威胁猎人 | 2018年上半年国内公有云云上资产合规现状报告

声明：本报告版权属于威胁猎人情报中心，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：威胁猎人”。违反上述声明者，将追究其相关法律责任。

一、报告背景

自2005年亚马逊发布AWS伊始，云计算历经十数年的发展，已被广泛应用于各个领域，云计算支出在全球IT支出中的比例不断提升，并形成了一个新兴的、高达数千亿美元的全球市场。

在国内，2009年成立的阿里云引领了云计算风潮。在完成一定的技术积累和客户普及教育后，目前，我国的云计算产业已进入一个较长的高速增长期，在国家政策的大力扶持下，加之阿里云、腾讯云等大型公有云厂商的大力推动，我国云计算市场的规模急剧扩张，网络效应和规模效应明显放大，并已成为我国IT产业一个新的高速增长点。

然而，在各个公有云厂商努力开疆拓土，打造各自的云计算帝国的同时，云上资产的合规性问题也日益凸显：

一方面，越来越多的互联网企业和传统企业依托公有云厂商提供的服务开展业务或进行数字转型，企业的数字资产正在向云上集中，云上资产的安全与合规显得尤为重要。而公有云厂商在某种程度上已经与上云企业形成了责任共担关系：上云企业必须依托公有云厂商在基础设施、平台乃至软件层面提供的安全能力来构建云上业务的安全体系，公有云厂商在安全和合规层面也承担了比传统的IDC厂商和网络运营商更多的责任和义务，安全与合规能力的输出也已成为其核心竞争力之一。

另一方面，云计算本身的开放性、便捷性、多样性、高性价比，以及公有云厂商在安全方面的努力，不仅吸引着正常的企业用户，同样也吸引着网络黑灰产从业者：越来越多的网络黑灰产通过购买公有云服务，将用于攻击、诈骗、引流的网站和服务器置于云中，进一步降本提效。同时，还可利用公有云提供的安全能力与企业和安全厂商进行对抗。这迫使公有云厂商必须加强对云上资产的合规审计能力，做到及时、准确地识别云上资产及服务的违规、滥用行为，强化对公有云内容和行为安全的管控力度，承担起相应的社会责任。

有鉴于此，威胁猎人依托自身的黑灰产流量布控能力，结合战略合作伙伴金山毒霸提供的恶意网站感知数据，对公有云云上资产的合规现状进行了深入的调研分析，通过大量的一手数据，形成了《国内公有云云上资产合规现状报告（2018年上半年）》，旨在阐明国内公有云在云上资产合规审计领域面临的现状及问题，为国家相关监管机构和公有云厂商提供参考。

二、基本概念

1、报告中涉及到的基本概念及术语

（1）撞库：撞库攻击指的是黑客通过收集互联网上已泄露的用户账户信息，生成对应的字典表，再利用部分用户相同的注册习惯（即使用相同的用户名和密码），尝试登陆其它的网站或应用，以获取新的可利用账户信息。

（2）爬虫：爬虫又称为网页蜘蛛，是一种按照既定规则，自动抓取网络上的指定信息的程序或脚本，可分为遍历爬取网页超链接的网页爬虫和构造特定 API 接口请求数据的接口爬虫两类。

（3）蜜罐：蜜罐（Honeypot）是指被当入侵诱饵，引诱黑客前来攻击已收集相关证据信息的软件系统。依照蜜网项目组（The Honeynet Project）的定义，蜜罐是一种安全资源，其价值在于被探测、被攻击或被攻陷。

（4）网络钓鱼：网络钓鱼是构造带有欺骗性的电子邮件或伪造的Web站点，以吸引受害者提交敏感信息，或向目标传递并植入恶意程序的一种社会工程攻击方式，常被用于执行网络欺诈和网络入侵。按照攻击载体，网络钓鱼可分为网站钓鱼、邮件钓鱼、短信钓鱼、IM社交钓鱼、移动APP钓鱼等类型。

（5）DDoS攻击：即分布式拒绝服务攻击。一般来说，DDoS攻击会利用“肉鸡”对目标网站在较短的时间内发起大量合法请求，以消耗和占用目标的网络和主机资源，迫使其无法正常提供服务。

（6）僵尸网络：僵尸网络（Botnet）是攻击者出于恶意目的，传播僵尸程序bot以控制大量计算机，并通过一对多的命令与控制信道所组成的网络。需注意的是，这个网络并非物理意义上具有拓扑结构的网络。

