幾個(gè)月前,阿里巴巴云安全團(tuán)隊(duì)觀察到DDoS攻擊的新趨勢(shì),常見的日常移動(dòng)應(yīng)用程序成為DDoS攻擊工具。事實(shí)證明,傳統(tǒng)的緩解策略對(duì)這些移動(dòng)僵尸網(wǎng)絡(luò)發(fā)起的攻擊并不有效。
本文進(jìn)一步分析了阿里云防御DDoS服務(wù)智能保護(hù)引擎減輕DDoS攻擊的特征。
跟蹤分析顯示,這些DDoS攻擊是由于大量用戶安裝了偽裝成手機(jī)上的普通應(yīng)用程序的惡意應(yīng)用程序而引起的。這些惡意應(yīng)用程序動(dòng)態(tài)地向目標(biāo)網(wǎng)站發(fā)起攻擊 在過去幾個(gè)月中,使用這些DDoS攻擊工具看到了超過500,000個(gè)移動(dòng)設(shè)備,使得單次攻擊的嚴(yán)重程度與PC僵尸網(wǎng)絡(luò)DDoS攻擊相同。這種模式表明,黑客正在升級(jí)他們的技術(shù),以便在攻擊期間提供更高級(jí)別的傷害。
這種移動(dòng)僵尸網(wǎng)絡(luò)DDoS攻擊的特點(diǎn)是什么?
1.均勻分布的移動(dòng)設(shè)備操作系統(tǒng)受到影響:大約40%的設(shè)備在IOS上運(yùn)行,60%在Android上運(yùn)行。
2.對(duì)大量移動(dòng)設(shè)備的巨大攻擊:在單次攻擊中,每秒請(qǐng)求的峰值數(shù)(QPS)可以達(dá)到數(shù)百萬(wàn),這是通過超過500,000個(gè)移動(dòng)設(shè)備啟動(dòng)的,每個(gè)請(qǐng)求的源IP地址重復(fù)很少攻擊實(shí)例。
3.地理位置分散的攻擊源IP地址:攻擊源IP地址來自全球160多個(gè)國(guó)家的近40個(gè)不同的ISP。
分發(fā)攻擊源IP地址
4.提供最多攻擊源IP地址的蜂窩基站:近一半的攻擊源IP地址來自大型蜂窩基站網(wǎng)關(guān)IP地址,這意味著相同的源IP地址同時(shí)攜帶攻擊流量和大量正常用戶流量。
5.不規(guī)則的攻擊調(diào)度
由于移動(dòng)電話不斷改變與網(wǎng)絡(luò)的連接以及應(yīng)用程序啟動(dòng)和停止的方式,我們觀察到異常多的攻擊源IP地址。超過一半的攻擊源IP地址沒有被攻擊的啟動(dòng); 每個(gè)源IP地址的攻擊持續(xù)時(shí)間不同,單個(gè)攻擊源IP地址的請(qǐng)求頻率也不高。
攻擊持續(xù)時(shí)間和IP地址和請(qǐng)求數(shù)
傳統(tǒng)的減災(zāi)政策不再有效
在PC僵尸網(wǎng)絡(luò)時(shí)代,速率限制和黑名單的結(jié)合是一種有效的緩解策略。但是,移動(dòng)設(shè)備比PC普遍存在,導(dǎo)致惡意應(yīng)用程序偽裝成普通應(yīng)用程序而發(fā)起的大量攻擊。即使單個(gè)設(shè)備的請(qǐng)求頻率較低,來自所有設(shè)備的聚合請(qǐng)求數(shù)也可能超過目標(biāo)站點(diǎn),這使得黑客很容易攻擊目標(biāo)站點(diǎn)而不會(huì)觸發(fā)任何速率限制策略。
大多數(shù)攻擊源是大型蜂窩基站網(wǎng)關(guān)IP地址,呈現(xiàn)傳統(tǒng)的防御策略,例如黑名單無用,因?yàn)閷⒎涓C基站列入黑名單將導(dǎo)致大量普通用戶無法訪問蜂窩服務(wù)。僵尸網(wǎng)絡(luò)的新移動(dòng)設(shè)備在攻擊過程中不斷添加,因此黑名單機(jī)制可能不足以有效阻止攻擊。在新的攻擊面前,曾經(jīng)有效的緩解政策現(xiàn)在無效。
黑客如何利用惡意應(yīng)用程序啟動(dòng)攻擊
1.黑客將WebView嵌入到應(yīng)用程序中,該應(yīng)用程序?qū)⒃趩?dòng)后請(qǐng)求中央控制鏈接。鏈接指向的頁(yè)面嵌入并加載了三個(gè)JS文件,這些文件以異步JAVAScript和XML(AJAX)模式動(dòng)態(tài)獲取JSON指令。
2.當(dāng)不涉及攻擊時(shí),收到的JSON指令的內(nèi)容如下:{“message”:“no data”,“code”:404}。在這種情況下,JS文件在加載后會(huì)進(jìn)入連續(xù)循環(huán)并定期重新讀取JSON指令。
