快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

2015第三季度云盾互联网应用威胁讲演

概述

云盾互联网应用威胁讲演聚焦在互联网用户面临的Web应用层攻击、面向互联网体系的暴力破解和恶意文件三个方面的威胁形式。

阿里云是国内最大的公共云计算服务提供商。阿里云安全团队依托阿里如斯盾体系为用户提供Web应用层攻击防护服务。阿里云安全团队通过对阿里如斯计算服务平台、互联网用户以及阿里集团体系的安全防护,和对收集攻击持续的阐发与研究,发布第三季度云盾互联网应用威胁讲演。

Web应用攻击

在2015年第三季度,Web攻击数量总体呈上升趋向,阿里如斯盾体系每一周拦截数千万次的Web应用攻击。威胁形式的加重很大程度上源于自动化攻击工具越来越多,通过互联网广泛传播。黑客对网站提议攻击变得越来越容易。

2015第三季度云盾互联网应用威胁报告 - |

图1 Web应用攻击趋向

通过对海量攻击拦截日记的阐发发现,SQL注入攻击仍旧盘踞所有Web攻击的半壁。Web应用存在漏洞也是威胁的首要缘故起因。黑客工具自动化程度高是SQL注入攻击泛滥的主观身分,黑客大批采用诸如SQLMAP等工具进行扫描。

2015第三季度云盾互联网应用威胁报告 - |

图2 Web应用攻击类型

攻击者使用频率最高的漏洞为各支流框架/CMS漏洞,包括DedeCMS应用的getshell漏洞、Tomcat后台弱口令漏洞、Struts命令执行漏洞和FCKeditor上传漏洞。

对攻击者进行地域阐发,攻击来源多发地为江苏省、北京市以及喷鼻港特别行政区。

2015第三季度云盾互联网应用威胁报告 - |

图3 Web攻击来源分布

暴力破解攻击

暴力破解也是黑客普遍采用针对云服务器的攻击伎俩。

云盾监控体系显示,第三季度阿里云平台每天遭遇数亿次的暴力破解攻击,峰值发生在9月份上旬。其中,针对FTP应用的暴力破解攻击数量占暴力破解总数量的近一半。黑客针对FTP的破解攻击已经十分成熟以及普遍。

2015第三季度云盾互联网应用威胁报告 - |

图4 暴力破解攻击分布

从提议暴力破解的地域分布统计来看,排在第一位的是江苏省,广东省以及浙江省位居二、三名。

2015第三季度云盾互联网应用威胁报告 - |

图5 暴力破解攻击源分布

此外,从黑客提议暴力破解的时间区间来看,在凌晨0点至6点时间段内,黑客发动暴力破解攻击的次数至多。研究人员认为,黑客更偏向选择深夜时辰提议攻击,这个时间区间内防御一方的监控能力相对于较日间更为薄弱。

恶意文件

云盾平台上每天都会发现大批的网页木马以及主机恶意软件。在第三季度,平均每天监控的网页木马数量数以百计。黑客以恶意软件作为跳板,进一步入侵以及获取主机上的敏感信息,或装置恶意软件对其他用户提议收集攻击。

导致体系被恶意入侵的众多缘故起因中,弱口令漏洞是最首要的懦弱性,包括FTP弱口令,经常使用CMS的后台弱口令,数据库弱口令以及体系弱口令。 此外,文件上传漏洞以及命令执行漏洞也是网站遭入侵的常见缘故起因。

2015第三季度云盾互联网应用威胁报告 - |

图6 体系懦弱性阐发

从网页木马的文件类型上看,PHP木马占总量的56%,其次是ASP。由此可以推断,黑客漏洞,云平台上PHP类型的网站较多,网站防护功能较弱,更易被黑客入侵。

2015第三季度云盾互联网应用威胁报告 - |

图7 网页木马类型分布

黑客最喜好的Webshell治理工具是“中国菜刀”。不论是用来治理Webshell,照样在自动化getshell工具中模仿“中国菜刀”进行连接,“中国菜刀”在被云盾拦截的木马通讯中出现的次数至多。

云盾流量监控平台每天截获的一句话Webshell走访记录都在数百万次,经过阐发发现走访记录指向的URL地址普遍是不存在的。出现如许的情形,很多是黑客在对自动化getshell工具产生Webshell进行暴力扫描,因为一旦走访成功就象征着获取到该网站的权限。

通过流量阐发,安全研究人员把扫描经常使用的Webshell暗码进行了统计,获得以下效果,其中字体越大说明使用频率越高:

2015第三季度云盾互联网应用威胁报告 - |

图8 Webshell探测经常使用暗码

可以看到,出现次数至多的暗码是51134八、-7等,这些暗码都来自于DedeCMS早期的getshell漏洞。经过安全研究人员的进一步阐发,发现互联网上行使这个漏洞的自动化攻击工具撒播无比广泛,但这些工具有一个瑕玷,攻击成功后产生的Webshell暗码是固定的。相对别的高危漏洞,黑客更热衷于选择这个成功率最高的漏洞作为目标,因此这几个暗码最受欢迎。

然而从校验效果上看,上述几个暗码对应的Webshell真实存在的并不久不多,因此黑客的成功率并不高。这说明晰直接探测一句话木马的成功率是很低的。

案例

2015年9月7日,阿里云安全团队在对一块儿用户体系入侵事故进行溯源过程中,发现用户的LuManager体系存在安全漏洞,黑客行使该漏洞可绕过正常登录逻辑直接获取体系权限。

经过手艺确认,该漏洞有用且属于0day漏洞。安全人员迅速在第一时间联系厂商并告知漏洞细节,并协助修复。与此同时,云盾缺陷阐发体系在10分钟内迅速定位受影响的云主机,启动用户修复通告流程。Web攻击防护规则也同步上线,对0day漏洞进行防护。

9月8日上午厂商给出了官方修复方案,云盾安全人员通过云盾安骑士提醒受影响用户进行修复。9月8日晚上23点厂商发布更新修复漏洞,并对云盾团队表示谢谢。

在2015年第三季度,阿里云安全团队进行了多次高危漏洞的应急响应,成功在漏洞被大范围行使之前协助用户进行漏洞修复,并在第一时间上线相应的Web防护规则对阿里云用户进行周全的防护。其中部分漏洞来自云盾先知计划,和云盾研究人员发现的0day漏洞。

* 作者:阿里安全(企业账号),

您可能还会对下面的文章感兴趣: