阿里云葉敏:阿里云的威脅情報實踐
責編:rhliu |2016-06-29 15:43:35葉敏:大家好我是阿里巴巴的葉敏,我負責云盾的安全攻防,今天我給大家匯報一下我們在阿里云威脅情報的實踐以及取得的成果。我今天主要以案例的方式跟大家講一下我們做的工作。現在我們公認的觀點是做威脅情報一定是基于數據去做的。
首先我給大家看幾組數字,第一是30%,現在整個中國已經備案的網站有30%是在阿里云的,而且這個數字還在高速地增長,我們相信很快這個數字將突破50%。30%是什么樣的概念?你現在拿起掃描器在全國做隨即的批量掃描的話,一定會掃描到阿里云來,除非你有意避開阿里云。 我們每天接受的請求有4千億次,我們每天用于安全運算的日志量有300T,這是壓縮后的,實際上這應該再乘以9倍左右。這是云盾產生的攻防的數據,第一我們每天阻擋了100次的DDos的攻擊,3000萬的web而攻擊和2億暴力破解攻擊。現在阿里云有自主研發的分布式數據計算平臺,這是我們去年創造的一個記錄,我們以377秒的成績打破了100T數據的排序記錄,前兩年分別是由Hadoop等創造的記錄。
我首先介紹一下我們威脅情報的來源,最大的來源是云盾的攻防數據,像WAP每天能產生大量的攻擊,我們對肉雞和控制端做了深入的分析,還有我們覆蓋了很多服務器上的端,能夠收集到大量的惡意樣本,這個惡意樣本和其他的安全廠商很不一樣的地方是,我們是集中在服務器端而不是PC端的。還有一點是我們云盾感知授權了我們分析全流量,流量中我們也可以抓取到很多有價值的信息。另外是流量的信息,從單個事件中不能看出事件的威脅,可是多維度進行關聯的分析,往往可以發現這些事件背后更加深層次的威脅。
第二個數據是從外部公開的信息所獲取的向外部公開的漏洞和各種安全事件,有一些流向上沒有的或者說我們的產品上沒法兒產出的東西,必須得靠主動掃描的方式獲取,外部的代理的分析和全網的各種漏洞。下一個是大家熟悉的漏洞應急響應中心,我們阿里巴巴也有自己的ASRC,專門為阿里巴巴收集漏洞和信息,最后一個是云噸的先知計劃,這是我們為客戶提供的漏洞和情報收集平臺,我們幫客戶搭建了一個跟白帽子之間的橋梁,幫企業做應急響應中心。
我主要會集中在IP信譽和漏洞方面的情報來講一些案例。第一是IP信譽庫,也叫IP畫像,我們每天遭受到的來自全球的各種攻擊,而且量是巨大的,通過這些流量進行分析,我們能夠準確地知道這個IP是不是一個惡意的,歷史上有沒有什么惡意行為,它的攻擊偏好是怎樣的,我們都有記錄在案,我們能識別出一個IP是好的還是壞的。我們也能識別出來這個IP是一個真人在用還是說背后是一個掃描爬蟲。第三是出口IP很多時候我們需要判斷這個IP是很多人共用的或者是某一個人或者是一個家庭在用,這個我們也能準確地識別出來。還有爬蟲和掃描器的IP,包括搜索引擎的爬蟲,各種安全廠商的掃描器的IP,下一個是全網代理服務器的IP地最后我們每天阻擋這么多次的DDos的攻擊,我們對肉雞和僵尸網絡也做了非常深刻的研究。