（7）暗网：暗网（DarkWeb）是指统称那些只能用特殊软件、特殊授权或对电脑做特殊设置才能连上的网络，使用一般的浏览器和搜索引擎找不到暗网的内容。

2、数据来源及取样说明

数据来源说明

本报告的主要数据来源包括：

（1）内容类数据；通过定向监控手段（云清平台）获取的违规/恶意网站及其内容数据。

（2）样本类数据：通过广谱监控手段（TH-Karma平台）获取的黑灰产工具样本。

（3）流量类数据：通过蜜罐监控手段（TH-Karma平台）获取的黑灰产攻击流量数据。

（4）黑IP/域名类数据：通过第三方合作、蜜罐监控手段（云清平台及TH-Karma平台）获取的黑IP/域名数据。

（5）其他类数据：通过其他第三方合作和监控手段获得的云主机安全相关数据，包括但不限于上述的数据类型。

数据取样说明

本报告的数据取样主要采取以下几种方式：

（1）关键词取样：根据特定的关键词及关键词组合，从全集数据中提取与特定分析对象或特定分析场景有关的数据子集。主要用于数据统计或趋势分析。

（2）相似度采样：根据文本或样本数据的相似度，从全集数据中提取具有较高相似度的数据子集。主要用于数据分类统计或案例分析。

（3）随机采样：对未知类型或内容数据进行简单随机采样，抽样比例根据具体的分析场景决定，主要用于情报线索发现或关键词校验。

（4）分层采样：对已知工具/事件数据按既定的标签规则分为若干子集，对每个子集中的数据随机抽取部分数据进行分析，抽样比例根据具体分析场景决定，主要用于案例分析或关键词校验。

我们认为我方采集的非全量数据样本，在概率上符合一定的数据取样准则，基于相关数据样本的分析结果，在趋势分析和分类统计上与实际情况不会存在太大的偏差值。对于受限于数据获取的渠道、数据本身的变化、抽样概率的限制及样本噪点的影响等所导致的偏差，我们会采取人工经验判断方式进行修正，这部分数据我们会加以注明。

三、针对公有云的网络攻击威胁

基于威胁猎人自有的黑灰产攻击流量监控数据，我们从中专门提取了针对公有云的各类攻击数据。从中可以看出，2018年上半年（2018年01月-06月）间，以国内各大公有云的云上应用和云主机为目标的网络攻击整体呈明显上升趋势，威胁类型以机器人、撞库攻击为主，针对云主机、域名和邮箱等资源的业务灰产仍大量存在。

1、攻击总次数整体呈上升趋势

通过对相关攻击行为按月进行次数统计，我们可以看到，在排除2月份春节期间大规模企业营销活动所造成的数据样本偏差影响后，黑灰产对公有云的攻击次数呈明显的上升趋势。

2、阿里云、腾讯云遭受攻击最多

在国内公有云厂商中，针对阿里云的攻击次数占比最高，达55.32%，针对腾讯云的攻击次数占比居第二，为27.34%，其他依次是UCLOUD、华为云、青云、百度云、金山云、京东云。这与国内公有云厂商的市场份额占比排名基本趋同（此处忽略了部分公有云厂商较细微的市场份额差异）。

值得注意的是，如果按月统计攻击次数占比，阿里云和腾讯云的占比在大多数月份都呈小幅上升趋势（排除2月份春节的数据样本偏差影响），这也与公有云市场份额的集中化趋势基本趋同。

3、超五成攻击为机器人所为

通过对攻击流量中行为特征的提取，我们发现，超过五成的攻击为机器人所为。这些机器人中绝大部分用来执行互联网扫描或漏洞利用动作，其中大部分（超过70%）为最为常见的批量端口扫描器，约两成源自针对特定目标的自动化漏洞扫描与利用工具（如Struts2-045/048系列漏洞），另有约一成应与国家监管部门、安全厂商和科研机构的互联网资产探测类系统有关。此外，还有极少部分机器人是针对公有云企业邮箱的注册机。

此外，我们还发现一个有趣的现象，自动化扫描或漏洞利用类机器人中约三成的流量源头指向了美国弗吉尼亚州阿什本，即亚马逊AWS云计算园区所在地，且有逐月递增趋势。我们推断，由于国内网络安全监管趋严，黑灰产活动的部分基础设施正逐步向国外转移。

4、撞库攻击整体呈上升趋势

除自动化扫描或漏洞利用行为外，有14.36%的攻击行为为撞库攻击。对此类攻击行为按月进行次数统计，可以看到有明显的上升趋势（排除2月份春节的数据样本偏差影响）。

此外，我们还发现，三成左右的撞库攻击使用了重叠度较高的新的字典库，疑似与我们在2018年上半年监控到的数起社工库地下交易事件有关。考虑到从数据泄露到流出至暗网、Q群、Telegram群等进行小范围交易，再到大规模散播的时延一般在三到六个月左右，我们可以推断，到2018年下半年，撞库攻击将进一步增加。

