2020上半年安全攻防态势报告.pdf
阿里云安全运营中心 2020年上半年,“疫情”成为了整个社会的关键词,医疗、在线教育/办公、游戏等行业关注度普遍上涨,同 时遭受的网络层攻击规模环比也增长明显。应用层面,爬虫依旧活跃,虽然受疫情影响交通旅游行业的攻击量 下降明显,但招聘、征信、政府公开信息等具有高质量数据价值的站点依然遭受大量应用层的爬虫和Web攻击, 与新零售、互联网基础设施位列应用层攻击行业Top3。 阿里云联合Freebuf发布2020年上半年安全攻防态势报告,内容包括大流量DDoS攻击引发的业务不可用、 以及流量中包含的恶意攻击代码、或是模拟正常用户请求但试图达到爬取数据、作弊等非正常目的的问题。根 据阿里云安全运营中心的观察,报告将详细解说2020年上半年在安全攻防领域的发现和相关最佳实践。 相比2019年下半年,2020年1-6月DDoS攻击数量增长26%,集中增长在2,3,4月,其中3月同比增长43%。 大流量攻击持平稳趋势,当前100-200G流量攻击已成为标准攻击流量,500G以上流量型攻击趋于平稳,相 比流量型攻击,平台监控到最大pps(每秒包数量)1.06亿,攻击方式为混合型攻击,企图耗尽防护处理能力。 应用层DDoS攻击增长迅猛,攻击事件数较2019年下半年增长达64%,攻击请求数增长达108%。对比而言, 2020上半年,平均每4次大流量DDoS攻击,就有1次应用层DDoS攻击。 01 DDOS ATTACK SITUATION DDoS攻击态势 1、态势解读 DDoS攻击态势 1 根据阿里云安全运营中心监测到的攻击数据分析,2020年上半年DDoS攻击事件达到50万余次,其中1月,2 月,3月持续增长。反射类攻击由于利用方式简单,利用方式平台化,仍然为主要攻击手段,占比78%,相比 2019年,CLDAP、DNS反射类型呈大幅增长趋势,分别增长了8%、10%。应用层DDoS攻击在上半年疫情 期间处于高水位,攻击事件数增长64%,攻击请求数增长达108%,应用层DDoS不论是攻击事件数,还是平 均单次攻击规模都较2019年更大。 1.1 攻击趋势 图1-1 攻击事件趋势 20000 40000 60000 80000 100000 120000 140000 0 2020/1/1 2020/2/1 2020/3/1 2020/4/1 2020/5/1 2020/6/1 攻击事件 次数 图1-2 2020年大流量攻击峰值流量趋势 应用层DDoS事件数占比 100 200 300 400 500 600 800 700 0 5.00% 10.00% 15.00% 20.00% 25.00% 30.00% 40.00% 35.00% 0.00% 2020年 1月 2020年 2月 2020年 3月 2020年 4月 2020年 5月 2020年 6月 DDoS攻击态势 2 图1-3 应用层DDoS攻击请求数 2E+10 4E+10 6E+10 8E+10 1E+11 1.2E+10 0 7月 8月 9月 10月 11月 12月 1月 2月 3月 4月 5月 6月 图1-4 攻击类型分布 当前检测到的流量型DDoS攻击类型中,分布最多的分别是UDP Flood、NTP反射攻击、CLDAP反射攻击、 SSDP反射攻击,相比2019年,SYN_Flood攻击占比呈下降趋势。如图所示: udp_food ntp_reflection cldap_reflection ssdp_reflection dns_reflection syn_flood_with_payload ack_flood syn_flood malformed_tcp_packet memcached_reflection icmp_flood other_protocol_flood chargen_reflection 25% 16% 12% 12% 12% DDoS攻击态势 3 从全年的整体攻击趋势来看,DNS反射放大攻击占比相比2019年增长10%,攻击次数在2、3月达到了顶峰, 随后有了明显的降低,目前稳定在万余次。 图1-5 DNS反射攻击次数 5,000 10,000 15,000 20,000 25,000 30,000 35,000 0 202,001 202,002 202,003 202,004 202,005 202,006 2020上半年疫情期间,应用层DDoS攻击处于高位,攻击环比增长幅度排名前三的分别为医疗、在线教育、游 戏三大行业,如下图所示: 图1-6 疫情期间供给量环比增长率 80% 160% 240% 320% 400% 480% 0% 医疗 在线教育 游戏 通讯和运营商 媒体 计算机软件服务 电子商务 金融服务 互联网服务 攻击次数 DDoS攻击态势 4 图1-7 根据实际攻击路径聚类分析 通过对疫情期间数百起应用层DDoS攻击事件及数亿次攻击请求做图聚类分析发现,攻击来源主要分为三类: 代理、感染肉鸡、各大云平台服务器,且单次攻击的攻击来源类型单一,如下图所示: 从上图可以发现,单次攻击通常利用单一攻击来源发起攻击,交叉使用不同攻击源发起的攻击数量较少。举例 来说,如果一次攻击利用了代理作为攻击源,那就几乎不再同时利用感染肉鸡或云平台服务器发起攻击。 代理攻击源 感染肉鸡攻击源 各大云平台服务器攻击源 网站 DDoS攻击态势 5 通过不同攻击源发起攻击的次数占比分别为,代理攻击源占比78.67%,感染肉鸡攻击占比20.65%,各大云平 台服务器攻击占比0.68%。如下图所示: 不同类型的攻击源占比分别为,代理攻击用到的攻击源占比为12.40%,感染肉鸡攻击用到的攻击源占比为 87.42%,各大云平台服务器攻击用到的攻击源占比0.18%。如下图所示: 图1-8 由不同攻击源引发的攻击事件占比 20.65% 78.67% 0.68% 代理 感染肉鸡 各大云平台服务器 图1-9 不同类型的攻击源占比 87.42% 12.40% 0.18% 代理 感染肉鸡 各大云平台服务器 DDoS攻击态势 6 根据阿里云安全运营中心监测到的DDoS攻击数据分析,并系统的对攻击团队进行分析,2020年上半年共观测 到僵尸网络626个中控,反射攻击识别出2000余个攻击团伙,单团伙最大攻击流量418Gb,攻击方式为SYN- _Flood和多种协议混合的反射攻击。 采用分析逻辑如下: 根据所识别的团伙所拥有的IP攻击资源分布,按攻击源IP规模进行团伙大小统计如下图,其中56%团伙攻击资 源小于5000个IP,10%团伙攻击资源大于40000个IP。 1.2 DDoS攻击团伙分析 传统僵尸网络肉鸡发起的攻击,通过中控协议识别到中控IP+端口, 结合情报数据关联分析,相同中控域名 /IP判定为同一攻击团伙。 反射DDos的团伙识别,通过反射源类型、反射源IP重合度、反射协议放大倍数和攻击Payload特征、时间 窗口内攻击目标重合度等多个维度对不同反射攻击事件聚类,两次攻击特征相似判定为同一攻击团伙。 图1-10 按照团伙所拥有的攻击流量资源分布 56% 10% 12% 6% 12% 2% 2% 40000 3000040000 2000030000 1500020000 1000015000 500010000 5000 DDoS攻击态势 7 我们针对攻击源规模第一团伙进行研究发现:该团伙具备400+Gbps攻击能力,历史共更换过20余个中控IP, 攻击类型特征为SYN流量攻击+多种协议混合的反射攻击(SSDP/DNS/NTP/CLDAP)。 该团伙使用的中控域名为*.gggat*,为某知名DDos攻击小组使用,与去年同期相比,其攻击特征发现明 显变化:流量由主要使用肉鸡发起SYN流量攻击转为SYN+反射攻击混合型流量攻击,肉鸡规模和攻击频率明 显下降,推测与近年国内打击黑产高压态势有关。