年來黑市洩漏帳號資料的廣泛流通,攻擊以撞庫攻擊和帳號掃描為主,攻擊成功後進一步進行資產竊取。
3、遊戲周邊行業成為 DDoS 新攻擊目標
針對遊戲的 DDoS 攻擊,不僅僅在新的 H5Game 上出現,而且逐漸向所攻擊遊戲的周邊行業擴充套件,針對某一遊戲除進行主伺服器、網路結點攻擊外,還針對其第三方支撐與合作平臺進行攻擊,達到遊戲商業化鏈條的立體式攻擊。遊戲周邊行業,包括但不限於遊戲虛擬財產買賣、電競、遊戲資訊、遊戲雲服務等。
4、遊戲外掛逐漸向手遊+競技輔助類轉型
PC 時代的網遊主流為 MMORPG(大型多人線上角色扮演)類遊戲,當時外掛以打金/打裝備/升級為主要目標。隨著近年移動網際網路的興起,崇尚短平快的手遊逐漸主流化,以及越來越多遊戲去掉交易系統,遊戲外掛逐漸轉為競技輔助類功能為主,例如透視、加速等。
5、針對 Apple 平臺的欺詐、盜刷類攻擊形式嚴峻
由於 iOS 平臺的封閉性,遊戲公司和 Apple 存在對賬延遲,衍生出 iOS 充值退款/盜刷信用卡等黑產業務,高峰時甚至導致遊戲公司百分之幾十的壞賬。
同時,由於 App Store 針對國內使用者的支付流程的便捷化(繫結支付寶、微信支付、免密支付),使得盜取 Apple 帳號成為黑產盜重新整理渠道,國內蘋果帳號盜刷相關新聞屢見不鮮。
三、詳細資料剖析
1. 帳號類攻擊
雲鼎實驗室2018年的監測資料顯示,針對遊戲行業的帳號類攻擊,月均在數億次/月,且持續平穩,具有長期持續性攻擊的特徵。
1)攻擊型別分佈
在針對帳號的攻擊中,大部分的帳號掃描其實也是為了撞庫攻擊做準備,少部分是基於歷史密碼的登入嘗試。因此,在帳號安全側,撞庫相關攻擊實際佔據了80%以上的份額,這與早期以盜號木馬為主的帳號類攻擊形成了鮮明的對比。
2)被攻擊公司分佈
從全球遊戲公司遭受攻擊的流量來看(注:國內外知名遊戲公司紛紛成為靶子),國內遊戲公司吸引了近6成的攻擊量,其源於國內發達的遊戲黑產鏈條,而實際上針對國外遊戲公司的攻擊很多也來自國內。
3)攻擊來源分佈
國內遊戲公司的攻擊流量來源幾乎全部源自於國內,源自海外的可忽略不計。其中以吉林、浙江、江蘇、江西、廣東等省份的來源為多,以上省份佔了60%以上的攻擊請求。可見,在遊戲行業的國內黑產幾乎是一個獨立的封閉產業鏈。這和國內強大的產業鏈整合能力和文化獨特性都頗為相關。
國外遊戲公司面對的攻擊則來自各個國家,然而源自中國的攻擊流量也佔據了半壁江山,這也和事實的情況比較相符,例如壟斷海外打金事業、吃雞遊戲裡中國外掛的泛濫,都反映了遊戲領域中國黑客的戰鬥力。同樣,戰鬥民族俄羅斯也名列前茅,而在我們的監測中,在其他黑客領域頗為活躍的烏克蘭黑客似乎對遊戲行業興趣缺缺。
2. DDoS 攻擊
2018年 DDoS 攻擊情況統計中,遊戲行業仍為主要攻擊對像,其中移動 Web 遊戲被攻擊數量明顯增加,也標誌著 H5Game 正式被攻擊者納入吸金行列。攻擊型別呈多樣化,除常規反射放大 SSDP、NTP 外,新出現的 Memcached 反射也被攻擊者利用,迫使防禦措施頻繁更新。同時攻擊者將 C2 逐漸遷移到國外,使其溯源更加困難,且生存時間延長,再加上頻繁更新的家族與其攻擊手法,致使針對遊戲行業的攻防戰,更加的激烈。
