聲明:本報告版權屬於威脅獵人情報中心,並受法律保護。轉載、摘編或利用其它方式使用本報告文字或者觀點的,應註明“來源:威脅獵人”。違反上述聲明者,將追究其相關法律責任。
一、報告背景
自2005年亞馬遜發佈AWS伊始,雲計算曆經十數年的發展,已被廣泛應用於各個領域,雲計算支出在全球IT支出中的比例不斷提升,並形成了一個新興的、高達數千億美元的全球市場。
在國內,2009年成立的阿里雲引領了雲計算風潮。在完成一定的技術積累和客戶普及教育後,目前,我國的雲計算產業已進入一個較長的高速增長期,在國家政策的大力扶持下,加之阿里雲、騰訊雲等大型公有云廠商的大力推動,我國雲計算市場的規模急劇擴張,網絡效應和規模效應明顯放大,並已成爲我國IT產業一個新的高速增長點。
然而,在各個公有云廠商努力開疆拓土,打造各自的雲計算帝國的同時,雲上資產的合規性問題也日益凸顯:
一方面,越來越多的互聯網企業和傳統企業依託公有云廠商提供的服務開展業務或進行數字轉型,企業的數字資產正在向雲上集中,雲上資產的安全與合規顯得尤爲重要。而公有云廠商在某種程度上已經與上雲企業形成了責任共擔關係:上雲企業必須依託公有云廠商在基礎設施、平臺乃至軟件層面提供的安全能力來構建雲上業務的安全體系,公有云廠商在安全和合規層面也承擔了比傳統的IDC廠商和網絡運營商更多的責任和義務,安全與合規能力的輸出也已成爲其核心競爭力之一。
另一方面,雲計算本身的開放性、便捷性、多樣性、高性價比,以及公有云廠商在安全方面的努力,不僅吸引着正常的企業用戶,同樣也吸引着網絡黑灰產從業者:越來越多的網絡黑灰產通過購買公有云服務,將用於×××、詐騙、引流的網站和服務器置於雲中,進一步降本提效。同時,還可利用公有云提供的安全能力與企業和安全廠商進行對抗。這迫使公有云廠商必須加強對雲上資產的合規審計能力,做到及時、準確地識別雲上資產及服務的違規、濫用行爲,強化對公有云內容和行爲安全的管控力度,承擔起相應的社會責任。
有鑑於此,威脅獵人依託自身的黑灰產流量布控能力,結合戰略合作伙伴金山毒霸提供的惡意網站感知數據,對公有云雲上資產的合規現狀進行了深入的調研分析,通過大量的一手數據,形成了《國內公有云雲上資產合規現狀報告(2018年上半年)》,旨在闡明國內公有云在雲上資產合規審計領域面臨的現狀及問題,爲國家相關監管機構和公有云廠商提供參考。
二、基本概念
1、報告中涉及到的基本概念及術語
(1)撞庫:撞庫×××指的是×××通過收集互聯網上已泄露的用戶賬戶信息,生成對應的字典表,再利用部分用戶相同的註冊習慣(即使用相同的用戶名和密碼),嘗試登陸其它的網站或應用,以獲取新的可利用賬戶信息。
(2)爬蟲:爬蟲又稱爲網頁蜘蛛,是一種按照既定規則,自動抓取網絡上的指定信息的程序或腳本,可分爲遍歷爬取網頁超鏈接的網頁爬蟲和構造特定 API 接口請求數據的接口爬蟲兩類。
(3)蜜罐:蜜罐(Honeypot)是指被當***誘餌,引誘×××前來×××已收集相關證據信息的軟件系統。依照蜜網項目組(The Honeynet Project)的定義,蜜罐是一種安全資源,其價值在於被探測、被×××或被攻陷。
(4)網絡釣魚:網絡釣魚是構造帶有欺騙性的電子郵件或僞造的Web站點,以吸引受害者提交敏感信息,或向目標傳遞並植入惡意程序的一種社會工程×××方式,常被用於執行網絡欺詐和網絡***。按照×××載體,網絡釣魚可分爲網站釣魚、郵件釣魚、短信釣魚、IM社交釣魚、移動APP釣魚等類型。
(5)DDoS×××:即分佈式拒絕服務×××。一般來說,DDoS×××會利用“肉雞”對目標網站在較短的時間內發起大量合法請求,以消耗和佔用目標的網絡和主機資源,迫使其無法正常提供服務。