近半年来其活跃情况如下图: 图1-11 近半年攻击团伙攻击趋势 50 100 150 200 250 0 2020/1/1 2020/2/1 2020/3/1 2020/4/1 2020/5/1 2020/6/1 2020/7/14 DDoS攻击态势 8 在TOP10的木马家族中,2020年上半年25000_Gates_A、DDoSTF、Nitol进入前三,三者的总占比超过了 70%,如图所示: 1.3 DDoS僵尸网络分析 图1-12 木马家族TOP10占比 25000_Gates_A DDoSTF Nitol Gafgyt PalevoNitol Mayday IPK Palevo XorDDoS 27% 26% 19% 13% 7% DDoS攻击态势 9 在僵尸网络分布情况方面,有56%来自中国大陆,于2019年持平,来自美国和中国香港的僵尸网络分别占比 14%和8%: 通过对CnC存活时间进行分析和整理,存活一周以内的CnC占到了63%: 中国 美国 中国香港 法国 韩国 欧洲 荷兰 德国 新加坡 日本 俄罗斯 加拿大 英国 中国台湾 澳大利亚 南非 波兰 罗马尼亚 阿根廷 图1-13 僵尸网络分布情况 小于7天 715天 1530天 3060天 6090天 90180天 180天以上 图1-14 CnC存活时间分析 56% 14% 8% 4% 63%10% 7% 6% 3% 11% DDoS攻击态势 10 2、核心观点 通过感染肉鸡发起的攻击事件占比为20.65%,但攻击源个数最多,占比达87.42%。这类攻击的攻击源极为分 散,且对应IP往往为宽带/基站出口IP。对攻击者而言,此类攻击源在线情况并不稳定,单个攻击源攻击性能一 般。 对于这类攻击源发起的攻击,不建议企业采用IP粒度的防御方式。感染肉鸡对应的IP往往是宽带/基站出口 IP,背后的正常用户很多,封禁一个历史攻击IP的代价有可能是阻止成百上千的潜在用户正常访问。 更进一步 来讲,感染肉鸡的IP变化较快,设备位置的变化以及运营商的IP动态分配机制都会改变它们的IP,从而容易绕 过封禁。 防护此类攻击,需要基于正常业务请求特性,事前封禁不可能出现的请求特征,如纯APP业务可封禁 来自PC端的请求;或事中基于正常业务请求及攻击请求的差异性,动态地调整策略。 2.2 感染肉鸡攻击源分散,企业应动态调整防御策略 借助各大云平台服务器发起的攻击事件占比最少,仅为0.68%,且攻击源个数仅为0.18%。这得益于各大云平 台针对DDoS攻击做了严格管控,也造成攻击者使用此类攻击源攻击的固定成本较高。 因此,我们建议如果发 现攻击源IP来自少数几个C段,且正常情况下很少有该IP段的请求来访问,可以考虑将其封禁,避免潜在的恶 意请求。 2.3 借云平台发起攻击量明显降低 UDP反射攻击类型在DDoS攻击威胁中还是占据着重要的比重,由于其攻击利用方法简单,利用方式平台化, 成为了为主流的攻击手段。100Gbps左右反射类攻击已经成为了主流流量型攻击手段。 2.4 百G反射类攻击成为主流攻击手法 代理攻击在所有攻击事件中占比最高,而攻击源个数仅占12.40%。对攻击者而言,此类攻击源性价比最高, 攻击IP易获得且成本低廉,用于攻击时攻击性能较好,所以成为攻击中的主力军。 对企业而言,我们建议在放 行业务相关代理的基础上,对无需使用代理访问的网站封禁代理,可在防御中起到“四两拨千斤”的效果。 2.1 代理攻击已成为常态,企业需要足够重视 DDoS攻击态势 11 02 WEB ATTACK SITUATION Web攻击态势 1、态势解读 传统Web攻击类型中,扫描器探测占比最大,可以看出扫描器依然是当前攻击者的渗透利器,其次是WebShell 上传与通信,我们发现每天都有数百万次WebShell后门文件扫描与密码破解的请求,也就是通常所说的“黑 吃黑”行为。