12月25日消息,据安全机构披露,22日晚间,快手平台遭遇了大规模网络攻击。攻击者利用大量被恶意控制的“僵尸”账号开设直播间,公然播放包含色情、暴力等严重违规内容。
次日,快手在港交所发布公告回应称,在技术团队连夜全力处置和修复后,平台的直播功能已逐步恢复正常服务,其他产品功能未受影响。
针对此次事件,“中国电信安全”公众号日前发布分析报告称,中国电信安全团队结合“广目”空间测绘、“灵犀”威胁情报能力和全网安全运营经验,对本次事件做了详尽分析,得出以下结论:
一、自22日下午起,该直播平台服务器的通讯密度较平日有明显异常上升。这种行为可理解为对特定结果进行有预期的频繁探测,其观测流量主要来自北美方向;
二、分析该直播平台的认证服务器近七天网络行为发现:来自南美和东南亚方向的认证请求最为频繁,活动集中在21日,其请求量达到了平日的5至6倍,明显偏离了日常基线水平;
三、通过对IP行为画像进行分析发现,访问该平台认证服务器的多个南美方向IP存在明显的机器行为痕迹。这些行为主要可归纳为3种模式,其访问时间、访问过程、访问目标等存在高达90%以上的重合度,基本可判断系由某个组织统一策划发起的;
四、访问该平台认证服务器的东南亚方向IP流量模式虽不十分明显,但大部分访问流量高度重合在工作时间,访问峰值出现在下午14:00至17:00,非工作日则基本无人查看,不符合一般用户的使用习惯;
五、通过对以上南美和东南亚方向主机在我国境内通讯目标的回溯分析发现,大部分通讯目标位于各大云运营商;
分析结论:本次事件从时间轴上看,踩点式地对认证服务器进行了模式化访问,再到事件即将发生前的境外“吃瓜围观”,均在一定程度上表现出“境外观众”对于本次事件的可预见性。从通讯目标看,疑似攻击来源主机集中分布在南美,但实际上更可能是被攻击组织控制的“肉鸡”,用以掩盖其真实身份。
中国电信安全建议,企业在构建网络安全防护体系时,需要突破单点防御的局限,转向覆盖事前预防、事中监测、响应与恢复的全流程安全治理。
