DDoS攻擊新趨勢:海量移動裝置成為新一代肉雞
近期,阿里雲安全團隊觀察到數十起大規模的應用層資源耗盡式DDoS攻擊(應用層CC攻擊)。阿里雲DDoS高防實現智慧防護全程自動化檢測並清洗,未對使用者側業務產生任何影響,這類攻擊存在一些共同的特徵,阿里雲安全團隊對此做了跟蹤分析。
幾經溯源發現,這些攻擊事件源於大量使用者在手機上安裝了某些偽裝成正常應用的惡意APP,該APP在動態接收到攻擊指令後便對目標網站發起攻擊。根據阿里雲安全團隊監測的資料顯示,近兩個月,已經有五十餘萬臺移動裝置被用來當做黑客的攻擊工具,達到PC肉雞單次攻擊源規模。不難看出,偽裝成正常應用的惡意APP已讓海量移動裝置成為新一代肉雞,黑灰產在攻擊手法上有進一步升級趨勢。
海量移動肉雞下的DDoS攻擊有哪些新特徵?
通過監測到的資料發現,這類攻擊有以下幾個特點:
- 移動端裝置系統分佈均勻:
iOS系統約佔四成,Android系統六成;
- 攻擊規模和肉雞數量龐大且源IP不固定:
單次攻擊峰值達百萬QPS(每秒請求次數),來源於50多萬個肉雞源IP,且多次攻擊事件之間源IP重合度非常低;
- 攻擊源IP分佈極散:
攻擊源IP分散於全球160餘個國家,近40個運營商,僅中國就有300餘個城市存在攻擊源,且多數分佈在東部及沿海網路發達的省份;
攻擊源分佈地圖
- 攻擊源IP多為基站IP:
近一半的攻擊源IP為行動網路大型基站出口,意味著同一個源IP同時承載了攻擊流量和大量正常使用者流量;
- 攻擊排程無規律:
由於手機連線的網路變化,以及APP的啟動和退出,我們觀測到不斷有新的攻擊源IP加入,超過一半的攻擊源並非在攻擊開始時就發起攻擊,且每個攻擊源IP攻擊持續時間長短不一,單個攻擊源IP請求頻率並不高。
某次攻擊不同攻擊持續時長的IP量及請求量
限速和黑名單在PC肉雞時代曾是“一鍵止血”的防禦方式。但以偽裝成正常應用的惡意APP方式發起的攻擊,由於移動裝置遠活躍於PC裝置,哪怕是一個小眾的APP,數量都相當龐大。即使單臺肉雞裝置請求頻率很低,聚合起來的總請求量也足以壓垮目標網站,因此,攻擊者可以輕易在不觸發限速防禦策略的情況下實現攻擊。
更可怕的是,由於攻擊源多為大型出口IP,傳統的防禦方法簡單粗暴的將攻擊IP拉黑,這些IP背後的大量正常使用者也將無法訪問。同時,新的肉雞會在攻擊過程中不斷加入,黑名單的方式在這種情況下也不見得能有效封住攻擊。曾經強大的護城河,在新攻擊態勢下變得雞肋。
黑客是如何藉助惡意APP進行攻擊的?
- 黑灰產在APP內嵌了一個WebView,啟動後會請求中控連結,該連結指向的頁面內嵌及載入了三個JS檔案,JS以ajax非同步請求的方式動態獲得了JSON指令;
- 在非攻擊時間段,獲得的JSON指令內容為“{"message": "無資料", "code": 404}”,由於不包含攻擊指令,JS載入後進入不斷迴圈,定期重新讀取JSON指令;
JSON指令決定迴圈OR執行攻擊
- 一旦攻擊者釋出攻擊JSON指令,JS即退出迴圈,在處理解析後會將訊息傳遞迴WebView。JSON指令中指定了目標URL、請求方式、header等攻擊需傳送的包內容,並指定了攻擊頻率、當前裝置開始攻擊的條件、攻擊結束時間等排程引數來增加攻擊複雜度和靈活性;
- WebView通過UserAgent得到裝置資訊,判斷是iOS還是Android系統,不同裝置呼叫不同函式觸發載入惡意APP中的Java程式碼,讓裝置根據指令發動攻擊。
判斷裝置型別:同時支援安卓及iOS
通過上述手法,所有安裝了這個APP的使用者就已經被黑灰產團伙利用,作為攻擊肉雞,神不知鬼不覺地陸續對指定的目標業務發起了無數次的DDoS攻擊!
同時這也揭露了一個灰色產業,此類應用的所有者通過釋出APP,在各個渠道釋出誘導類的廣告吸引使用者安裝使用,之後在通過使用者使用APP賺取利潤的同時,又將所有安裝APP的使用者裝置作為攻擊肉雞提供給黑灰產來進行DDoS攻擊,進行二次獲利。
更危險的是,從攻擊流程看,攻擊者想讓這些移動裝置以怎樣的方式、對誰、做什麼操作,全都可以通過JSON指令動態下發,可以說黑灰產能利用使用者裝置為所欲為。
攻擊流程圖
除了能惡意操控移動裝置發起攻擊之外,黑灰產還可以通過在APP中植入惡意程式碼,私自發送扣費類簡訊,藉助運營商的簡訊支付通道偷取使用者資費;獲取使用者的通訊錄、地理位置、身份證、銀行卡等敏感資訊,使使用者受到廣告騷擾、電信詐騙等,甚至還有可能被黑灰產盜用身份造成更大的損失。
如何應對這種新興DDoS攻擊威脅?
在PC肉雞時代,企業抵禦肉雞DDoS攻擊的做法相對簡單粗暴:
- 檢測單元:請求頻率
- 執行動作:限速和黑名單
- 防禦邏輯:請求頻率過高後開始進行源限速或拉黑源IP
在無法有效防禦的情況下,還需要人工介入抓包分析,根據攻擊具體情況配置防護規則,但這種響應方式相對較慢,業務普遍已經嚴重受損。
當海量移動裝置成為新的攻擊源,黑灰產可以輕鬆繞過上述防禦邏輯。企業不應該再對“限速+黑名單就能一招制敵”抱有幻想,而應該採用更為縱深、智慧的防護手段:
- 豐富攻擊流量識別的維度,將每個請求實時的解析出多維度的檢測單元;
- 防護策略的執行需要與多維度的識別相匹配,需要有精細、靈活、豐富的訪問控制單元,讓各個維度有機組合,層層過濾攻擊流量;
- 機器智慧替代人工排查,提升響應速度,降低業務中斷時間。
儘管黑灰產只是升級了攻擊源,但企業針對這一改變所要做的安全防禦工作量巨大,需要儘早行動起來做好準備。當然,企業使用者也可以選擇購買阿里云云盾的DDoS防護產品,對大流量型DDoS攻擊及應用層資源耗盡式DDoS攻擊(CC)做專業、智慧的防護。
對於個人使用者而言,為了保障裝置安全和資料隱私安全,阿里雲安全團隊建議,切勿從非正規渠道安裝未經稽核的APP,讓自己手機淪為黑灰產的工具,造成不必要的麻煩;安裝APP時請仔細確認請求授予的許可權,若發現APP請求了與功能不符的高風險許可權,如“訪問通訊錄”、“傳送簡訊”等,很可能存在問題,請謹慎安裝。
本文為雲棲社群原創內容,未經