4月12日，阿里云安全團(tuán)隊(duì)正式對(duì)外發(fā)布《2015年度云盾態(tài)勢(shì)感知報(bào)告》(以下簡(jiǎn)稱《報(bào)告》)。

此次《報(bào)告》主要聚焦數(shù)據(jù)中心云計(jì)算用戶面臨安全問題，包括高級(jí)持續(xù)威脅、定向Web應(yīng)用攻擊、面向系統(tǒng)的暴力破解以及主機(jī)惡意文件等四個(gè)方面。

同時(shí)，分享了2015年度互聯(lián)網(wǎng)Web安全方面的研究和發(fā)現(xiàn)，重點(diǎn)對(duì)新型威脅——“撞庫(kù)”攻擊進(jìn)行了分析，并發(fā)布撞庫(kù)攻擊預(yù)警。

新型Web網(wǎng)站入侵手段——“撞庫(kù)”受攻擊者青睞

整體來看，2015年互聯(lián)網(wǎng)Web安全形勢(shì)不容樂觀。根據(jù)《報(bào)告》，Web應(yīng)用攻擊總體呈現(xiàn)上升趨勢(shì)，全年攻擊次數(shù)超過80億次。按季度進(jìn)行統(tǒng)計(jì)，從第一季度不到6億次/月上升到第四季度高于8億次/月。在雙十一當(dāng)天，Web應(yīng)用攻擊達(dá)到了全年的峰值8000萬次/天。

圖1 Web應(yīng)用攻擊趨勢(shì)

具體到黑客的攻擊手段，阿里云安全團(tuán)隊(duì)通過對(duì)大量攻擊數(shù)據(jù)和案例的分析發(fā)現(xiàn)，一種新型的Web網(wǎng)站入侵手段——“撞庫(kù)”逐漸受到攻擊者的青睞，值得云計(jì)算用戶重點(diǎn)關(guān)注和防范。

撞庫(kù)攻擊，通俗地講就是黑客拿著互聯(lián)網(wǎng)上所謂的“社工庫(kù)”(里面包含上億用戶名和登錄密碼)對(duì)網(wǎng)站用戶登錄界面不停的嘗試登錄，只要有一次匹配成功，就可以進(jìn)入用戶系統(tǒng)。雖然表面上看上去像博彩票，實(shí)質(zhì)上隨著社工庫(kù)規(guī)模的壯大和精準(zhǔn)度的不斷完善，成功率較傳統(tǒng)暴力破解攻擊已有質(zhì)的提升。

當(dāng)前，阿里云云盾系統(tǒng)監(jiān)控的“撞庫(kù)”事件日均數(shù)量達(dá)數(shù)千起，平均每起攻擊事件包括數(shù)千次撞庫(kù)登錄請(qǐng)求，而在這些事件中，賬號(hào)密碼組合去重后仍有幾十萬對(duì)，足見攻擊者已經(jīng)具備了完善和龐大的社工庫(kù)。

金融、游戲行業(yè)是黑客攻擊重災(zāi)區(qū)

過去一年，在經(jīng)常遭遇撞庫(kù)攻擊的網(wǎng)站里，排名前三的行業(yè)分別為金融(19.68%)、社區(qū)論壇(16.03%)、游戲(13.87%)，幾乎占據(jù)了全部攻擊的一半，接著為影音娛樂、教育、新聞、廣告、旅游等行業(yè)。

圖2撞庫(kù)網(wǎng)站行業(yè)分布

阿里云安全專家預(yù)測(cè)，2016年，隨著互聯(lián)網(wǎng)金融的蓬勃發(fā)展，金融類網(wǎng)站可能仍然是黑客首要攻擊目標(biāo)，針對(duì)金融類網(wǎng)站的撞庫(kù)攻擊將越來越多，風(fēng)險(xiǎn)形勢(shì)將加劇。

忽略態(tài)勢(shì)感知告警 客戶遭遇撞庫(kù)攻擊

在2015年年末，阿里云安全團(tuán)隊(duì)接到用戶求助，其運(yùn)營(yíng)網(wǎng)站的大量用戶賬號(hào)被惡意登陸，部分用戶賬號(hào)內(nèi)的代金券和余額被黑客消費(fèi)。

