2022Bots自动化威胁报告

Bots报自告动化威胁 2022/07 目C录ONTENTS 概述02 核心观察03 什么是Bots？05 2种分类05 3个级别05 5大威胁场景06 Bots自动化威胁深度分析08 整体态势08 深度分析08 疫情常态化下的Bots攻击09 API攻击持续走高10 零日漏洞攻击持续深化14 数据爬虫依然泛滥16 Bots攻击详细数据19 攻击来源19 Bots客户端分析22 移动端分析25 案例分享30 APP新人礼包30 渠道业务外挂31 保险欺诈之虚拟定位32 Log4j2漏洞应急响应33 支付API滥用34 2022年Bots自动化威胁发展趋势36 总结39 附录1‒2021重要法律法规发布43 附录2‒自动化攻击事件集合47 关于瑞数信息50 概述 在当今数字化经济的发展中，Bots自动化技术早已渗透到科技发展和业务创新的方方面面。然而，在接替人工枯燥和规律性操作的背后，也隐藏着大量的Bots自动化威胁。特别是借助机器学习和人工智能技术，Bots技术在效率和智能化的飞速提升，让Bots自动化威胁更具隐蔽性。随着Bot的无处不在，企业在获得善意Bots带来的高价值同时，也正在面临越来越严峻的恶意Bots的威胁。 2021年国内Bots攻击状况依然十分严峻和突出，各个行业的各类自动化攻击和事件层出不穷，攻击者的工具、手段、效率都有了较大的发展。回顾2021年，随着全球疫情的持续发展和蔓延以及网络技术的快速迭代和发展，全球范围内的组织在数字化转型上的步伐呈现明显加速趋势。网络环境和空间已经成为下一个没有硝烟的战场。 同时，2021年疫情持续多地爆发，迫使企业加速完成数字化，互联网应用因此持续暴增。随着远程办公的逐渐日常化，黑客组织和灰黑产行业也获得了更多机会。API安全、勒索软件、软件供应链、0day/Nday攻击智能常态化、云安全、小程序安全等领域的危机日益凸显，网络安全和自动化安全形式更加严峻。 另外，2021年也是网络安全全面深入发展之年，多个信息安全法律、法规、条例、指导意见等的发布，组成和完善了我国网络安全法律法规体系。 核心观察 API成为攻击的优选入口攻防博弈的新热点 API正在成为实现商业创新和数字化转型的核心技术手段，其连接的已不仅是系统和数据，还有企业、客户、合作伙伴，甚至整个商业生态，成为当下网络应用流量的重要出入口。而API配置使用不当和API漏洞利用引发的攻击和数据安全风险也在迅速上升。API具备“程序”和自动化属性，可携带和透视重要数据的机制，获得越来越多黑客的青睐，并成为黑客实现自动化“高效攻击”的首选。 自动化手段的加持勒索攻击呈现平台化和服务化 2021年以来勒索软件攻击最为猖獗，已经成为数据层面最严重的“病毒”。勒索软件漏洞数量迅速上升，大量的勒索软件开始结合更广范围的漏洞发现和零日漏洞，实现攻击感染自动化和一体化。通过平台提供勒索软件即服务的方法开始涌现，使得勒索攻击组织更加专业化，高效率，对全球制造业、服务业、医疗、金融、工控和政府机构等产生严重影响。 B K 0day攻击更具杀伤力供应链安全问题升级 2021年，全球安全漏洞数量依旧保持快速上涨，尤其针对供应链组件的0day/Nday漏洞攻击也在进一步泛滥。2021年12月爆发的Log4j核弹级漏洞，已经成为全年最严重的漏洞应急响应事件之一，0day攻击、供应链、自动化，当这三要素叠加时，带来的后果不容小觑。 自动化威胁防护要求逐渐上升到法律高度 2021年，《数据安全法》、《个人信息保护法》正式发布实施，更多数据安全操作层面的规范条例也在加快制定和出台。