這是我們監測到的惡意IP的類型的分布,我們一共支持20多種惡意IP的類型,這里列出了主要的幾種,可以看到暴力破解類型加起來已經超過了一半了,這個模型上線到現在一共積累了110多萬個惡意IP,因為很多的IP可能因為動態變化,和平用一段時間之后得分配給別的人了,所以有一些長期沒有惡意行為的IP我們把它剔除掉了,日活躍的IP有10萬。這是全球的地理位置的分布,左邊是國外的分布,可以看到俄羅斯、美國、土耳其、烏克蘭這樣黑客比較活躍的地區都出現在榜單上面。右邊這個是過么的分布,主要是集中在一些沿海的發達的省份,像廣東、浙江、江蘇這些省份,我們對這些惡意IP也做了非常深入的研究,為什么會出現在這些省份,因為這些省份都有大的IDC的機房,黑客通常是通過租用這里的服務器進行7×24小時不間斷的黑客攻擊掃描。因為黑客通常在抓機的時候拿到了一個執行命令的權限之后,通常會下載一個惡意文件,之后把惡意文件執行起來,所以我們監測所有攻擊的流量從里面抽取惡意文件URL,這就形成了惡意文件的傳播源,這是日報的截圖,可以統計到惡意文件的傳播源有多少的IP訪問了它,這些IP很可能是中馬了。
這是webshell的連接源很多的web在攻擊成功了以后植入一個webshell,用webshell長期地控制這臺機器,我們對所有的webshell機器也做了深入的分析,從流量里面,能夠分析出來一個IP它常用的webshell的名稱是什么,常用的一句話木馬連接的參數是什么,通常我們也叫密碼,這就是黑客的一些行為的習慣。這也是我們日報里面的一張截圖,只是某一天的數據。我們在很多時候需要判斷一個IP背后是不是一個真人,因為我們在做很多安全決策的時候這個IP背后是一個人還是一個機器對我們做決策是有很大的影響的,所以我們做了一個這樣的真人IP的判斷模型,真人在訪問的時候很多情況下會用瀏覽網站,所以你的Http會包括CSS、圖片的請求,通常情況下這種請求占的比例是超過了一半,大部分是這種請求。另外是瀏覽器會有自己的一些特性,瀏覽器會訪問一些favico.ico的文件,瀏覽器也會支持cookie,正常的瀏覽器不會支持這些東西,通常一個真人使用的IP,在白天和黑夜的流量是不一樣的。另外我們借用了阿里的應用,當你使用這些應用的時候就會訪問阿里的IP,你不一定每天都會訪問淘寶,但是你的APP像手機、安卓手機的APP會在后臺自動地訪問,所以通過這些我們也能知道這背后是不是有一個真人。還有就是APP的行為,因為阿里云客戶有很多是做游戲的做一些APP的,我們能夠把某個客戶的一些屬性給識別出來,假如說我們認定它他是一個游戲客戶,如果某一些IP訪問游戲客戶的話,很有可能背后是一個游戲玩家,這也判斷出來背后是不是真人。通過各種維度,上面列的我們進行綜合的判斷能夠知道這個IP背后是一個人還是一個機器。另外一個場景就是識別CDN和WAF的IPCDN和WAF都是使用反向代理的方式,用戶在訪問這個網站的時候并不是訪問真正的webServer,而是訪問了CDN,CDN再訪問WebServer,一個CDN可能就覆蓋了一篇區域,一個省份甚至是好幾個省份,所以從webServer來看,它的訪問源就那么幾個CDN和IP,最多是幾十個、幾百個,所以這些來源都來自于少數的幾個IP,這樣對我們做安全決策的時候是有風險的。假如說我們有一個IP有攻擊行為,如果把這個IP作掉的話很有可能會損傷一大片的用戶,所以我們有必要把這個IP識別出來。
當然有比較明顯的特征,從WebServer看來,如果是一個網站的話,所有的流量都是由或者說大部分流量都是由少數的IP貢獻的,也就是說少數的那幾個WAF的IP,不會超過幾百個,我們通過這個全網IP和各家WAF廠商的IP。我們還可以發現網上的批量掃描,基本上凌晨的都是掃描器產生的基本上沒有正常人的流量行為,這個掃描器都有這樣的特點,做批量掃描的話,掃描的網站一定是非常非常多,他掃描的一般是掃描特定的幾個漏洞,所以它的URL也非常集中,通過這兩個特征,簡單的模型就可以把掃描器識別出來,左邊這個是實現的功能是把那些日志通過原IP和URL進行聚類,然后根據它訪問的網站數量做倒敘排序,得到了右邊的結果,可以看到第一個IP訪問的都是同一個。第二,我們看了一下他分析了一下發現是在探測Dlink某個路由器的漏洞。第3、4、5分析我們了以后發現是在探測一個帝國備份的漏洞,基本上前面所有都是在做批量的漏洞掃描。當然真實的模型會比這個要復雜一些,因為我們要去除掉一些噪音和干擾。