(6)殭屍網絡:殭屍網絡(Botnet)是×××者出於惡意目的,傳播殭屍程序bot以控制大量計算機,並通過一對多的命令與控制信道所組成的網絡。需注意的是,這個網絡並非物理意義上具有拓撲結構的網絡。
(7)暗網:暗網(DarkWeb)是指統稱那些只能用特殊軟件、特殊授權或對電腦做特殊設置才能連上的網絡,使用一般的瀏覽器和搜索引擎找不到暗網的內容。
2、數據來源及取樣說明
數據來源說明
本報告的主要數據來源包括:
(1)內容類數據;通過定向監控手段(雲清平臺)獲取的違規/惡意網站及其內容數據。
(2)樣本類數據:通過廣譜監控手段(TH-Karma平臺)獲取的黑灰產工具樣本。
(3)流量類數據:通過蜜罐監控手段(TH-Karma平臺)獲取的黑灰產×××流量數據。
(4)黑IP/域名類數據:通過第三方合作、蜜罐監控手段(雲清平臺及TH-Karma平臺)獲取的黑IP/域名數據。
(5)其他類數據:通過其他第三方合作和監控手段獲得的雲主機安全相關數據,包括但不限於上述的數據類型。
數據取樣說明
本報告的數據取樣主要採取以下幾種方式:
(1)關鍵詞取樣:根據特定的關鍵詞及關鍵詞組合,從全集數據中提取與特定分析對象或特定分析場景有關的數據子集。主要用於數據統計或趨勢分析。
(2)相似度採樣:根據文本或樣本數據的相似度,從全集數據中提取具有較高相似度的數據子集。主要用於數據分類統計或案例分析。
(3)隨機採樣:對未知類型或內容數據進行簡單隨機採樣,抽樣比例根據具體的分析場景決定,主要用於情報線索發現或關鍵詞校驗。
(4)分層採樣:對已知工具/事件數據按既定的標籤規則分爲若干子集,對每個子集中的數據隨機抽取部分數據進行分析,抽樣比例根據具體分析場景決定,主要用於案例分析或關鍵詞校驗。
我們認爲我方採集的非全量數據樣本,在概率上符合一定的數據取樣準則,基於相關數據樣本的分析結果,在趨勢分析和分類統計上與實際情況不會存在太大的偏差值。對於受限於數據獲取的渠道、數據本身的變化、抽樣概率的限制及樣本噪點的影響等所導致的偏差,我們會採取人工經驗判斷方式進行修正,這部分數據我們會加以註明。
三、針對公有云的網絡×××威脅
基於威脅獵人自有的黑灰產×××流量監控數據,我們從中專門提取了針對公有云的各類×××數據。從中可以看出,2018年上半年(2018年01月-06月)間,以國內各大公有云的雲上應用和雲主機爲目標的網絡×××整體呈明顯上升趨勢,威脅類型以機器人、撞庫×××爲主,針對雲主機、域名和郵箱等資源的業務灰產仍大量存在。
1、×××總次數整體呈上升趨勢
通過對相關×××行爲按月進行次數統計,我們可以看到,在排除2月份春節期間大規模企業營銷活動所造成的數據樣本偏差影響後,黑灰產對公有云的×××次數呈明顯的上升趨勢。
2、阿里雲、騰訊雲遭受×××最多
在國內公有云廠商中,針對阿里雲的×××次數佔比最高,達55.32%,針對騰訊雲的×××次數佔比居第二,爲27.34%,其他依次是UCLOUD、華爲雲、青雲、百度雲、金山雲、京東雲。這與國內公有云廠商的市場份額佔比排名基本趨同(此處忽略了部分公有云廠商較細微的市場份額差異)。
值得注意的是,如果按月統計×××次數佔比,阿里雲和騰訊雲的佔比在大多數月份都呈小幅上升趨勢(排除2月份春節的數據樣本偏差影響),這也與公有云市場份額的集中化趨勢基本趨同。
3、超五成×××爲機器人所爲
通過對×××流量中行爲特徵的提取,我們發現,超過五成的×××爲機器人所爲。這些機器人中絕大部分用來執行互聯網掃描或漏洞利用動作,其中大部分(超過70%)爲最爲常見的批量端口掃描器,約兩成源自針對特定目標的自動化漏洞掃描與利用工具(如Struts2-045/048系列漏洞),另有約一成應與國家監管部門、安全廠商和科研機構的互聯網資產探測類系統有關。此外,還有極少部分機器人是針對公有云企業郵箱的註冊機。