1)被攻擊遊戲的分類
除端遊與手遊,依然排在前面外,可以明顯看出移動 Web 遊戲(H5Game)有明顯上升的趨勢。 隨著 H5 遊戲生態的不斷的完善,新玩法、新的變現途徑不斷的成熟,可以預見針對 H5 遊戲的 DDoS 攻擊會更加頻繁。
2)攻擊方法分類
針對遊戲行業,DDoS 攻擊的方式還是主要以攻擊頻寬為主,以組合式攻擊打出超大的流量進行堵塞頻寬。雖然傳統的 UDP Flood、SYN Flood 仍然佔較大的比例,但攻擊方法已轉變為有反射放大參與的混合式攻擊,其中各類反射放大佔比一半以上,與傳統攻擊佔比平分秋色。Memcached 反射放大是新出現的反射放大方法,業界公佈的 Memcached DDos 最大攻擊達到1.7Tbps。隨著 Memcached 反射技術被廣泛地應用,在遊戲行業 DDoS 攻擊中,也充當一個關鍵的被利用角色。
3)發起攻擊的 C2 情況
從下圖可以直觀地看出攻擊遊戲行業的 C2 主要分佈在美國、歐洲、韓國、中國,其中國外佔比69%。 黑客為了 C2 伺服器不易被中國的網警封停,將伺服器遷至國外不易檢查的位置。同時針對遊戲行業的攻擊,往往被攻擊的遊戲公司每次都要損失大量的日活使用者與金錢,針對溯源的需求比較高,也迫使黑客更加謹慎小心。C2 以域名方式普遍比 IP 方式的存活時間更長,通過針對發起攻擊的 Top 10 的 C2 的情況統計,存活時間均超過了3個月,且均是域名方式。每個 C2 針對遊戲行業發起攻擊的累積次數都達上千次,除遊戲行業外,其還針對其它行業進行 DDoS 攻擊,使其變現能力最大化。
4)攻擊時間分析
在攻擊時長來看,佔比最多在10分以內,以較少的時間直接癱瘓掉遊戲伺服器,導致遊戲玩家掉線、延遲、遊戲系統假死等。抽樣統計得出,平均攻擊時長約16分,單次攻擊最長時長約1.5小時。排除反射放大攻擊,bot 的每次攻擊時長以30秒最多,佔比達90%以上,攻擊總時長以發起的攻擊次數疊加計算。bot 其它時長以一次發起攻擊60秒、300秒、600秒、30分等,還有的 bot 以攻擊停止命令進行動態控制時長。反射放大攻擊時長依不同的攻擊程式而定,比 bot 的時長控制更加靈活多樣。
黑客對遊戲伺服器的攻擊時間段統計發現,一般在10時到17時,18時到23時兩個時段最多。其特點是以玩家上線最多的時間點發起攻擊,致使攻擊目標造成最大的損失。
5)攻擊流量頻寬分佈情況
在攻擊流量的分層統計上,大多數的攻擊均為100Gbps以下的流量攻擊。整體的攻擊流量的平均峰值約在6.8Gbps左右。在DDoS攻擊頻寬中,主要攻擊以反射放大為主,其次是以帶有payload的傳統攻擊(如UDP Flood / SYN Flood大包)。
隨著 DDoS 在遊戲行業上流量的進一步攀升,在DDoS整體防護上,建議使用者採用具備超大流量防護能力的產品。遊戲行業多為具有跨國使用者,具備全球防護能力的DDoS防護產品要求也日益迫切。
3. 外掛