這是一個比較簡單的模型,我們看一些比較復雜一點的,我們能夠識別出全網的搜索引擎爬蟲IP和全網各廠商的掃描器IP,安全廠商的掃描器IP。因為這個模型我們能夠看到背后別人看不到的東西,像一些漏洞爆發了之后,各大安全廠商就全網掃一把,再發一個PR說我們發現全網有多少受影響的IP,他們的分布是怎樣的,其實他們的掃描行為都是在我們的眼皮下的,去年在雙十一的前一天,爆發了一個未授權訪問漏洞,如果要管制會把所有的cookies去掉,所以這個掃描是有副作用的,可是我們監測到國內好幾個大的安全廠商,做全網的批量掃描的時候沒有考慮到后果,沒有考慮到用戶可能帶來的損失。還有我們能夠收集到全網的搜索引擎,爬蟲的IP,有一些安全掃描器或者是安全產品,冒充了搜索引擎爬蟲,做一些安全攻擊的事情,這些我們都能監測到。
另外一個是識別撞庫,最近幾年密碼泄漏事件非常嚴重,撞庫也是黑客非常喜歡的手法,撞庫登錄的頻率非常高,第二所有的請求是占比非常高的,通過這兩個我們可以識別出來這是不是一個撞庫行為,大家肯定有疑問,這個不需要社工庫嗎?怎么跟暴力破解區分開來?當時我們也遇到了這樣的問題也考慮了很多,后來我們發現暴力破解很多情況下是賬號密碼是1對多或者是多對多的,也就是暴力破解行為的賬號數一定會小于登錄次數,而且這個數據相差是非常大的,或者說密碼數小于登錄次數,威脅情報賬號密碼是一對一呈現的,總體來說賬號數和密碼數和次數是接近的,使用相同的密碼,總體上會接近。另外一個是云與垃圾注冊小號登錄的區別,撞庫一定是使用了真實的賬號和真實有人用的那些密碼去撞的,所以真實的密碼通常來講都不是完全隨機的會帶有一些英文單詞或者是你的名字的拼音,或者是生日之類的,不是純隨機的,而通常那些搞垃圾注冊或者是搞這種小號的一般來講要么是用完全一樣的密碼,要么用隨機的密碼,所以密碼的隨機性我們在數學里叫商,這是不一樣的我們通過這個也能區分出來。
這是我們統計的威脅情報的受害行業的分布,金融行業社區論壇和游戲排在前三,其實黑客的目的已經非常明顯了,就是瞄準了那些有高價值的賬號來撞。這是互聯網上郵箱泄漏的案件,去年烏云上爆出來某郵箱的賬號密碼泄漏,當時互聯網上各種說法有人說真的,有人說假的,誰也分辨不清。這個事情當時是在19號烏云上爆出來的,然后再往前幾天也就是在11號的時候,我們就監測到了這個郵箱的賬號在撞庫事件中的次數開始明顯地提升,相比11號增長了足足有4倍,而且郵箱的賬號在所有撞庫中的占比也是在穩步地上升,最后這個事情到底是不是泄漏大家應該懂了。
下面是關于DDoS的情況,阿里云在全國有很多的數據中心和機房,其外也有很多的數據中心,全網大流量的DDoS攻擊,肉雞數量如果非常非常多,有很大的概率一定有肉雞在阿里云的,我們通過分析肉雞的行為和流量可以分析出DDoS的控制端在哪兒。