此外,我們還發現一個有趣的現象,自動化掃描或漏洞利用類機器人中約三成的流量源頭指向了美國弗吉尼亞州阿什本,即亞馬遜AWS雲計算園區所在地,且有逐月遞增趨勢。我們推斷,由於國內網絡安全監管趨嚴,黑灰產活動的部分基礎設施正逐步向國外轉移。
4、撞庫×××整體呈上升趨勢
除自動化掃描或漏洞利用行爲外,有14.36%的×××行爲爲撞庫×××。對此類×××行爲按月進行次數統計,可以看到有明顯的上升趨勢(排除2月份春節的數據樣本偏差影響)。
此外,我們還發現,三成左右的撞庫×××使用了重疊度較高的新的字典庫,疑似與我們在2018年上半年監控到的數起社工庫地下交易事件有關。考慮到從數據泄露到流出至暗網、Q羣、Telegram羣等進行小範圍交易,再到大規模散播的時延一般在三到六個月左右,我們可以推斷,到2018年下半年,撞庫×××將進一步增加。
5.公有云業務灰產依舊活躍
通過對“TH-Karma”平臺採集的黑灰產數據進行分析,我們發現針對公有云各類優惠活動的薅羊毛活動仍然活躍。典型的有:通過批量刷阿里雲、騰訊雲和美團雲學生機優惠再進行轉租轉售,或是批量代過阿里雲和騰訊雲域名實名認證,或是通過郵箱註冊機批量註冊公有云企業郵箱等等。我們認爲,這類活動已形成較爲完整的“產-銷-用”灰產鏈條,爲其他黑灰產活動提供基礎設施支撐。
6、數據分析補充說明
受限於數據獲取的渠道及樣本噪點的影響,我們的監控渠道對DDoS×××和爬蟲兩類×××的捕獲率偏低,導致在數據統計結果中這兩類×××次數低於我們的經驗預期,無法判斷其趨勢走向,故在本報告中不對此做詳細分析。但從我們獲取的黑灰產交易數據來看,近6個月針對阿里雲和騰訊雲服務器的DDoS×××空單(即沒人接單或接單完不成)量明顯增多,側面反映了阿里雲、騰訊雲等雲廠商在抗DDoS方面的努力已有一定成效。
四、來自公有云的網絡×××威脅
同樣基於威脅獵人自有的黑灰產×××流量監控數據,我們從中專門提取了來自公有云的各類×××數據。可以看到,2018年上半年(2018年01月-06月)間,相關網絡×××行爲無明顯增長,整體趨於平穩,威脅類型以機器人、撞庫爲主,業務層面的×××行爲有明顯增加。
1、×××總次數整體趨於平穩
通過對相關×××行爲按月進行次數統計,我們可以看到,在排除2月份春節期間大規模企業營銷活動所造成的數據樣本偏差影響後,從公有云主機發起的×××次數無明顯增長,基本趨於平穩。
2、從阿里雲、騰訊雲發起的×××最多
在國內公有云廠商中,從阿里雲主機發起的×××次數佔比最高,達60.65%,從騰訊雲主機的×××次數佔比居第二,爲23.51%,其他依次是金山雲、UCLOUD、華爲雲、百度雲、京東雲。
若按月統計×××次數佔比,阿里雲和騰訊雲的佔比在大多數月份都呈一定幅度的上升趨勢(排除2月份春節的數據樣本偏差影響)。究其原因,我們認爲這與阿里雲、騰訊雲在2018年上半年的一系列促銷優惠活動有關:諸如前述的學生機,以及老客戶6元機等雲主機資源被越來越多的黑灰產用於對外發起×××。
3、機器人中註冊佔比上升
通過對×××流量中行爲特徵的提取,我們對在所有×××類型中佔比高達54.73%的機器人進行了類型細分和統計。結果顯示,與3.3中機器人中掃描或漏洞利用類工具佔絕大多數的類型分佈有所不同的是,從公有云主機發起的機器人行爲中約有超三成(31.84%)爲各類註冊機(如郵箱註冊機、賬號註冊機等)所爲,另有近一成(9.50%)爲各類外掛工具(如紅包外掛、遊戲外掛等)。由此可見,公有云主機較之傳統IDC機房更高性價比和安全性,使得注重成本和自我保護的黑灰產正在將部分服務類業務向公有云遷移。