攻击类型具体的分布情况如下: 1.1 攻击类型分布 扫描器探测 WebShell上传与通信 SQL注入 XSS 代码执行 本地文件包含 CSRF 图2-1 攻击类型分布 27.1% 32.9% 17.3% 10.7% 8.8% 3.1% 0.1% Web攻击态势 12 从Web类攻击(如扫描、SQL注入、XSS等)量的时间趋势来看,2、3月份的攻击量小幅上涨,6月份的攻击 量小幅回落,整体没有太大的波动。 CC攻击和Bot流量整体上在1月和5月份上涨较明显,但涨幅没有往年大,推测跟假期相关需求以及疫情的压制 有关: 1.2 攻击趋势 图2-2 攻击事件趋势 5 10 15 20 0 2020/1/1 2020/2/1 2020/3/1 2020/4/1 2020/5/1 2020/6/1 攻击量(亿) 图2-3 CC攻击趋势 Bot流量趋势 40 80 120 160 200 240 280 320 360 0 2020/1/1 2020/2/1 2020/3/1 2020/4/1 2020/5/1 2020/6/1 攻击量(亿) Web攻击态势 13 从行业上看, 互联网数据服务、 新零售、 互联网基础设施、 互联网媒体服务、 金融服务位列Top 5的受攻击行业 : 1.3 行业分布 互联网数据服务 新零售商 互联网基础设施及服务 互联网媒体服务 金融服务 图2-4 受攻击行业Top5 63%12% 10% 8% 7% Web攻击态势 14 2、核心观点 网络应用资产是安全管理体系中最基础最重要的载体,同时也是业务系统中最基本的组成单元。随着企业业务 的高速发展,各类业务系统逐年增多,同时也存在员工私建站点、测试环境未及时回收等情况,由于没有专职 安全人员”打理”,长年累月下去就会产生大量“僵尸”资产。当我们建议用户接入未防护的高危应用资产时, 通常用户的第一反应是吃惊于这些资产是何时开放出去的,很显然,大部分企业用户对于资产缺少一个全局的 视角。 我们有统计用户保有网站数量的分布情况如下: 2.1 企业用户需加强对于资产的认知度 110 1050 50100 100500 5001000 10005000 5000 图2-5 用户保有网站数量的分布情况 经过统计,当前WAF的用户还存在很大比例未接入防护的资产,在我们调研了一些用户为何不做全资产接入时, 除去成本上的考虑,“主业务已接入,边缘业务无需接入”似乎成为一个标准答复。 企业需要注意信息安全体 系是很典型的木桶效应,安全防护的水位由最薄弱的一环决定,在攻击者的虎视眈眈之下,不受重视的业务由 于年久失修很可能会成为入侵的突破口,然后作为“跳板”绕过企业的网络边界防护,进而使得整个企业内网 沦陷。 53.97% 30.53% 7.34% 6.84% Web攻击态势 15 资产是安全运营的基础支撑能力,合格的安全管理是建立在对于资产全面且精准掌握的基础之上,动态、周期 性的资产监测以及及时的变更预警非常必要,保持对于资产部署分布、业务属性及应用上下游关系等清晰的认 知,才能够将互联网的暴露面持续收敛。 当前网络对抗的自动化程度、攻击探测的时效性都在逐步提高,如果攻击者比企业更了解自身的业务属性,那 么就会落入非常被动的局面。应用指纹是资产画像的重要组成,是网络对抗中的关键基础信息,精准的指纹信 息可以帮助企业在0day漏洞爆发时快速定位影响范围,做到及时止损。 针对应用指纹能力,我们在阿里云WAF上进行了一些探索和实践,先后对数百种主流应用、框架、组件的流量建 模后,依靠被动式指纹学习能力,我们发现近半年易受攻击的开源系统/组件/框架的使用量提升14.79%。 此外丰富的应用指纹信息可以与防护策略深度结合,比如Java站点是不需要匹配PHP相关策略,再进一步结合 策略的自动编排能力,使用Gitlab的站点会优先匹配Gitlab相关漏洞防护策略,其次才是通用防护策略。这种 机制在有效实现引擎“减负”提升检测性能的同时,也可以降低检测误报,实现规则上的自适应与千站千面。 2.2 易受攻击的开源系统/组件/框架的使用趋势有所上升 图2-6 应用资产指纹词云 Web攻击态势 16 阿里云应急响应团队通过对上半年的应急响应事件进行分析发现,主流Web应用的高危漏洞类型依然是反序列 化攻击,其中又因为Java语言使用的广泛性,导致Java平台的反序列化漏洞远超过平台的反序列化漏洞。 