DDoS攻击新趋势:海量移动设备成为新一代肉鸡

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 免费版,不限时长
云安全基线管理CSPM免费试用,1000次1年
简介: 近期,阿里云安全团队观察到数十起大规模的应用层资源耗尽式DDoS攻击(应用层CC攻击)。阿里云DDoS高防实现智能防护全程自动化检测并清洗,未对用户侧业务产生任何影响,这类攻击存在一些共同的特征,阿里云安全团队对此做了跟踪分析。

近期,阿里云安全团队观察到数十起大规模的应用层资源耗尽式DDoS攻击(应用层CC攻击)。阿里云DDoS高防实现智能防护全程自动化检测并清洗,未对用户侧业务产生任何影响,这类攻击存在一些共同的特征,阿里云安全团队对此做了跟踪分析。

几经溯源发现,这些攻击事件源于大量用户在手机上安装了某些伪装成正常应用的恶意APP,该APP在动态接收到攻击指令后便对目标网站发起攻击。根据阿里云安全团队监测的数据显示,近两个月,已经有五十余万台移动设备被用来当做黑客的攻击工具,达到PC肉鸡单次攻击源规模。不难看出,伪装成正常应用的恶意APP已让海量移动设备成为新一代肉鸡,黑灰产在攻击手法上有进一步升级趋势。

海量移动肉鸡下的DDoS攻击有哪些新特征?

通过监测到的数据发现,这类攻击有以下几个特点:

- 移动端设备系统分布均匀
iOS系统约占四成,Android系统六成;

- 攻击规模和肉鸡数量庞大且源IP不固定
单次攻击峰值达百万QPS(每秒请求次数),来源于50多万个肉鸡源IP,且多次攻击事件之间源IP重合度非常低;

- 攻击源IP分布极散
攻击源IP分散于全球160余个国家,近40个运营商,仅中国就有300余个城市存在攻击源,且多数分布在东部及沿海网络发达的省份;

_
攻击源分布地图

- 攻击源IP多为基站IP
近一半的攻击源IP为移动网络大型基站出口,意味着同一个源IP同时承载了攻击流量和大量正常用户流量;

- 攻击调度无规律
由于手机连接的网络变化,以及APP的启动和退出,我们观测到不断有新的攻击源IP加入,超过一半的攻击源并非在攻击开始时就发起攻击,且每个攻击源IP攻击持续时间长短不一,单个攻击源IP请求频率并不高。

_
某次攻击不同攻击持续时长的IP量及请求量

限速和黑名单在PC肉鸡时代曾是“一键止血”的防御方式。但以伪装成正常应用的恶意APP方式发起的攻击,由于移动设备远活跃于PC设备,哪怕是一个小众的APP,数量都相当庞大。即使单台肉鸡设备请求频率很低,聚合起来的总请求量也足以压垮目标网站,因此,攻击者可以轻易在不触发限速防御策略的情况下实现攻击。

更可怕的是,由于攻击源多为大型出口IP,传统的防御方法简单粗暴的将攻击IP拉黑,这些IP背后的大量正常用户也将无法访问。同时,新的肉鸡会在攻击过程中不断加入,黑名单的方式在这种情况下也不见得能有效封住攻击。曾经强大的护城河,在新攻击态势下变得鸡肋。

黑客是如何借助恶意APP进行攻击的?

  • 黑灰产在APP内嵌了一个WebView,启动后会请求中控链接,该链接指向的页面内嵌及加载了三个JS文件,JS以ajax异步请求的方式动态获得了JSON指令;
  • 在非攻击时间段,获得的JSON指令内容为“{"message": "无数据", "code": 404}”,由于不包含攻击指令,JS加载后进入不断循环,定期重新读取JSON指令;

_
JSON指令决定循环OR执行攻击

  • 一旦攻击者发布攻击JSON指令,JS即退出循环,在处理解析后会将消息传递回WebView。JSON指令中指定了目标URL、请求方式、header等攻击需发送的包内容,并指定了攻击频率、当前设备开始攻击的条件、攻击结束时间等调度参数来增加攻击复杂度和灵活性;
  • WebView通过UserAgent得到设备信息,判断是iOS还是Android系统,不同设备调用不同函数触发加载恶意APP中的Java代码,让设备根据指令发动攻击。

_
判断设备类型:同时支持安卓及iOS

通过上述手法,所有安装了这个APP的用户就已经被黑灰产团伙利用,作为攻击肉鸡,神不知鬼不觉地陆续对指定的目标业务发起了无数次的DDoS攻击!

同时这也揭露了一个灰色产业,此类应用的所有者通过发布APP,在各个渠道发布诱导类的广告吸引用户安装使用,之后在通过用户使用APP赚取利润的同时,又将所有安装APP的用户设备作为攻击肉鸡提供给黑灰产来进行DDoS攻击,进行二次获利。

更危险的是,从攻击流程看,攻击者想让这些移动设备以怎样的方式、对谁、做什么操作,全都可以通过JSON指令动态下发,可以说黑灰产能利用用户设备为所欲为。

_
攻击流程图

除了能恶意操控移动设备发起攻击之外,黑灰产还可以通过在APP中植入恶意代码,私自发送扣费类短信,借助运营商的短信支付通道偷取用户资费;获取用户的通讯录、地理位置、身份证、银行卡等敏感信息,使用户受到广告骚扰、电信诈骗等,甚至还有可能被黑灰产盗用身份造成更大的损失。

如何应对这种新兴DDoS攻击威胁?