5.公有云业务灰产依旧活跃

通过对“TH-Karma”平台采集的黑灰产数据进行分析，我们发现针对公有云各类优惠活动的薅羊毛活动仍然活跃。典型的有：通过批量刷阿里云、腾讯云和美团云学生机优惠再进行转租转售，或是批量代过阿里云和腾讯云域名实名认证，或是通过邮箱注册机批量注册公有云企业邮箱等等。我们认为，这类活动已形成较为完整的“产-销-用”灰产链条，为其他黑灰产活动提供基础设施支撑。

6、数据分析补充说明

受限于数据获取的渠道及样本噪点的影响，我们的监控渠道对DDoS攻击和爬虫两类攻击的捕获率偏低，导致在数据统计结果中这两类攻击次数低于我们的经验预期，无法判断其趋势走向，故在本报告中不对此做详细分析。但从我们获取的黑灰产交易数据来看，近6个月针对阿里云和腾讯云服务器的DDoS攻击空单（即没人接单或接单完不成）量明显增多，侧面反映了阿里云、腾讯云等云厂商在抗DDoS方面的努力已有一定成效。

四、来自公有云的网络攻击威胁

同样基于威胁猎人自有的黑灰产攻击流量监控数据，我们从中专门提取了来自公有云的各类攻击数据。可以看到，2018年上半年（2018年01月-06月）间，相关网络攻击行为无明显增长，整体趋于平稳，威胁类型以机器人、撞库为主，业务层面的攻击行为有明显增加。

1、攻击总次数整体趋于平稳

通过对相关攻击行为按月进行次数统计，我们可以看到，在排除2月份春节期间大规模企业营销活动所造成的数据样本偏差影响后，从公有云主机发起的攻击次数无明显增长，基本趋于平稳。

2、从阿里云、腾讯云发起的攻击最多

在国内公有云厂商中，从阿里云主机发起的攻击次数占比最高，达60.65%，从腾讯云主机的攻击次数占比居第二，为23.51%，其他依次是金山云、UCLOUD、华为云、百度云、京东云。

若按月统计攻击次数占比，阿里云和腾讯云的占比在大多数月份都呈一定幅度的上升趋势（排除2月份春节的数据样本偏差影响）。究其原因，我们认为这与阿里云、腾讯云在2018年上半年的一系列促销优惠活动有关：诸如前述的学生机，以及老客户6元机等云主机资源被越来越多的黑灰产用于对外发起攻击。

3、机器人中注册占比上升

通过对攻击流量中行为特征的提取，我们对在所有攻击类型中占比高达54.73%的机器人进行了类型细分和统计。结果显示，与3.3中机器人中扫描或漏洞利用类工具占绝大多数的类型分布有所不同的是，从公有云主机发起的机器人行为中约有超三成（31.84%）为各类注册机（如邮箱注册机、账号注册机等）所为，另有近一成（9.50%）为各类外挂工具（如红包外挂、游戏外挂等）。由此可见，公有云主机较之传统IDC机房更高性价比和安全性，使得注重成本和自我保护的黑灰产正在将部分服务类业务向公有云迁移。

4、超三成攻击为撞库且仍会增长

同时，我们还发现，超过三成（33.67%）的攻击均为撞库攻击，且逐月呈现一定幅度的上升趋势（排除2月份春节的数据样本偏差影响）。结合前文中3.4章节的分析结果，我们可以推断，到2018年下半年，从公有云主机对外发起的撞库攻击将进一步增加。

5、数据分析补充说明

受限于数据获取的渠道，我们的监控渠道无法准确判断被用于对外攻击的云主机中哪些是最初目的就是用于黑灰产攻击，哪些又是被黑后的失陷主机，而单纯基于DGA域名规则进行判断也存在一定的局限性，且相应的数据统计结果远低于我们的经验预期。因此，在本报告中不对这一方面做详细分析。

五、被忽视的云上内容合规问题

结合金山毒霸在端上的恶意站点感知数据，以及威胁猎人采集的黑灰产活动数据，我们发现，除了前述各类网络攻击威胁外，公有云厂商还面临较严重的云上内容合规问题：大量恶意、违规网站利用公有云部署便捷、性价比高和防护能力强的特点，在公有云上搭建并对外开展网络赌博、网络色情、网络钓鱼、网络传销、内嵌挖矿等非法活动。

1、云上网络赌博类的占比最高

2018年上半年（2018年01月-06月）间的监控数据显示，云上的恶意、违规网站中，与网络赌博相关的占比最高，高达75.38%。尤其是受到6月世界杯的影响，有大量足球类博彩网站在6月集中上线，并有大量云上的正常网站被批量植入带有博彩内容的暗链和页面。预计到7月份世界杯结束，网络赌博类的占比将回落到正常水平（预估约在50%-60%间）。