今年上半年的漏洞Java反序列化如下图所示: 其中Fastjson爆出多次高危漏洞,包括远程代码执行,SSRF,拒绝服务等漏洞。Fastjson更新了恶意类黑名 单,这些恶意类可以在开启autoType且存在于目标服务器CLASSPATH时,被利用于JNDI注入方式的远程命 令执行,但随后爆出了利用Fastjson白名单类进行远程命令攻击的方式,以及远程DoS攻击漏洞。因此在 Fastjson 1.2.68及之后的版本(包括安全修复版本sec10)中,新增了safeMode模式,全局反序列化功能的 开关,开启后则禁用了反序列化功能)。 2.3 反序列化漏洞持续上涨 图2-7 JAVA反序列化远程命令执行漏洞 5 10 15 20 25 30 0 2019年上半年 2019年下半年 2020年上半年 Web攻击态势 17 03 ENTERPRISE SAFETY CONSTRUCTION GUIDE 企业安全建设指南 随着安全越来越受到重视,很多公司都开始组织自己定期的红蓝对抗来检验自身防护系统在真实攻击场景下的 防护水位,在重大的纪念日、活动等场合也会面临安全重保的场景。接下来我们也把护航云上千万客户的经验 及多年来保障阿里巴巴经济体安全的积累,从流量安全的视角,沉淀并总结出的一些经验分享给读者。 组织专业渗透测试 强化安全防护能力 制定应急响应预案 模拟攻防 对抗演练 梳理业务 资产风险 图3-1 安全建设实践 安全建设指南 18 1、梳理业务资产风险 资产是安全管理体系中最基础、最重要的载体,同时也是业务系统中最基本的组成单元。从安全攻防的角度来 说,资产即意味着攻击面。在历史上发生的各类安全事件中,攻击者从一些老旧废弃的网络站点或弱口令发起 攻击,并逐步深入内网,或是利用一些许久没有做过补丁升级的应用组件的历史漏洞直接实现远程控制的案例 屡见不鲜。类似木桶效应,资产中最薄弱的环节将直接决定整体安全防护水位。 阿里云安全运营中心建议您定期做全面彻底的业务资产及风险梳理,从所拥有的各类设备设施,到开放的端口 服务,再到采用的框架组件、口令密钥等,尽可能的清楚详细。结合梳理的资产信息,您可以进行业务风险的 修复和整改,关闭不必要的应用服务,如测试站点、已经废弃的网络服务等;删除无用账号、加强账户及权限 控制;修复历史漏洞,整改不规范的业务逻辑等。此外,还需要基于资产风险梳理的结果进行全局视角的防护 体系管理和风险预警。例如结合资产信息,发现遗漏未接入WAF防护的域名;或新漏洞出现时,关联资产信息 进行及时的告警响应等。 2、组织专业的渗透测试 漏洞是安全攻防对抗过程中最核心的要素,也是决定企业单位安全水位重要的因素之一。世界上不存在没有漏 洞的系统,安全人员要做的就是不断的发现自身业务的缺陷,提升攻击的门槛、成本和难度。 阿里云安全运营中心建议企业单位定期或在重大活动之前组织专业的安全人员进行渗透测试,以尽可能的发现 自身存在的各种漏洞或安全威胁。渗透测试是一种模拟黑客进行网络攻击的正义行为,其目的是提前于黑客发 现系统中存在的各类漏洞风险,并及时进行修补避免后续被攻击者非法利用。测试期间,企业单位尽量配合专 业的渗透测试人员并提供所需的账号、权限(如加白测试IP、提供测试账号等),以保障最终测试的效果。在 渗透测试完成后,应尽快组织相关人员依据渗透测试报告及安全专家的相关建议修复或改进存在的各种漏洞及 风险。 3、强化安全防护能力 安全防护能力主要是指系统对于恶意攻击或威胁的检测拦截及响应能力,其直接决定着企业单位整体的安全水 位。通常情况下,企业单位的安全防护能力主要由各类安全设备、产品及机制构建而成,常见的如防范大流量 攻击的高防、保护Web服务安全的WAF等。本节内容主要从流量安全的视角,对安全能力的强化给出一些建 议。 