在PC肉鸡时代,企业抵御肉鸡DDoS攻击的做法相对简单粗暴:

  • 检测单元:请求频率
  • 执行动作:限速和黑名单
  • 防御逻辑:请求频率过高后开始进行源限速或拉黑源IP

在无法有效防御的情况下,还需要人工介入抓包分析,根据攻击具体情况配置防护规则,但这种响应方式相对较慢,业务普遍已经严重受损。

当海量移动设备成为新的攻击源,黑灰产可以轻松绕过上述防御逻辑。企业不应该再对“限速+黑名单就能一招制敌”抱有幻想,而应该采用更为纵深、智能的防护手段:

  1. 丰富攻击流量识别的维度,将每个请求实时的解析出多维度的检测单元;
  2. 防护策略的执行需要与多维度的识别相匹配,需要有精细、灵活、丰富的访问控制单元,让各个维度有机组合,层层过滤攻击流量;
  3. 机器智能替代人工排查,提升响应速度,降低业务中断时间。

尽管黑灰产只是升级了攻击源,但企业针对这一改变所要做的安全防御工作量巨大,需要尽早行动起来做好准备。当然,企业用户也可以选择购买阿里云云盾的DDoS防护产品,对大流量型DDoS攻击及应用层资源耗尽式DDoS攻击(CC)做专业、智能的防护。

对于个人用户而言,为了保障设备安全和数据隐私安全,阿里云安全团队建议,切勿从非正规渠道安装未经审核的APP,让自己手机沦为黑灰产的工具,造成不必要的麻烦;安装APP时请仔细确认请求授予的权限,若发现APP请求了与功能不符的高风险权限,如“访问通讯录”、“发送短信”等,很可能存在问题,请谨慎安装。

相关文章
|
2月前
|
存储 安全 数据可视化
如何规避DDoS攻击带来的风险?服务器DDoS防御软件科普
如何规避DDoS攻击带来的风险?服务器DDoS防御软件科普
56 0
|
20天前
|
云安全 缓存 网络协议
如何防护DDoS攻击,筑牢网络安全防线
随着信息技术的飞速发展,网络已成为现代社会不可或缺的一部分,极大地便利了个人社交和商业活动。然而,网络空间在创造无限机遇的同时,也潜藏着诸多威胁,其中分布式拒绝服务攻击(DDoS,Distributed Denial of Service)以其高破坏力和难以防范的特点,成为网络安全领域的一大挑战。本文将从DDoS攻击的原理出发,详细探讨如何有效防护DDoS攻击,以筑牢网络安全防线。
|
1月前
|
负载均衡 监控 安全
DDoS 攻击:如何运作及防范之道
【8月更文挑战第31天】
76 1
|
2月前
|
监控 安全 网络安全
保护网络免受 DDoS 攻击的最佳实践
【8月更文挑战第24天】
73 1
|
2月前
|
云安全 负载均衡 安全
CC攻击和DDoS攻击
【8月更文挑战第17天】
60 4
|
2月前
|
安全 物联网 网络安全
300万电动牙刷被当肉鸡拿去DDOS攻击!
一则新闻称300万支电动牙刷被黑客植入恶意软件发动DDoS攻击,后证实为假新闻。此事件源于瑞士一媒体报道,实为采访中提出的假设场景。尽管如此,物联网设备安全问题日益严峻,如智能家居被黑客控制,可能成为攻击工具。电动牙刷虽不易直接用于此类攻击,但提醒我们需加强对所有联网设备的安全防护,包括采用注重安全的供应商、实施零信任安全模型、网络分段等措施,确保设备安全更新并强化物理安全。
|
2月前
|
缓存 负载均衡 安全
如何应对DDoS攻击:技术策略与实践
【8月更文挑战第20天】DDoS攻击作为一种常见的网络威胁,对信息系统的安全稳定运行构成了严峻挑战。通过采用流量清洗、CDN、负载均衡、防火墙与IPS、协议与连接限制、强化网络基础设施、实时监测与响应以及专业DDoS防护服务等策略,企业可以构建更加健壮的防御体系,有效应对DDoS攻击。然而,防御DDoS攻击的最佳方法是预防,企业应定期进行风险评估和安全演练,及时更新和强化安全措施,以提高网络的抵御能力和应对能力。
|
2月前
|
负载均衡 安全 网络协议
DDoS攻击(Distributed Denial of Service)
【8月更文挑战第11天】
82 4
|
2月前
|
云安全 安全 数据库连接
什么是 DoS 和 DDoS 攻击?
【8月更文挑战第31天】
54 0
|
2月前
|
运维 监控 网络协议
下一篇
无影云桌面