DDoS攻擊新趨勢：海量移動裝置成為新一代殭屍電腦

近期，阿裡雲安全團隊觀察到數十起大規模的應用層資源耗盡式DDoS攻擊（應用層CC攻擊）。阿裡雲DDoS高防實作智能防護全程自動化檢測并清洗，未對使用者側業務産生任何影響，這類攻擊存在一些共同的特征，阿裡雲安全團隊對此做了跟蹤分析。

幾經溯源發現，這些攻擊事件源于大量使用者在手機上安裝了某些僞裝成正常應用的惡意APP，該APP在動态接收到攻擊指令後便對目标網站發起攻擊。根據阿裡雲安全團隊監測的資料顯示，近兩個月，已經有五十餘萬台移動裝置被用來當做黑客的攻擊工具，達到PC殭屍電腦單次攻擊源規模。不難看出，僞裝成正常應用的惡意APP已讓海量移動裝置成為新一代殭屍電腦，黑灰産在攻擊手法上有進一步更新趨勢。

海量移動殭屍電腦下的DDoS攻擊有哪些新特征？

通過監測到的資料發現，這類攻擊有以下幾個特點:

- 移動端裝置系統分布均勻：

iOS系統約占四成，Android系統六成；

- 攻擊規模和殭屍電腦數量龐大且源IP不固定：

單次攻擊峰值達百萬QPS（每秒請求次數），來源于50多萬個殭屍電腦源IP，且多次攻擊事件之間源IP重合度非常低；

- 攻擊源IP分布極散：

攻擊源IP分散于全球160餘個國家，近40個營運商，僅中國就有300餘個城市存在攻擊源，且多數分布在東部及沿海網絡發達的省份；

攻擊源分布地圖

- 攻擊源IP多為基站IP：

近一半的攻擊源IP為移動網絡大型基站出口，意味着同一個源IP同時承載了攻擊流量和大量正常使用者流量；

- 攻擊排程無規律：

由于手機連接配接的網絡變化，以及APP的啟動和退出，我們觀測到不斷有新的攻擊源IP加入，超過一半的攻擊源并非在攻擊開始時就發起攻擊，且每個攻擊源IP攻擊持續時間長短不一，單個攻擊源IP請求頻率并不高。

某次攻擊不同攻擊持續時長的IP量及請求量

限速和黑名單在PC殭屍電腦時代曾是“一鍵止血”的防禦方式。但以僞裝成正常應用的惡意APP方式發起的攻擊，由于移動裝置遠活躍于PC裝置，哪怕是一個小衆的APP，數量都相當龐大。即使單台殭屍電腦裝置請求頻率很低，聚合起來的總請求量也足以壓垮目标網站，是以，攻擊者可以輕易在不觸發限速防禦政策的情況下實作攻擊。

更可怕的是，由于攻擊源多為大型出口IP，傳統的防禦方法簡單粗暴的将攻擊IP拉黑，這些IP背後的大量正常使用者也将無法通路。同時，新的殭屍電腦會在攻擊過程中不斷加入，黑名單的方式在這種情況下也不見得能有效封住攻擊。曾經強大的護城河，在新攻擊态勢下變得雞肋。

黑客是如何借助惡意APP進行攻擊的？

• 黑灰産在APP内嵌了一個WebView，啟動後會請求中控連結，該連結指向的頁面内嵌及加載了三個JS檔案，JS以ajax異步請求的方式動态獲得了JSON指令；
• 在非攻擊時間段，獲得的JSON指令内容為“{"message": "無資料", "code": 404}”，由于不包含攻擊指令，JS加載後進入不斷循環，定期重新讀取JSON指令；

JSON指令決定循環OR執行攻擊

• 一旦攻擊者釋出攻擊JSON指令，JS即退出循環，在處了解析後會将消息傳遞回WebView。JSON指令中指定了目标URL、請求方式、header等攻擊需發送的包内容，并指定了攻擊頻率、目前裝置開始攻擊的條件、攻擊結束時間等排程參數來增加攻擊複雜度和靈活性；
• WebView通過UserAgent得到裝置資訊，判斷是iOS還是Android系統，不同裝置調用不同函數觸發加載惡意APP中的Java代碼，讓裝置根據指令發動攻擊。

判斷裝置類型：同時支援安卓及iOS

通過上述手法，所有安裝了這個APP的使用者就已經被黑灰産團夥利用，作為攻擊殭屍電腦，神不知鬼不覺地陸續對指定的目标業務發起了無數次的DDoS攻擊！

同時這也揭露了一個灰色産業，此類應用的所有者通過釋出APP，在各個管道釋出誘導類的廣告吸引使用者安裝使用，之後在通過使用者使用APP賺取利潤的同時，又将所有安裝APP的使用者裝置作為攻擊殭屍電腦提供給黑灰産來進行DDoS攻擊，進行二次獲利。

更危險的是，從攻擊流程看，攻擊者想讓這些移動裝置以怎樣的方式、對誰、做什麼操作，全都可以通過JSON指令動态下發，可以說黑灰産能利用使用者裝置為所欲為。

攻擊流程圖

除了能惡意操控移動裝置發起攻擊之外，黑灰産還可以通過在APP中植入惡意代碼，私自發送扣費類短信，借助營運商的短信支付通道偷取使用者資費；擷取使用者的通訊錄、地理位置、身份證、銀行卡等敏感資訊，使使用者受到廣告騷擾、電信詐騙等，甚至還有可能被黑灰産盜用身份造成更大的損失。

如何應對這種新興DDoS攻擊威脅？

在PC殭屍電腦時代，企業抵禦殭屍電腦DDoS攻擊的做法相對簡單粗暴：

• 檢測單元：請求頻率
• 執行動作：限速和黑名單
• 防禦邏輯：請求頻率過高後開始進行源限速或拉黑源IP

在無法有效防禦的情況下，還需要人工介入抓包分析，根據攻擊具體情況配置防護規則，但這種響應方式相對較慢，業務普遍已經嚴重受損。

當海量移動裝置成為新的攻擊源，黑灰産可以輕松繞過上述防禦邏輯。企業不應該再對“限速+黑名單就能一招制敵”抱有幻想，而應該采用更為縱深、智能的防護手段：

1. 豐富攻擊流量識别的次元，将每個請求實時的解析出多元度的檢測單元；
2. 防護政策的執行需要與多元度的識别相比對，需要有精細、靈活、豐富的通路控制單元，讓各個次元有機組合，層層過濾攻擊流量；
3. 機器智能替代人工排查，提升響應速度，降低業務中斷時間。

盡管黑灰産隻是更新了攻擊源，但企業針對這一改變所要做的安全防禦工作量巨大，需要盡早行動起來做好準備。當然，企業使用者也可以選擇購買阿裡雲雲盾的DDoS防護産品，對大流量型DDoS攻擊及應用層資源耗盡式DDoS攻擊（CC）做專業、智能的防護。

對于個人使用者而言，為了保障裝置安全和資料隐私安全，阿裡雲安全團隊建議，切勿從非正規管道安裝未經稽核的APP，讓自己手機淪為黑灰産的工具，造成不必要的麻煩；安裝APP時請仔細确認請求授予的權限，若發現APP請求了與功能不符的高風險權限，如“通路通訊錄”、“發送短信”等，很可能存在問題，請謹慎安裝。