Akamai 研究人员监测并分析了整个亚太地区 2021 年底至 2022 年初这些节假日中的恶意僵尸网络(由数百万爬虫程序组成的群),目的是为了研究底层僵尸网络的攻击数据。通过揭示这些攻击趋势,IT 和网络安全团队可更好地了解他们所面对的攻击者。Akamai的观察发现,针对中国零售和电子商务行业的恶意僵尸网络活动在春节前后激增了 15%。具体详情,请参见《Akamai数据:中国春节期间网购恶意僵尸网络攻击增加15%》

恶意僵尸网络攻击在节假日期间大幅增加-RadeBit瑞安全

一、电子商务行业面对爬虫威胁的行业趋势和态势

从过去,特别是去年年底的一波电子商务攻击事件中可以看到爬虫(Bot)攻击趋势与之前相比呈现了多样化、复杂化和高频化的特征。

1.1 电子商务行业公司的发展趋势

目前电子商务行业和公司的发展是相当快的。从报告:“整个中国电子商务交易量2021年达到了17000亿美金的金额”,可以看出这个规模总体来说是非常惊人的。同时,电子商务在中国企业“出海”的几个赛道里面也是非常重要的一个垂直行业。从Akamai的视角来看,中国电子商务平台在整个“出海”的大潮里面和游戏、泛娱乐是并驾齐驱的,而且在某些角度来看,中国出海的互联网业务、跨境电商是最早一批进行海外拓展业务的。

1.2 电子商务行业公司的威胁与挑战

电子商务、跨境电商的蓬勃发展对于这些平台的安全性、稳定性、数据的保密性来说,挑战也是日益严峻的。特别是在电商平台的一些大促活动当中,在正常自然流量翻倍增长的时间段,同时也是各种攻击、各种非法、恶意流量比较泛滥的时刻。从各种攻击手段来看,攻击趋势逐渐趋向智能化、复杂化。以前以DDOS为主的攻击现在仍然存在,除了这部分的攻击,从智能化攻击来看,爬虫攻击、爬虫恶意流量在电商平台、特别是跨境出海电商平台中增长是比较快的。

二、僵尸网络攻击特点

2.1 为什么电商行业易于被攻击

如果看整个行业的划分,电商行业是最易于被爬虫攻击的。在传统的攻击类型里面,比如DDoS攻击会比较集中在游戏行业。而应用型攻击、爬虫攻击,在电商行业是比较多的,主要原因是电商业务非常复杂。

有些“爬虫”是善意的,比如搜索引擎、社交媒体、广告投放。有些可能来自于竞品,比如对产品价格信息的爬取、对评论的爬取和对热销产品的爬取。还有一些是完全恶意的,它们会针对电商平台背后的数据——用户信用卡信息、用户数据等等这些敏感信息进行爬取,这就造成了电商背后的数据被盗取。如果竞争对手得到这些数据,会对自己的业务有非常大的提高,所以在这个行业里面有着非常多、非常大比例的这种爬虫攻击。

2.2 爬虫攻击的演变趋势

从爬虫网络变迁的过程中,我们可以看到非常清晰的变化:早期,Botnet“僵尸网络”通过爬虫来部署并发起应用层的DDoS攻击,通过Botnet攻击源站,让它无法提供服务。到后来衍变成针对竞争对手价格爬取或者恶意“薅羊毛”的行为,攻击者会抢夺促销产品,这就是对于业务会产生影响的“爬虫”。近几年我们发现,很多的“撞库攻击”是针对于平台背后的数据。这种攻击其实流量并不大,但它可以通过“人工+脚本”的方式针对平台背后的客户数据、信用卡等信息进行盗取。

记者问答

RadeBit瑞安全记者:

Akamai是如何区分正常用户访问流量与僵尸网络流量的?在电商大促流量高峰期又是如何发现隐匿其中的僵尸网络攻击流量?

Akamai大中华区媒体事业部高级售前技术经理 刘烨:

恶意僵尸网络攻击在节假日期间大幅增加-RadeBit瑞安全

Akamai大中华区媒体事业部高级售前技术经理 刘烨

“通常我们有三种方法:第一,我们会针对每个IP地址以前的记录形成信誉库。这些IP地址如果曾经发动过攻击或者爬取过别人的内容,我们都会有相应的信誉评分。在此过程中,第一阶段是静态阶段,就是根据地址库的匹配发现这个IP地址是否有不良记录,它是不是存在风险。但我们不为客户去做决定,而是会把这个信息传递给客户,让客户自己来决定需要在我们平台上做什么样的操作。第二,我们会在平台上不断去分析Bot特征。有些伪装出来的行为,比如模拟成浏览器的行为,这个特征就可以被抓取出来,发现这是一个Bot,再通过特征去控制它。Akamai现在的平台上可以识别1400种行为特征,当客户提出需求,我们就可以知道这是正常人的访问还是脚本行为。第三,我们会去做行为分析。有些Bot非常狡猾,它可能来自公有云服务器,地址较为干净。攻击者在写脚本或模拟访问的过程中,会把自己伪装的特别好,频率也特别低,而且没有任何特征可以被发现,这种特征也并不在库里面。这种情况下我们就会做行为分析。比如:收集访客鼠标的轨迹和操作点击的过程,如果与正常人的访问点击行为完全不一样,我们就可以把它识别为攻击者。这种由浅入深的分析,技术也是由易渐难。通过采用这三种方式,无论流量大小,我们都可以识别出来这到底是正常用户行为还是一个脚本和Bot的行为。”

Akamai区域副总裁暨大中华区总经理 李昇:

恶意僵尸网络攻击在节假日期间大幅增加-RadeBit瑞安全

Akamai区域副总裁暨大中华区总经理李昇

“对于Akamai来说,最大的优势就是全球化的平台。对于Bot识别的精准度来说,‘爬虫’在不停变异,它们的伪装方式也在不断进步,所以这是一个持续变化的过程。一个全球化的平台可以帮助我们有最大程度的信息输入,这种丰富的训练数据让Akamai平台能够看到更完整的变异种类或者攻击行为的特征。我们发现有些客户会认为‘爬虫管理’可以通过一个软件解决,或者通过一个专门的网络设备就能解决。其实这是一个误区。实现有效的爬虫防范首先需要有足够多的数据输入来学习、建立这个有效的模型,因为模型的输入数据也是在不停的衍变之中的。第二,一旦识别完成就需要有效的反制手段。Akamai可以在边缘采取有效的反制手段,而非在用户的数据中心进行,所以这样的反制手段会更加有效。从这两个方面来看,全球化的平台就是Akamai最大的优势所在。”