概述
云盾互联网应用威胁报告聚焦在互联网用户面临的Web应用层攻击、面向互联网系统的暴力破解以及恶意文件三个方面的威胁形势。
阿里云是国内最大的公共云计算服务提供商。阿里云安全团队依托阿里云云盾系统为用户提供Web应用层攻击防护服务。阿里云安全团队通过对阿里云云计算服务平台、互联网用户和阿里集团系统的安全防护,以及对网络攻击持续的分析与研究,发布第三季度云盾互联网应用威胁报告。
Web应用攻击
在2015年第三季度,Web攻击数量整体呈上升趋势,阿里云云盾系统每周拦截数千万次的Web应用攻击。威胁形势的加剧很大程度上源于自动化攻击工具越来越多,通过互联网广泛传播。黑客对网站发起攻击变得越来越容易。
通过对海量攻击拦截日志的分析发现,SQL注入攻击仍然占据所有Web攻击的半壁。Web应用存在漏洞也是威胁的主要原因。黑客工具自动化程度高是SQL注入攻击泛滥的客观因素,黑客大量采用诸如SQLMAP等工具进行扫描。
对攻击者进行地域分析,攻击来源多发地为江苏省、北京市和香港特别行政区。
暴力破解攻击
暴力破解也是黑客普遍采用针对云服务器的攻击手法。
云盾监控系统显示,第三季度阿里云平台每天遭受数亿次的暴力破解攻击,峰值发生在9月份上旬。其中,针对FTP应用的暴力破解攻击数量占暴力破解总数量的近一半。黑客针对FTP的破解攻击已经十分成熟和普遍。
从发起暴力破解的地域分布统计来看,排在第一位的是江苏省,广东省和浙江省位居二、三名。
此外,从黑客发起暴力破解的时间区间来看,在凌晨0点至6点时间段内,黑客发动暴力破解攻击的次数最多。研究人员认为,黑客更倾向选择深夜时候发起攻击,这个时间区间内防御一方的监控能力相对较白天更为薄弱。
恶意文件
云盾平台上每天都会发现大量的网页木马和主机恶意软件。在第三季度,平均每天监控的网页木马数量数以百计。黑客以恶意软件作为跳板,进一步入侵和获取主机上的敏感信息,或安装恶意软件对其他用户发起网络攻击。
从网页木马的文件类型上看,PHP木马占总量的56%,其次是ASP。由此可以推断,云平台上PHP类型的网站较多,网站防护功能较弱,更容易被黑客入侵。
云盾流量监控平台每天截获的一句话Webshell访问记录都在数百万次,经过分析发现访问记录指向的URL地址普遍是不存在的。出现这样的情况,很可能是黑客在对自动化getshell工具产生Webshell进行暴力扫描,因为一旦访问成功就意味着获取到该网站的权限。
通过流量分析,安全研究人员把扫描常用的Webshell密码进行了统计,获得如下结果,其中字体越大说明使用频率越高:
可以看到,出现次数最多的密码是511348、-7等,这些密码都来自于DedeCMS早期的getshell漏洞。经过安全研究人员的进一步分析,发现互联网上利用这个漏洞的自动化攻击工具流传非常广泛,但这些工具有一个缺点,攻击成功后产生的Webshell密码是固定的。相对于其它高危漏洞,黑客更热衷于选择这个成功率最高的漏洞作为目标,因此这几个密码最受欢迎。
然而从校验结果上看,上述几个密码对应的Webshell真实存在的并不多,因此黑客的成功率并不高。这说明了直接探测一句话木马的成功率是很低的。
案例
2015年9月7日,阿里云安全团队在对一起用户系统入侵事件进行溯源过程中,发现用户的LuManager系统存在安全漏洞,黑客利用该漏洞可绕过正常登录逻辑直接获取系统权限。
经过技术确认,该漏洞有效且属于0day漏洞。安全人员迅速在第一时间联系厂商并告知漏洞细节,并协助修复。与此同时,云盾弱点分析系统在10分钟内迅速定位受影响的云主机,启动用户修复通告流程。Web攻击防护规则也同步上线,对0day漏洞进行防护。
9月8日上午厂商给出了官方修复方案,云盾安全人员通过云盾安骑士提醒受影响用户进行修复。9月8日晚上23点厂商发布更新修复漏洞,并对云盾团队表示感谢。
在2015年第三季度,阿里云安全团队进行了多次高危漏洞的应急响应,成功在漏洞被大范围利用之前协助用户进行漏洞修复,并在第一时间上线相应的Web防护规则对阿里云用户进行全面的防护。其中部分漏洞来自云盾先知计划,以及云盾研究人员发现的0day漏洞。
* 作者:阿里安全(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)