連續(xù)循環(huán)
3.在黑客發(fā)出攻擊類型JSON指令后,JS文件退出循環(huán),并在解析JSON指令后將消息傳遞回WebView。JSON指令指定攻擊所需的數(shù)據(jù)包內(nèi)容,例如目標(biāo)URL,請(qǐng)求方法和標(biāo)頭,并指定調(diào)度參數(shù),例如攻擊頻率,啟動(dòng)攻擊的條件和攻擊結(jié)束時(shí)間,使攻擊更多復(fù)雜而靈活。
4. WebView通過UserAgent檢索設(shè)備信息,以確定設(shè)備是使用iOS還是Android系統(tǒng)。它為不同的設(shè)備系統(tǒng)調(diào)用不同的函數(shù)來觸發(fā)惡意應(yīng)用程序中的Java代碼加載,并使設(shè)備基于JSON指令啟動(dòng)攻擊。
通過上面使用的方法和技術(shù),我們可以考慮在黑市中安裝這種欺詐應(yīng)用程序的用戶作為木偶成功地向目標(biāo)企業(yè)發(fā)起DDoS攻擊。
這也揭示了黑市行業(yè)。惡意應(yīng)用程序的所有者吸引用戶通過各種渠道安裝和使用這些應(yīng)用程序以及欺騙性廣告。所有者通過使用欺詐性應(yīng)用程序獲利,并通過使用受影響的用戶設(shè)備作為僵尸網(wǎng)絡(luò)提供DDOS攻擊服務(wù)來尋求進(jìn)一步的利潤(rùn)。
根據(jù)攻擊流程圖,黑客可以發(fā)出JSON指令,使移動(dòng)設(shè)備以特定方式攻擊特定目標(biāo),以用于任何特定目的。
除了惡意控制移動(dòng)設(shè)備發(fā)起攻擊外,欺詐性應(yīng)用還可以植入惡意代碼私下發(fā)送付費(fèi)短信,使用ISP的短信支付渠道竊取用戶費(fèi)用,訪問用戶地址簿,地理位置,身份證,銀行賬戶和其他敏感信息。他們可以通過廣告和電信欺詐來騷擾用戶,甚至造成更大的損失,例如身份盜用。
用戶如何應(yīng)對(duì)此類DDoS攻擊
在PC僵尸網(wǎng)絡(luò)時(shí)代,企業(yè)Anti-DDoS策略相對(duì)無效
- 檢測(cè):請(qǐng)求頻率
- 行動(dòng):限速和黑名單
- 防御邏輯:當(dāng)請(qǐng)求頻率過高時(shí),啟動(dòng)源速率限制或黑名單IP地址
如果緩解無效,則需要手動(dòng)干預(yù)以進(jìn)行數(shù)據(jù)包捕獲和分析。然后根據(jù)特定的攻擊條件配置保護(hù)規(guī)則。但是,這種方法響應(yīng)速度慢,對(duì)業(yè)務(wù)造成嚴(yán)重?fù)p害。
當(dāng)大量移動(dòng)設(shè)備成為新的攻擊源時(shí),攻擊很容易繞過前面的防御邏輯。企業(yè)不能再依賴速率限制和黑名單,而必須采用更智能的保護(hù)手段:
- 擴(kuò)展攻擊流量識(shí)別維度,并將每個(gè)請(qǐng)求實(shí)時(shí)解析為多維檢測(cè)。
- 將保護(hù)策略與多維識(shí)別匹配,實(shí)現(xiàn)精細(xì),靈活,豐富的訪問控制單元,并有機(jī)地組合各種維度,逐層過濾掉攻擊流量。
- 將人工故障排除替換為機(jī)器智能,以提高響應(yīng)速度并減少業(yè)務(wù)中斷時(shí)間。
雖然黑客只升級(jí)了他們的攻擊源,但企業(yè)面臨著沉重的安全防御工作量,必須盡早采取行動(dòng)做好充分準(zhǔn)備?;蛘?,企業(yè)可以購(gòu)買阿里云安全防御DDoS產(chǎn)品,有效防御容量DDoS攻擊和應(yīng)用DDoS攻擊,實(shí)現(xiàn)專業(yè)和智能保護(hù)。
如果您是個(gè)人用戶,為了確保設(shè)備安全和數(shù)據(jù)隱私,阿里云安全團(tuán)隊(duì)建議您從授權(quán)渠道安裝經(jīng)過批準(zhǔn)的應(yīng)用程序,以避免將您的手機(jī)變成DDoS攻擊工具。安裝應(yīng)用程序時(shí),請(qǐng)始終仔細(xì)檢查其請(qǐng)求的權(quán)限。如果您發(fā)現(xiàn)該應(yīng)用請(qǐng)求與其功能不匹配的高風(fēng)險(xiǎn)權(quán)限,例如訪問您的地址簿和發(fā)送短信,請(qǐng)謹(jǐn)慎操作,因?yàn)樗赡軙?huì)使您面臨風(fēng)險(xiǎn)。