2015第三季度云盾互联网应用威胁报告

Jumbo

概述

云盾互联网应用威胁报告聚焦在互联网用户面临的Web应用层攻击、面向互联网系统的暴力破解以及恶意文件三个方面的威胁形势。

阿里云是国内最大的公共云计算服务提供商。阿里云安全团队依托阿里云云盾系统为用户提供Web应用层攻击防护服务。阿里云安全团队通过对阿里云云计算服务平台、互联网用户和阿里集团系统的安全防护，以及对网络攻击持续的分析与研究，发布第三季度云盾互联网应用威胁报告。

Web应用攻击

在2015年第三季度，Web攻击数量整体呈上升趋势，阿里云云盾系统每周拦截数千万次的Web应用攻击。威胁形势的加剧很大程度上源于自动化攻击工具越来越多，通过互联网广泛传播。黑客对网站发起攻击变得越来越容易。

图1 Web应用攻击趋势

通过对海量攻击拦截日志的分析发现，sql注入攻击仍然占据所有Web攻击的半壁。Web应用存在漏洞也是威胁的主要原因。黑客工具自动化程度高是SQL注入攻击泛滥的客观因素，黑客大量采用诸如SQLMAP等工具进行扫描。

图2 Web应用攻击类型

攻击者使用频率最高的漏洞为各主流框架/CMS漏洞，包括DedeCMS应用的getshell漏洞、Tomcat后台弱口令漏洞、Struts命令执行漏洞以及FCKeditor上传漏洞。

对攻击者进行地域分析，攻击来源多发地为江苏省、北京市和香港特别行政区。

图3 Web攻击来源分布

暴力破解攻击

暴力破解也是黑客普遍采用针对云服务器的攻击手法。

云盾监控系统显示，第三季度阿里云平台每天遭受数亿次的暴力破解攻击，峰值发生在9月份上旬。其中，针对FTP应用的暴力破解攻击数量占暴力破解总数量的近一半。黑客针对FTP的破解攻击已经十分成熟和普遍。

图4 暴力破解攻击分布

从发起暴力破解的地域分布统计来看，排在第一位的是江苏省，广东省和浙江省位居二、三名。

图5 暴力破解攻击源分布

此外，从黑客发起暴力破解的时间区间来看，在凌晨0点至6点时间段内，黑客发动暴力破解攻击的次数最多。研究人员认为，黑客更倾向选择深夜时候发起攻击，这个时间区间内防御一方的监控能力相对较白天更为薄弱。

恶意文件

云盾平台上每天都会发现大量的网页木马和主机恶意软件。在第三季度，平均每天监控的网页木马数量数以百计。黑客以恶意软件作为跳板，进一步入侵和获取主机上的敏感信息，或安装恶意软件对其他用户发起网络攻击。

导致系统被恶意入侵的众多原因中，弱口令漏洞是最主要的脆弱性，包括FTP弱口令，常用CMS的后台弱口令，数据库弱口令和系统弱口令。 此外，文件上传漏洞和命令执行漏洞也是网站遭入侵的常见原因。

图6 系统脆弱性分析

从网页木马的文件类型上看，PHP木马占总量的56%，其次是ASP。由此可以推断，云平台上PHP类型的网站较多，网站防护功能较弱，更容易被黑客入侵。

图7 网页木马类型分布

黑客最喜欢的Webshell管理工具是“中国菜刀”。不管是用来管理Webshell，还是在自动化getshell工具中模仿“中国菜刀”进行连接，“中国菜刀”在被云盾拦截的木马通信中出现的次数最多。

云盾流量监控平台每天截获的一句话Webshell访问记录都在数百万次，经过分析发现访问记录指向的URL地址普遍是不存在的。出现这样的情况，很可能是黑客在对自动化getshell工具产生Webshell进行暴力扫描，因为一旦访问成功就意味着获取到该网站的权限。

通过流量分析，安全研究人员把扫描常用的Webshell密码进行了统计，获得如下结果，其中字体越大说明使用频率越高：

图8 Webshell探测常用密码

可以看到，出现次数最多的密码是511348、-7等，这些密码都来自于DedeCMS早期的getshell漏洞。经过安全研究人员的进一步分析，发现互联网上利用这个漏洞的自动化攻击工具流传非常广泛，但这些工具有一个缺点，攻击成功后产生的Webshell密码是固定的。相对于其它高危漏洞，黑客更热衷于选择这个成功率最高的漏洞作为目标，因此这几个密码最受欢迎。

然而从校验结果上看，上述几个密码对应的Webshell真实存在的并不多，因此黑客的成功率并不高。这说明了直接探测一句话木马的成功率是很低的。

案例

2015年9月7日，阿里云安全团队在对一起用户系统入侵事件进行溯源过程中，发现用户的LuManager系统存在安全漏洞，黑客利用该漏洞可绕过正常登录逻辑直接获取系统权限。

经过技术确认，该漏洞有效且属于0day漏洞。安全人员迅速在第一时间联系厂商并告知漏洞细节，并协助修复。与此同时，云盾弱点分析系统在10分钟内迅速定位受影响的云主机，启动用户修复通告流程。Web攻击防护规则也同步上线，对0day漏洞进行防护。

9月8日上午厂商给出了官方修复方案，云盾安全人员通过云盾安骑士提醒受影响用户进行修复。9月8日晚上23点厂商发布更新修复漏洞，并对云盾团队表示感谢。

在2015年第三季度，阿里云安全团队进行了多次高危漏洞的应急响应，成功在漏洞被大范围利用之前协助用户进行漏洞修复，并在第一时间上线相应的Web防护规则对阿里云用户进行全面的防护。其中部分漏洞来自云盾先知计划，以及云盾研究人员发现的0day漏洞。

* 作者：阿里安全（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）