快科技12月25日消息,12月22日晚,快手遭遇网络攻击,攻击者利用大量僵尸账号开设直播间,播放包含色情、暴力等违规内容。
次日,快手在港交所发布公告称,经全力处置与系统修复,快手应用的直播功能已逐步恢复正常服务,其他服务未受影响。
针对该事件,“中国电信安全”公众号日前发布分析报告称,中国电信安全团队结合“广目”空间测绘能力、“灵犀”威胁情报能力和全网安全运营经验对本次事件做了分析,得出如下结论:
一、自22日下午开始该直播平台服务器的通讯密度较往日有明显上升,这种行为可以理解为有预期地对某些结果进行频繁观测,其中主要观测流量的来源位于北美方向;
二、分析该直播平台的认证服务器近7天网络行为,观察发现:来自南美和东南亚方向的认证请求最为频繁,且活动集中在21日,认证数量达到了平日的5-6倍,偏离了日常基线;
三、通过IP行为画像分析发现,访问该平台认证服务器的多个南美方向IP行为模式存在明显的机器行为痕迹,主要可以归纳为3种行为模式,其通讯时间、通讯过程、通讯目标等存在高度的重叠,因此可基本判断应为某组织统一策划发动的;
四、访问该平台认证服务器的东南亚方向IP流量模式不是很明显,但大部分访问流量高度重合在工作时间,峰值出现在下午14:00-17:00,非工作日更是无人查看,不太符合一般用户使用习惯画像;
五、通过对以上南美和东南亚方向主机在我国境内通讯目标的回溯分析,发现大部分通讯目标位于各大云运营商;
分析结论:本次事件从时间轴上踩点式的对认证服务器进行模式化访问,到事件即将发生前的境外吃瓜围观,均从一定程度上表现出“境外观众”对于本次事件的可预见性,从通讯目标看疑似攻击来源主机集中在南美,但实际更可能是被攻击组织控制的“肉鸡”以掩盖真实身份。
中国电信安全建议,企业在规划网络安全体系时,需要突破单点防御的局限,转向覆盖预防、监测、响应与恢复的全局化安全治理。
原创文章,作者:admin,如若转载,请注明出处:http://www.kandianxun.com/internet/67627.html