經歷了2017年 STEAM 平臺吃雞遊戲的火爆和預熱,在2018年國內吃雞類遊戲也迎來了相關外掛的大爆發。由於PC遊戲熱度降溫以及手遊交易系統的限制,2018年主要外掛集中在手遊的吃雞類遊戲上,其中外掛熱度排名前四的吃雞類手遊佔據了超過60%的關注度,加上 PC 端的射擊類遊戲,射擊類外掛已然佔據了70%以上。而傳統的打金類外掛熱度佔比大幅下降。
4. 其他
1)代充值類
代充值類問題主要集中在 App Store 平臺,由於 App Store 的內購機制原因,蘋果手遊代充最早可以追溯到2012年前後,到現在已經經歷了多次發展,從最開始的外幣匯率差,退款,36漏洞,再到黑卡,盜刷信用卡,甚至出現了專門的庫存系統,造成遊戲廠商損失慘重,下面簡單描述各種代充黑產的情況:
➢ 外幣匯率差
利用某些國家貨幣匯率波動較大(如南非),而 App Store 上道具並未及時按照匯率更新價格,此時通過一些技巧使用其他國家貨幣購買本國蘋果市場的內購物品,從而謀取利益。
➢ 退款
蘋果公司於2014年開始實施退款政策,以彌補使用者因意外充值而造成的損失。本是為了避免使用者損失,卻成為代充、代退等不法商販的套利手段,同時也極大地增加了個人賬戶的使用風險。
➢ 36漏洞
源於蘋果公司為改善使用者體驗,在向使用者收取費用時,設計了40元以下小額充值,可以不經驗證支付成功,先行派發商品。而可選的最佳支付組合是30元+6元,故稱為36漏洞。受36技術侵害的重災區集中在遊戲領域,由於蘋果公司季度結算的模式,36技術對於蘋果公司和服務商間造成了大量的壞賬。
➢ 黑卡和盜刷信用卡
所謂黑卡,即來源不明的信用卡,這裡特指與iTunes賬戶繫結的非法信用卡。也指不在我國境內銷售的充值卡型別如蘋果禮品卡等。其背後是破解或盜取他人信用卡的黑客。通過黑卡或盜刷的方式,倒賣虛擬物品或蘋果賬戶牟利。
➢ 庫存系統
由於使用黑卡或盜刷信用卡,可能會在很短時間內被蘋果封號。但黑客發現在蘋果的購買流程中,如果把支付憑據擷取下來,使流程不進入發貨環節,充值商家等到有客戶時候,可以隨時使用支付憑據發貨,可謂完美繞過蘋果風控,使黑卡和盜刷可以大規模實現。這樣便能繞過蘋果風控系統,但是這些黑錢會被蘋果扣除,無法給遊戲廠商結算,最後就成了壞賬。
根據2018年的資料,雲鼎實驗室監測到大量來自福建龍巖和吉林延邊的針對 App Store 的黑產流量,這兩地的黑產流量佔到總量的80%,乃是蘋果系黑產的集中地。
四、結語
業務安全上的對抗,是一個不斷進化的短平快戰場。天下武功,唯快不破,騰訊雲安全以專業的能力,致力於雲端惡意流量的實時發現和防禦一體化,騰訊雲 Web 應用防火牆(網站管家)和 DDoS 防護(大禹)經過多年打磨,擁有針對遊戲行業定製的帳號安全防護和全球各種場景下專業 DDoS 防禦能力,為遊戲整體業務保駕護航。
騰訊安全雲鼎實驗室關注雲主機與雲內流量的安全研究和安全運營。利用機器學習與大資料技術實時監控並分析各類風險資訊,幫助客戶抵禦高階可持續攻擊;聯合騰訊所有安全實驗室進行安全漏洞的研究,確保雲端計算平臺整體的安全性。相關能力通過騰訊雲開放出來,為使用者提供黑客入侵檢測和漏洞風險預警等服務,幫助企業解決伺服器安全問題。
[推薦]看雪企服平臺,提供安全分析、定製專案開發、APP等級保護、滲透測試等安全服務!