同時我們也分析了很多僵尸網絡用的木馬的控制端,其實很多控制端寫的并不是特別地健壯,往那里發一些畸形的數據包可能會崩潰及我們可以講疑似DDoS攻擊停下來,因為每天超過1000次的DDoS攻擊,我們對攻擊源做了非常深入的研究,我們捕捉到了全網8萬多臺的肉雞,另外反射攻擊是偽造的IP的攻擊,我們發現由于最近一兩年隨著智能家居的普及,SSDP反射攻擊最近一兩年呈上漲的趨勢,而且已經超過了DNS和NTP的反射攻擊,因為一些漏洞會不斷地被消掉,這些反射源是在不斷地減少的,SSDP是在持續地上漲,這是我們統計的全網僵尸網絡控制端的分布,還是分布在沿海的幾個省份,也是跟IDC機房有很大的關系的。這是一個肉雞的分布,跟上一個圖差不多。這是我們對DDoS木馬種類的分析,其中一個比較大的叫Nitol的木馬占了超過一半,網上有傳言說它的源碼泄漏了,有人修改就變種了,數量量非常大。
有了這些威脅情報,我們一定不是說把這些數據放在這里自己看看,自己查一查我們一個很大的目標是將這些威脅情報數據規模化自動化地應用到產品里。我給大家介紹幾個案例,這是一個發現安全威脅的案例,如果我們認定了一個IP就在惡意IP庫中就是惡意的,如果某聽這個惡意IP登錄的一臺服務器,很有可能這就是高危的安全事件,這是需要重點關注的,這個功能我們已經做成了,已經產品化,已經做在云盾上了,這是真實的網站的截圖。這是一個服務器連接惡意IP的事件,如果這臺服務器連接了一個我們惡意IP庫中的僵尸網絡的IP,你很有可能中馬了,很有可能成為了僵尸網絡中的一員這是我們已經做成了產品化的了。還有一個能夠發現PAM,我們的安全人員發現了很多的報警,很多客戶都產生了這樣的報警,內容是客戶的服務器連接了韓國的惡意IP,并且從惡意IP上下載了一個惡意文件,就是惡意文件傳播源,因為數量非常非常大,有上千臺機器同時產出了報警,所以我們安全人員立即進去分析了,發現黑客通過批量地破解PGSQL的弱口令,植入惡意程序,通過控制下載惡意文件。
下一部分我會講一下漏洞的東西,每天接受的攻擊非常大,我們做了異常流量的模型,這只能區分是正常還是異常的,我們會根據參數來判斷,僅僅能區分出來是正常還是不正常,并不知道這是不是一個攻擊,是一個已知還是一個未知攻擊,我們后續做了一個把已知的攻擊的規則放到庫里面,匹配一下,看看是不是已知攻擊,如果不是就繼續往下走,很有可能是未知的攻擊,很有可能是未公開的漏洞,通過這個我們每周可以捕獲兩個未公開的漏洞,其中有一些是安全廠商漏洞平臺收集到的只不過沒有公開被我們捕捉到了,有一些白帽子在挖漏洞的時候也會被我們捕捉到。這是去年的一個案例,通過異常流量分析捕捉到的一個Lumanager的漏洞,我們的模型產生的日志就是針對Lumanager有一個SQL注入的Oday,我們匹配了這個公開的漏洞,發現這沒有相關的漏洞,我們認定它一個未公開的漏洞,經過了深入的分析,這個東西我們是第一次看到,我們基于這個漏洞還發布了一篇分析文章。
最后一部分是云端的先知計劃我們為阿里云上的客戶收集漏洞和情報的平臺,其實就是幫客戶和白帽子之間搭建的橋梁,充分地利用了生態化的安全資源,社會化的方式包括白帽子和安全公司都會做我們這邊注冊,幫助客戶提供漏洞和情報,我們與其他的安全漏洞收集平臺不一樣的是我們充分考慮到企業的感受,我們不會將這個漏洞公開出去的,所以企業也不會因為這個漏洞受到名譽上的損失。這是一個先知計劃的運作流程,白帽子和安全廠商的流程可以來我們的先知平臺注冊,廠商也可以來我們這里注冊,并且把他的獎金放在我們先知平臺。當白帽子和安全公司挖到漏洞以后,我們有專人審核,如果審核的漏洞是通過的,我們會把獎金頒發給白帽子。這個漏洞其實只有白帽子和先知平臺以及廠商知道,我們有協議地約束白帽子不能將漏洞公開。
我就講到這里,謝謝大家!