安全建设指南 19 应用站点接入高防、WAF等代理型流量安全产品进行大流量或Web攻击防护后,理论上所有流量都会先经过 相关安全产品,进行清洗或处理,在检测并拦截掉攻击流量后,再将正常请求转发至源站.如果相关站点没有配 置源站保护,则攻击者极有可能绕过安全设备直接对源站发起攻击。以WAF保护的Web站点为例,应配置源 站服务器仅允许WAF回源IP段进行访问,并阻断一切来自其他非预期IP的访问流量。 3.1 设置源站保护 安全策略主要用于检测和阻断访问流量中的攻击请求,常见的有各种特征库、防护规则、检测模型等。在重保 等场景下,我们建议在不影响正常业务运转的前提下,配置和使用最严格的防护策略。 以Web站点为例,如果网站某些接口的参数内容十分规范,例如参数值均为标准的字母或数字,则针对这些接 口,可以直接配置拦截单引号等特殊字符的超严格策略。这类严格策略的配置为避免影响正常业务,可先以观 察模式运行一段时间,观察无误后再切换至拦截状态使用。 除对攻击内容进行检测外,还可以加强对攻击行为的自动化检测和封禁。例如,某IP在一段时间内攻击超过一 定次数后,直接自动封禁该IP,避免攻击者进行漏洞扫描或不断的攻击尝试。同样,这类封禁策略在重保期间 可以较日常调整的更加严格,如一分钟五次等,并将封禁时间尽可能拉长,通过这种强防护机制来提高攻击者 的攻击成本,尽可能不给攻击者尝试挖掘漏洞的机会。 3.2 配置严格策略 攻击者 攻击者 攻 击 流 量 ,被 W A F 阻 断 源站泄露,直接攻击源站 正常用户 WAF 源站 图3-2 WAF源站保护策略 安全建设指南 20 严格的防护规则在某些场景下可能会对业务产生误伤,此时需要安全人员和业务方共同进行评估,如果能够以 改进业务的方式规避,则尽可能保留防护策略;如若不行,也可以考虑通过其他方式如白名单等机制进行规避。 总之,要在不影响业务的前提下,尽可能采用最严格的防护策略。 在高强度对抗的场景下,是否具备面对复杂攻击流量的检测能力,是决定攻防成败的重要因素之一。面对经过 多重编码的攻击载荷,是否具备相应的解码能力,可以准确还原攻击内容;对于采用加密方式进行通信的数据 流量,是否具备解密还原能力,能够检测被加密的攻击数据;在面对0day漏洞的攻击时,是否还拥有有效的检 测手段,能够识别并阻断攻击。 随着业务复杂度的不断提高和攻防对抗的不断升级,安全检测能力也需要不断的丰富和加强。企业单位在建设 安全防护能力时,需要重点考虑当前的检测能力是否能满足自身的业务需求以及应对复杂的攻击场景。 3.3 提升检测能力 日志主要用于记录访问流量数据、操作行为数据等,对于事中的观察分析和事后的溯源追踪具有十分重要的意 义。健全的安全防护体系应具备完善的日志记录及分析能力。在安全运维过程中,技术人员可以通过分析访问 日志,发现正在进行中的攻击行为,并及时跟进监测;也可以在攻击事件发生后,基于日志数据进行深入分析, 挖掘并还原整个攻击事件以及攻击者的入侵链路,甚至是对攻击者进行溯源追踪。完善的日志记录及分析能力, 是防守方反制攻击者的强有力武器之一。 4、制定应急响应预案 安全攻防对抗的过程中,几乎不可避免的会出现一些需要紧急响应的事件。如某服务器被攻击者入侵并获得了 控制权,或者突然爆出了系统中正在使用的某框架的远程代码执行漏洞。在这类场景下,如何快速响应处理需 要各企业单位相关人员提前思考,并制定应急响应预案。以某网站组件突然被爆远程代码执行漏洞,并已被攻 击者利用成功为例,此时安全人员需要及时的登陆相关服务器或设备进行处理。可是,安全人员是否已拥有该 服务器登陆所需的账号密码;如果没有,该服务器的相关负责人是谁,该如何取得联系;涉及的权限审批流程 需要多久?这些问题,都需要在攻防对抗开始前进行梳理,并制定预案。 以上就是阿里云安全运营中心对2020上半年流量安全攻击态势的解读,希望能给各公司企业的安全人员带来一 定的参考,共同提升互联网的安全水位。 3.4 完善日志分析 安全建设指南 21 保障千万企业云上安全
