黑客利用移动设备成为新一代肉鸡DDoS攻击新趋势

近期,阿里云安全团队观察到数十起大规模的应用层资源耗尽式DDoS攻击(应用层CC攻击)。阿里云DDoS高防实现智能防护全程自动化检测并清洗,未对用户侧业务产生任何影响,这类攻击存在一些共同的特征,阿里…

最近,阿里服务器安全团队观察了数个规模性网络层资源耗光的DDoS进攻(网络层Cc进攻)。阿里服务器DDoS高防智能保护自动式检测和清除,对局端业务没有影响,这种进攻有一些关联性,阿里服务器安全团队干了后续分析。 经过多次跟踪,这些进攻来源于大量用户手中手机上下载装扮成普通手机应用程序的故意手机应用程序。

APP动态接到进攻指令后,在目标网站上进行进攻。根据阿里服务器安全团队检测的数据,过去两月中,现有超出50万辆移动终端被作为黑客入侵工具,以达到Pc肉食鸡单一化进攻源的规模。由此可见,装扮成正常手机应用程序的故意手机应用程序使大量移动终端成为全新肉食鸡,黑灰生产在进攻技术方面有进一步升级的发展趋势。

规模性移动肉食鸡下DDoS进攻的新功能有哪些? 根据监控器数据,发现该类进攻具有以下特点: 移动终端系统联合分布: 苹果ios系统约占40%,Android系统约占60%; 进攻规模和肉食鸡数量很大,源iP不固定: 一次进攻具有100万QPS(每秒钟恳求数)的谷值,其源于超出500,0500个肉食鸡来源于iP,并且多个进攻恶性事件之间的源iP重合极低; 进攻源iP遍布非常分散化: 进攻源iP遍布在全球165多个国家,拥有近40家营运商。

仅在我国,就有300多个城市有进攻源,其中绝大多数遍布在东西部和沿海地区省区,网络比较发达; 进攻源分布 进攻源iP主要是通信基站iP: 近一半的进攻源iP是移动网络的大型通信基站出入口,这代表相同的源iP承重进攻总流量和大量正常用户总流量。 进攻生产调度不规律性: 因为中国移动电话联接的网络变化以及APP的起动和撤消,我们观察到不断加上新的进攻源iP。超出一大半的进攻源在进攻开始时不会启动进攻,每一次进攻源iP进攻的延迟时间都很长。单独进攻源的ip地址不高。

iP数量和特殊进攻延迟时间的恳求数量 速度限制和信用黑名单以前是Pc肉食鸡时代的“一鍵止血方法”防御力。但是,故意APP进行的进攻装作是正常的手机应用程序,因为移动终端在Pc设备中活跃性得多,即便是小量的APP,数量也相当大。

即便单独肉食鸡设备的恳求频率极低,聚合物的总恳求量也得以抑制目标网站,因此网络攻击可以不在开启速度限制防御力对策的情况下轻松起动进攻。 更恐怖的是,因为进攻源主要是一个大的出入口iP,传统的防御力方法只是粗鲁地进攻iP,这些iP身后的大量用户也将无法打开。此外,新的肉食鸡将在围攻期间继续加入,信用黑名单方法在这种情况下无法有效地阻拦进攻。以前是一个强大的护城河,它在新的进攻情况下变为了一只鸡。 网络黑客如何利用故意应用进攻? Black Grey转化成置入在APP中的WebView。起动后,它将恳求中央控制连接。连接偏向的页面置入并载入了三个Js文件。 Js以ajax异步恳求的方式动态获得JSON命令。 在非进攻期间,获得的JSON命令的内容是“{'信息':'无数据','编码': 403}”。因为不包括进攻指令,因此载入后Js会被载入并持续循环,并且会定期再次载入JSON命令。

JSON命令确定循环或实行进攻 如果网络攻击传出进攻JSON指令,Js就会撤出循环并在处理完分析后将消息传递回WebView。 JSON指令特定目标网页地址上传的数据文件内容,恳求模式和标头,并特定生产调度主要参数,如进攻频率,当前设备起动进攻的条件和进攻结束时间增加进攻的多元性和协调能力。 WebView通过UserAgent获得设备信息,并确定这是苹果ios还是Android系统。不同的设备启用不同的涵数来开启故意APP中的javas编码载入,让设备根据命令进行进攻。

确定设备类型:支持Android和苹果ios 通过上述方法,已安装此APP的所有用户早已招黑灰帮使用。作为报复心理的肉食鸡,造物主不容置疑地对特定的目标企业进行了成千上万的DDoS进攻。 此外,这也表明了深灰色产业链。该手机应用程序的使用者通过公布APP以推广渠道投放广告以吸引用户安装和使用,随后,在使用APP获得盈利后,安装所有APP。用户设备作为进攻肉食鸡提供给黑灰以实行DDoS进攻以获得第二盈利。 更风险的是,从进攻过程的视角看来,网络攻击希望通过JSON指令动态上传所有这些移动终端,以哪种方式,向谁以及干什么。可以说黑灰容积使用用户设备做任何想干的事情。
进攻流程表 除了故意控制移动终端进行进攻外,灰黑色产品还可以通过在APP中手动式置入恶意代码,通过营运商的短消息支付渠道盗取用户费用,以及获得借记型SMS信息用户的地址簿。所在位置,身份证号码和储蓄卡等比较敏感信息可致用户受到广告词,电信网诈骗等的搔扰,甚至可能因黑喑和盗取而造成更大的损害。
如何应对这种兴盛的DDoS进攻威协? 在Pc肉食鸡时代,公司对肉食鸡DDoS进攻的防御力相对简单而粗暴: 检测模块:恳求频率 实行动作:速度限制和信用黑名单 防御力逻辑性:在恳求频率过高后起动源速限制或加入黑名单源iP 在无法有效防止防御力的情况下,需要人工控制来分析数据文件,并根据进攻的详细情况配备保护标准。然而,响应相对比较慢,并且服务通常严重损伤。 当规模性移动终端成为新的进攻源时,黑灰非常容易绕开上述防御力逻辑性。企业不解决“速度限制+信用黑名单制造对手规章制度”怀有任何幻想世界,而应采用更深层次,更智能的保护方式: 丰富进攻总流量鉴别的层面,并将每个恳求即时分析为多维检测模块; 保护对策的执行需要与多维鉴别相符合。它需要一个细致,灵便和丰富的访问控制模块,便于每个层面有机化学地组合,并且进攻总流量在各个级別进行过虑。 设备智?苋〈耸侄收吓懦蕴岣呦煊λ俣炔⒓跎僖滴裰卸鲜奔洹?
虽然黑灰只是升级的进攻源,但公司需要解决这一变化的安全防御力对策非常庞大,需要尽早充分准备。当然,企业用户也可以选择购买阿里服务器的DDoS安全防护产品,为大总流量DDoS进攻和网络层资源枯竭DDoS进攻(Cc)提供专业,智能的保护。 对于普通用户,为了保证设备安全和数据隐私保护安全,阿里服务器安全团队请点此不要从参与型渠道安装没经审批的APP,这样您的手机就变成灰黑色和深灰色的工具,造成多余的麻烦。安装应用程序时,请细心确定授于的管理权限。如果您发现手机应用程序恳求与该功能不配对的高危管理权限,比如“浏览通讯簿”,“发送信息”等,则可能存在的问题。请当心安装。