雷鋒網(wǎng)編者按：云計算本身的開放性、便捷性、多樣性和高性價比，不僅吸引著眾多的企業(yè)用戶，同樣也吸引著網(wǎng)絡黑灰產(chǎn)從業(yè)者?，F(xiàn)在，越來越多的網(wǎng)絡黑灰產(chǎn)通過購買公有云服務，將用于攻擊、詐騙、引流的網(wǎng)站和服務器置于云中，進一步降本提效。同時，還可利用公有云提供的安全能力與企業(yè)和安全廠商進行對抗。7月27日，威脅獵人聯(lián)合金山毒霸對外發(fā)布了針對公有云的惡意網(wǎng)站感知數(shù)據(jù)，對公有云云上資產(chǎn)的合規(guī)現(xiàn)狀進行了調(diào)研分析。

本文為威脅獵人投稿，雷鋒網(wǎng)編輯。

在2018年上半年（2018年01月-06月）間，以國內(nèi)各大公有云的云上應用和云主機為目標的網(wǎng)絡攻擊整體呈明顯上升趨勢，威脅類型以機器人、撞庫攻擊為主，針對云主機、域名和郵箱等資源的業(yè)務灰產(chǎn)仍大量存在。

攻擊總次數(shù)整體呈上升趨勢

通過對相關攻擊行為按月進行次數(shù)統(tǒng)計，我們可以看到，在排除2月份春節(jié)期間大規(guī)模企業(yè)營銷活動所造成的數(shù)據(jù)樣本偏差影響后，黑灰產(chǎn)對公有云的攻擊次數(shù)呈明顯的上升趨勢。

阿里云、騰訊云遭受攻擊最多

在國內(nèi)公有云廠商中，針對阿里云的攻擊次數(shù)占比最高，達55.32%，針對騰訊云的攻擊次數(shù)占比居第二，為27.34%，其他依次是UCLOUD、華為云、青云、百度云、金山云、京東云。這與國內(nèi)公有云廠商的市場份額占比排名基本趨同（此處忽略了部分公有云廠商較細微的市場份額差異）。

值得注意的是，如果按月統(tǒng)計攻擊次數(shù)占比，阿里云和騰訊云的占比在大多數(shù)月份都呈小幅上升趨勢（排除2月份春節(jié)的數(shù)據(jù)樣本偏差影響），這也與公有云市場份額的集中化趨勢基本趨同。

超五成攻擊為機器人所為

通過對攻擊流量中行為特征的提取，我們發(fā)現(xiàn)，超過五成的攻擊為機器人所為。這些機器人中絕大部分用來執(zhí)行互聯(lián)網(wǎng)掃描或漏洞利用動作，其中大部分（超過70%）為最為常見的批量端口掃描器，約兩成源自針對特定目標的自動化漏洞掃描與利用工具（如Struts2-045/048系列漏洞），另有約一成應與國家監(jiān)管部門、安全廠商和科研機構的互聯(lián)網(wǎng)資產(chǎn)探測類系統(tǒng)有關。此外，還有極少部分機器人是針對公有云企業(yè)郵箱的注冊機。

此外，我們還發(fā)現(xiàn)一個有趣的現(xiàn)象，自動化掃描或漏洞利用類機器人中約三成的流量源頭指向了美國弗吉尼亞州阿什本，即亞馬遜AWS云計算園區(qū)所在地，且有逐月遞增趨勢。我們推斷，由于國內(nèi)網(wǎng)絡安全監(jiān)管趨嚴，黑灰產(chǎn)活動的部分基礎設施正逐步向國外轉移。

撞庫攻擊整體呈上升趨勢

除自動化掃描或漏洞利用行為外，有14.36%的攻擊行為為撞庫攻擊。對此類攻擊行為按月進行次數(shù)統(tǒng)計，可以看到有明顯的上升趨勢（排除2月份春節(jié)的數(shù)據(jù)樣本偏差影響）。

此外，我們還發(fā)現(xiàn)，三成左右的撞庫攻擊使用了重疊度較高的新的字典庫，疑似與我們在2018年上半年監(jiān)控到的數(shù)起社工庫地下交易事件有關?？紤]到從數(shù)據(jù)泄露到流出至暗網(wǎng)、Q群、Telegram群等進行小范圍交易，再到大規(guī)模散播的時延一般在三到六個月左右，我們可以推斷，到2018年下半年，撞庫攻擊將進一步增加。

公有云業(yè)務灰產(chǎn)依舊活躍

通過對“TH-Karma”平臺采集的黑灰產(chǎn)數(shù)據(jù)進行分析，我們發(fā)現(xiàn)針對公有云各類優(yōu)惠活動的薅羊毛活動仍然活躍。典型的有：通過批量刷阿里云、騰訊云和美團云學生機優(yōu)惠再進行轉租轉售，或是批量代過阿里云和騰訊云域名實名認證，或是通過郵箱注冊機批量注冊公有云企業(yè)郵箱等等。我們認為，這類活動已形成較為完整的“產(chǎn)-銷-用”灰產(chǎn)鏈條，為其他黑灰產(chǎn)活動提供基礎設施支撐。

數(shù)據(jù)分析補充說明

受限于數(shù)據(jù)獲取的渠道及樣本噪點的影響，我們的監(jiān)控渠道對DDoS攻擊和爬蟲兩類攻擊的捕獲率偏低，導致在數(shù)據(jù)統(tǒng)計結果中這兩類攻擊次數(shù)低于我們的經(jīng)驗預期，無法判斷其趨勢走向，故在本報告中不對此做詳細分析。但從我們獲取的黑灰產(chǎn)交易數(shù)據(jù)來看，近6個月針對阿里云和騰訊云服務器的DDoS攻擊空單（即沒人接單或接單完不成）量明顯增多，側面反映了阿里云、騰訊云等云廠商在抗DDoS方面的努力已有一定成效。

本文為威脅獵人投稿，雷鋒網(wǎng)編輯。

雷峰網(wǎng)特約稿件，未經(jīng)授權禁止轉載。詳情見轉載須知。