安全專家立即配合客戶進(jìn)行安全響應(yīng)，在云盾態(tài)勢(shì)感知系統(tǒng)中發(fā)現(xiàn)曾經(jīng)檢測(cè)到了來自黑客的撞庫(kù)攻擊，請(qǐng)求有數(shù)百萬之多。詢問得知，客戶認(rèn)為其登陸頁(yè)面增加了驗(yàn)證碼挑戰(zhàn)便可防御黑客的自動(dòng)化腳本登陸，忽視了撞庫(kù)攻擊的可能，從而對(duì)來自態(tài)勢(shì)感知的告警采取了忽略的態(tài)度。

經(jīng)過進(jìn)一步的深入調(diào)查，黑客持有一份數(shù)百萬條用戶賬號(hào)和明文密碼數(shù)據(jù)庫(kù)，這個(gè)數(shù)據(jù)庫(kù)和之前某門戶網(wǎng)站數(shù)據(jù)泄露有關(guān)。

同時(shí)黑客購(gòu)買了大量的代理服務(wù)器，繞過網(wǎng)站對(duì)登陸次數(shù)限制和風(fēng)控策略。結(jié)果是，在網(wǎng)站管理者看來，就像不同的用戶在登陸，很難察覺到異常。最關(guān)鍵的一點(diǎn)，黑客用到了“打碼平臺(tái)”，這種平臺(tái)提供人工或者智能識(shí)別驗(yàn)證碼技術(shù)，黑客只需要交納一定費(fèi)用，就可以實(shí)現(xiàn)高效的破解驗(yàn)證碼。

圖3 安全專家梳理出的此次“撞庫(kù)”事件攻擊過程

葉敏解讀：如何更好的防御黑客撞庫(kù)攻擊

阿里云云盾安全攻防團(tuán)隊(duì)負(fù)責(zé)人葉敏認(rèn)為，“撞庫(kù)攻擊表面看非常簡(jiǎn)單，但是黑客依托高效率掃號(hào)軟件(自動(dòng)化嘗試登錄的軟件)，能夠每秒鐘用幾十對(duì)帳號(hào)密碼組合嘗試登錄，在一個(gè)小時(shí)內(nèi)就可以嘗試近10萬個(gè)帳號(hào)密碼組合，潛在的風(fēng)險(xiǎn)還是相當(dāng)高的”

與傳統(tǒng)暴力破解攻擊相比，用于撞庫(kù)的用戶名和密碼均是有人使用過的組合，再次被使用的可能性很高。對(duì)比另一種采用類似攻擊手段的暴力破解攻擊，由于撞庫(kù)攻擊的賬號(hào)密碼組合比暴力破解字典的精準(zhǔn)度高，因此攻擊的效率和效果比暴力破解高很多。”

事實(shí)上，“撞庫(kù)”攻擊只是在瞬息萬變的互聯(lián)網(wǎng)和云計(jì)算安全發(fā)展背景下眾多新型安全威脅中的一個(gè)代表。對(duì)于此類攻擊的防御，由于攻擊一方無論在手段的豐富程度上，還是攻擊源的開放性，或是攻擊效率提升上(自動(dòng)化)均有了不小的發(fā)展，傳統(tǒng)以基于特征為核心的阻斷和防御策略已經(jīng)不再適合，數(shù)據(jù)驅(qū)動(dòng)安全已成共識(shí)，只有在基于大規(guī)模安全數(shù)據(jù)被有效挖掘、關(guān)聯(lián)和分析的基礎(chǔ)上才能真正看到和處置威脅。

站在用戶的立場(chǎng)看，無論是機(jī)器學(xué)習(xí)方法進(jìn)行自動(dòng)偵測(cè)異常行為，還是大數(shù)據(jù)技術(shù)提高擴(kuò)展性、靈活性以及處理性能，這些“高大上”的手段最終目的是讓企業(yè)減少處理繁縟的數(shù)據(jù)源、規(guī)則和事件的成本，讓IT運(yùn)營(yíng)部門受益。

完整下載《2015年度云盾態(tài)勢(shì)感知報(bào)告》，請(qǐng)?jiān)L問：

http://hang-oss.oss-cn-hangzhou.aliyuncs.com/%E4%BA%91%E7%9B%BE%E6%8A%A5%E5%91%8A/2015%E4%BA%91%E7%9B%BE%E6%80%81%E5%8A%BF%E6%84%9F%E7%9F%A5%E6%8A%A5%E5%91%8A.pdf?spm=5176.7713082994.0.0.LZIGzT&file=2015%E4%BA%91%E7%9B%BE%E6%80%81%E5%8A%BF%E6%84%9F%E7%9F%A5%E6%8A%A5%E5%91%8A.pdf