4、超三成×××爲撞庫且仍會增長
同時,我們還發現,超過三成(33.67%)的×××均爲撞庫×××,且逐月呈現一定幅度的上升趨勢(排除2月份春節的數據樣本偏差影響)。結合前文中3.4章節的分析結果,我們可以推斷,到2018年下半年,從公有云主機對外發起的撞庫×××將進一步增加。
5、數據分析補充說明
受限於數據獲取的渠道,我們的監控渠道無法準確判斷被用於對外×××的雲主機中哪些是最初目的就是用於黑灰產×××,哪些又是被黑後的失陷主機,而單純基於DGA域名規則進行判斷也存在一定的侷限性,且相應的數據統計結果遠低於我們的經驗預期。因此,在本報告中不對這一方面做詳細分析。
五、被忽視的雲上內容合規問題
結合金山毒霸在端上的惡意站點感知數據,以及威脅獵人採集的黑灰產活動數據,我們發現,除了前述各類網絡×××威脅外,公有云廠商還面臨較嚴重的雲上內容合規問題:大量惡意、違規網站利用公有云部署便捷、性價比高和防護能力強的特點,在公有云上搭建並對外開展網絡×××、網絡×××、網絡釣魚、網絡傳銷、內嵌挖礦等非法活動。
1、雲上網絡×××類的佔比最高
2018年上半年(2018年01月-06月)間的監控數據顯示,雲上的惡意、違規網站中,與網絡×××相關的佔比最高,高達75.38%。尤其是受到6月世界盃的影響,有大量足球類×××在6月集中上線,並有大量雲上的正常網站被批量植入帶有×××內容的暗鏈和頁面。預計到7月份世界盃結束,網絡×××類的佔比將回落到正常水平(預估約在50%-60%間)。
2、雲上網絡×××類大多意在欺詐
通過數據取樣分析,我們發現,公有云中網絡×××類大多都與網絡欺詐活動相關。一般操作手法是:先借助廣告、社交軟件引流等方式,利用誘惑性視頻或圖片將用戶吸引至網站,再誘導用戶進行充值,但大多並不提供相應的服務,是一種典型的網絡欺詐行爲。
這類網站爲了躲避監管,大多都會利用低價的批量域名和雲主機資源,每隔1-3天隨機切換域名和主機。這種操作手法在雲上的網絡釣魚活動中也大量出現。
3、雲上網絡釣魚類玩法多樣
我們通過對各公有云中網絡釣魚類非法內容的數據統計發現,釣魚網站最常見的仿冒網站類型分別是:銀行、遊戲、電商、P2P金融、×××。
通過結合黑灰產交易渠道監控數據的關聯分析,我們發現銀行類釣魚網站存在以下兩大特徵:一是呈現一定週期性的出現規律,二是與地下黑市的一些銀行賬戶和個人隱私交易事件存在較大關聯性,這都說明從事相關活動的多爲固定團伙,活躍週期多在1個月左右。
P2P金融類是之前較少出現的一類釣魚網站,這與近幾年持續的理財熱有關。有趣的是,我們發現有少部分此類釣魚網站竟然是利用近期大量P2P金融“爆雷”潮,通過微信、QQ和論壇的維權羣誘騙期望追回錢財的人到虛假網站上填寫個人信息,或是進一步騙取金錢。
×××類釣魚網站同樣受世界盃的影響出現激增現象,預計世界盃結束後會有所回落。
4、傳銷類屢禁不止
通過數據分析發現,雲上的網絡傳銷類站點大多以所謂“現金平臺”、“網上微商”、“網上兼職”等形式出現,並引流至相應的傳銷微信羣、QQ羣、論壇或線下集會。
值得注意的是,隨着數字貨幣的大熱,主打“交易即挖礦”等新興概念的網絡傳銷也正在興起,並與一些網絡欺詐行爲相結合,已誘使不少人深陷其中。
寫在最後:
在雲計算普及的當下,各大雲計算服務提供商也承擔着重要的角色,對違規內容和業務的審計能力也成爲雲計算服務提供商的標準能力。除了各大雲計算廠商自身的投入之外,行業的聯動及第三方服務提供商的能力合入也在提升整體安全審計效率。互聯網生態快速變化過程中,安全體系的迭代存在更大壓力。