4月12日,阿里雲安全團隊正式對外發布《2015年度雲盾態勢感知報告》(以下簡稱《報告》)。
此次《報告》主要聚焦資料中心雲端計算使用者面臨安全問題,包括高階持續威脅、定向Web應用攻擊、面向系統的暴力破解以及主機惡意檔案等四個方面。
同時,分享了2015年度網際網路Web安全方面的研究和發現,重點對新型威脅——“撞庫”攻擊進行了分析,併發布撞庫攻擊預警。
新型Web網站入侵手段——“撞庫”受攻擊者青睞
整體來看,2015年網際網路Web安全形勢不容樂觀。根據《報告》,Web應用攻擊總體呈現上升趨勢,全年攻擊次數超過80億次。按季度進行統計,從第一季度不到6億次/月上升到第四季度高於8億次/月。在雙十一當天,Web應用攻擊達到了全年的峰值8000萬次/天。
圖1 Web應用攻擊趨勢
具體到駭客的攻擊手段,阿里雲安全團隊透過對大量攻擊資料和案例的分析發現,一種新型的Web網站入侵手段——“撞庫”逐漸受到攻擊者的青睞,值得雲端計算使用者重點關注和防範。
撞庫攻擊,通俗地講就是駭客拿著網際網路上所謂的“社工庫”(裡面包含上億使用者名稱和登入密碼)對網站使用者登入介面不停的嘗試登入,只要有一次匹配成功,就可以進入使用者系統。雖然表面上看上去像博彩票,實質上隨著社工庫規模的壯大和精準度的不斷完善,成功率較傳統暴力破解攻擊已有質的提升。
當前,阿里云云盾系統監控的“撞庫”事件日均數量達數千起,平均每起攻擊事件包括數千次撞庫登入請求,而在這些事件中,賬號密碼組合去重後仍有幾十萬對,足見攻擊者已經具備了完善和龐大的社工庫。
金融、遊戲行業是駭客攻擊重災區
過去一年,在經常遭遇撞庫攻擊的網站裡,排名前三的行業分別為金融(19.68%)、社群論壇(16.03%)、遊戲(13.87%),幾乎佔據了全部攻擊的一半,接著為影音娛樂、教育、新聞、廣告、旅遊等行業。
圖2撞庫網站行業分佈
阿里雲安全專家預測,2016年,隨著網際網路金融的蓬勃發展,金融類網站可能仍然是駭客首要攻擊目標,針對金融類網站的撞庫攻擊將越來越多,風險形勢將加劇。
忽略態勢感知告警 客戶遭遇撞庫攻擊
在2015年年末,阿里雲安全團隊接到使用者求助,其運營網站的大量使用者賬號被惡意登陸,部分使用者賬號內的代金券和餘額被駭客消費。
安全專家立即配合客戶進行安全響應,在雲盾態勢感知系統中發現曾經檢測到了來自駭客的撞庫攻擊,請求有數百萬之多。詢問得知,客戶認為其登陸頁面增加了驗證碼挑戰便可防禦駭客的自動化指令碼登陸,忽視了撞庫攻擊的可能,從而對來自態勢感知的告警採取了忽略的態度。
經過進一步的深入調查,駭客持有一份數百萬條使用者賬號和明文密碼資料庫,這個資料庫和之前某入口網站資料洩露有關。
同時駭客購買了大量的代理伺服器,繞過網站對登陸次數限制和風控策略。結果是,在網站管理者看來,就像不同的使用者在登陸,很難察覺到異常。最關鍵的一點,駭客用到了“打碼平臺”,這種平臺提供人工或者智慧識別驗證碼技術,駭客只需要交納一定費用,就可以實現高效的破解驗證碼。
圖3 安全專家梳理出的此次“撞庫”事件攻擊過程
葉敏解讀:如何更好的防禦駭客撞庫攻擊
阿里云云盾安全攻防團隊負責人葉敏認為,“撞庫攻擊表面看非常簡單,但是駭客依託高效率掃號軟體(自動化嘗試登入的軟體),能夠每秒鐘用幾十對帳號密碼組合嘗試登入,在一個小時內就可以嘗試近10萬個帳號密碼組合,潛在的風險還是相當高的”
與傳統暴力破解攻擊相比,用於撞庫的使用者名稱和密碼均是有人使用過的組合,再次被使用的可能性很高。對比另一種採用類似攻擊手段的暴力破解攻擊,由於撞庫攻擊的賬號密碼組合比暴力破解字典的精準度高,因此攻擊的效率和效果比暴力破解高很多。”
事實上,“撞庫”攻擊只是在瞬息萬變的網際網路和雲端計算安全發展背景下眾多新型安全威脅中的一個代表。對於此類攻擊的防禦,由於攻擊一方無論在手段的豐富程度上,還是攻擊源的開放性,或是攻擊效率提升上(自動化)均有了不小的發展,傳統以基於特徵為核心的阻斷和防禦策略已經不再適合,資料驅動安全已成共識,只有在基於大規模安全資料被有效挖掘、關聯和分析的基礎上才能真正看到和處置威脅。
站在使用者的立場看,無論是機器學習方法進行自動偵測異常行為,還是大資料技術提高擴充套件性、靈活性以及處理效能,這些“高大上”的手段最終目的是讓企業減少處理繁縟的資料來源、規則和事件的成本,讓IT運營部門受益。
完整下載《2015年度雲盾態勢感知報告》,請訪問:
http://hang-oss.oss-cn-hangzhou.aliyuncs.com/%E4%BA%91%E7%9B%BE%E6%8A%A5%E5%91%8A/2015%E4%BA%91%E7%9B%BE%E6%80%81%E5%8A%BF%E6%84%9F%E7%9F%A5%E6%8A%A5%E5%91%8A.pdf?spm=5176.7713082994.0.0.LZIGzT&file=2015%E4%BA%91%E7%9B%BE%E6%80%81%E5%8A%BF%E6%84%9F%E7%9F%A5%E6%8A%A5%E5%91%8A.pdf