本文为威胁猎人首届网络黑产攻防沙龙嘉宾——金山云安全技术总监李鸣雷带来的现场分享。他将从一个僵尸网络的发现说起，分析云时代僵尸网络的新特点，并总结在云时代云服务商抵御黑产攻击的方式。

图为 金山云安全技术总监李鸣雷

今天为大家简单分享一下云时代云服务商面临的黑产问题，以及我们的一些经验和积累。

在分享开始之前，我先从我们发现的一次DDoS攻击的故事说起。

去年12月19日，我们的两台云主机出现了一次大的网络流量异常。我们发现这两台云主机对外发起了DDoS攻击，然后我们的应急团队立即进行了应急响应工作。

首先把这两台云主机隔离出来，然后通过技术手段获取样本，并对样本进行了逆向分析。接着从这个样本的.CC域名控制，到通过威胁情报进行了逆向的分析工作，发现这个僵尸网络确实比较大。

我们对这个僵尸网络进行了以下分析：

从僵尸网络的架构上来看，相对于P2P的攻击方式，这些僵尸网络并没有特别出彩的地方，这取决于一个普通的C/S直连的方式。它通过C/S直连的加密协议，直接连到这个控制端，再经过多重的跳转。在云时代，不光是通过C/S直连的方式，还有通过DNS隧道传递数据的方式来对控制端进行连接，这种规模还是相当大的。

而被控端是一个比较常见的方式。僵尸网络获取的主要方式是通过弱口令和一些常见的漏洞，还有的是通过购买云主机来获得。另外就是利用我们的云计算把控制端放在我们的云上，通过云上的设备来进行如IP的变换、域名的变换等操作来隐藏真实的客户端。

云时代，僵尸网络有哪些新特点？

1、 云的资源获取容易

云的资源获取容易，僵尸网络可以按需开通，按时付费。比如可以自己买一台云的资源，而且这些云主机缺乏监管，在云上的价格很低，可以按月来开通。相比传统的方式，在成本上对僵尸网络的拥有者是很大程度的降低。这实际上是大部分的僵尸网络利用了云的可扩展性。

2、 资源容易销毁

资源的销毁会导致取证困难。传统的IPC，物理机是不能销毁的，但在云服务里用户可以彻底撤销云主机。现在公安部也在制定关于云端取证的标准和规定，目的也是为了让运营商可以保留足够的取证的证据。另外，事后取证、溯源和传统的方式不同，也增强了查杀和防御的难度。

3、 云服务商信任度较高

云服务商的域名通常被防火墙或者各种安全策略标记为可信任。如果把恶意软件，或者是控制端放在云上的话，很有可能被对方的防火墙给放掉。这也是云服务商面临的一个新的问题。像木马的控制，他们会利用云服务商的主机来制作、生成和分发这种木马。当然，对于云服务商来说，我们也会对我们的服务进行样本扫描和检测，来发现这种大量传播的恶意木马和脚本。

4、 云服务的漏洞造成资源获取简单

云主机缺乏可靠的登录机制和安全防护，导致黑客容易获取到资源。用户从传统的服务器迁移到云上来，因为各个云的安全水平是不一样的，它能提供给用户的安全基线也是不一样的。所以如果用户不了解云防护或者云安全的边界，可能会采用弱口令等方式登录，造成登录方式脆弱。另外，用户还可能暴露一些高危端口。那么，黑客会利用这种漏洞和错误的配置来批量入侵用户的主机。所以云服务商和用户必须共同努力提升自己服务的安全基线，来增强黑客获取资源的难度。

5、 云服务自身运营活动缺陷被薅羊毛

云资源的获取可以通过漏洞的方式来非法获取，还有一种是云服务自身的运营活动导致被薅羊毛。比如说我们金山云去年做了一个每月9.9元的大米主机活动，这个活动毫无意外地会招来羊毛党的觊觎。

当天的活动，我们投放的云主机大概有95%被羊毛党薅走，如被羊毛党用来进行DDoS攻击、刷票、刷别人的主机，甚至还有挂机的。我们的安全部门对这个活动进行了详查，发现注册了金山云渠道的电话号码大部分都在打码平台上。然后我们和威胁猎人合作，通过黑卡检测，在注册环节进行严格实名制的检查，云主机得到了正确的防护。这个事件其实就是云服务器自身的运营缺陷给僵尸网络的持有者提供了便利。

面对新的问题，云服务商可以做些什么？

我总结了两种应对方式：一种是被动的方式，一种是主动的方式。

1、 云服务商的对策——被动方式

首先是加强黑客获取资源的难度。我们会在云主机上做多重防御，像对服务器的安全及时做好补丁机制，加强云主机的安全基线。当然并不是说云主机加强安全基线就完全避免被黑客抓机，但能够提升被抓机的难度和门槛。

其次是注册严格实名制，防止恶意注册和薅羊毛。就是说我们会通过手机号、身份证、银行卡和黑卡的变化检测等来提升实名制验证，严格把控我们注册的用户都是真实的。

最后是增强我们的感知能力。比如DNS检测与全流量检测技术，并结合我们的威胁情报发现潜在木马通信。通过这些方式来综合打造一个被动的防御。

2、 云服务商的对策——主动方式

我们在互联网上部署了蜜罐，主要监控各种木马家族。这些蜜罐通过多区域，国内跨省跨地区，国际上跨国进行部署，可以接收攻击指令，确认攻击路线。如可以在DDoS攻击发起前几分钟之内就能够发现。DDoS从下发指令准备到攻击也是需要一定的时间的。因此，主动的探测对于这种攻击网络还是很有效的。

总结来说，虽然DDoS的攻击方式是一种古老的攻击方式，但是在云的时代到来的时候，我们发现攻击者也在不断的拥抱新的技术，新的变化，并利用云资源获取的便利性，甚至是匿名性，这些都是云时代僵尸网络的新的特点。所以，在新的时代，从运营商、用户到政府监管部门，需要共同努力来提高自身服务的安全基线，才能做好防御。我今天的分享就到这里，谢谢大家。