对于可能对网络正常服务带来影响的自动化工具的访问，以及造成数据安全风险的自动化工具收集数据行为的要求，也首次在《网络数据安全管理条例》(征求意见稿)的相关要求中出现。多起恶意爬虫对企业造成影响的司法判例的曝光，也在进一步加快数据安全法律法规的普及教育和落地执行。 瑞数信息技术（上海）有限公司www.riversecurity.com3 PAR瑞数T信1息 Bots自动化威胁报告 什么是Bots？ 2种分类 4瑞数信息技术（上海）有限公司www.riversecur 3个级别 5大攻击威胁场景 ity.com 什么是Bots？ 机器人攻击(Botsattack)，是通过工具或者脚本等程序，对应用系统进行的攻击或探测，它不仅仅是一种自动化的应用漏洞利用的攻击行为，更多是利用业务逻辑漏洞的威胁行为，甚至是模拟合法业务操作，躲避现有安全防护手段的自动化威胁行为。 2种分类 ·善意机器人：是指在受控的环境内使用，以提升工作效率、用户体验为目的的自动化工具，包括搜索引擎、运维监控、RPA等。此类Bot在运行过程严格遵守访问协议，不会进行越权、非法等类型的访问，不会给访问目标带来压力。 ·恶意机器人：是指存在恶意访问行为的Bots，恶意行为包括漏洞扫描、撞库、恶意信息爬取、薅羊毛、DDoS攻击等。恶意机器人在运行期间，会给目标系统带来较大的压力，影响系统的安全性和可用性。 3个级别 从Bots拟人化的程度上划分，可以将Bots划分三个级别： ·初级：以脚本类程序为主，不具备页面渲染、JS执行等能力，仅可根据预先设定的参数进行模拟访问。 ·中级：具备页面渲染、JS执行能力，可对动态生成的信息进行获取，但不具备交互能力。 ·高级：具备完整的浏览器功能，可模拟鼠标、键盘等操作与目标系统进行拟人化交互。 瑞数信息技术（上海）有限公司www.riversecurity.com5 5大威胁场景 虽然OWASP对于自动化威胁的分类超过20种，但根据国内的情况进行汇总分析，主要场景有： ·恶意爬虫 据统计，自动化威胁流量中80%以上由恶意爬虫产生。恶意爬虫会造成多种危害，如对公开和非公开数据进行拖库式爬取，例如爬取各类公示信息、公民个人信息、信用信息等之后对数据进行聚合收集，造成潜在大数据安全风险。同时由于数据的授权、来源、用途十分不透明，隐私侵权、数据滥用等问题越来越严重。另外恶意爬虫还会影响正常的用户体验，当抓取数据量逐渐增大时，会对服务器造成性能压力，甚至有可能会崩溃。 ·漏洞探测利用 对目标系统进行漏洞扫描，发现漏洞之后自动进行利用。借助自动化工具，攻击者可以在短时间内以更高效、更隐蔽的方式对目标进行漏洞扫描和探测，尤其是对于0day/Nday漏洞的全网探测，将会更为频繁和高效。 ·资源抢占 利用Bots自动化工具快速的优势，对有限的资源进行抢占，造成恶性竞争，也成为黄牛党的有力武器。比较常见的资源抢占包括：挂号、报名、购票、秒杀、薅羊毛等。 ·暴力破解 对登录接口进行的高效密码破解，给系统信息安全带来极大的危害。此类攻击目标范围广泛，除了我们熟知的各类电商、社交系统，还包括很多办公系统，例如办事网厅、企业邮箱、OA系统、操作系统等，几乎所有具备登录接口的系统都会成为攻击目标。 ·拒绝服务攻击 包括应用DOS和业务DOS两种类型，除了以往比较常见的分布式拒绝服务攻击（DDOS）外，利用Bots来大量模拟正常人对系统的访问，抢占系统资源，使得系统无法为正常用户提供服务的业务层DOS也日渐兴起。 6瑞数信息技术（上海）有限公司www.riversecurity.com PAR瑞数T信2息 Bots自动化威胁报告 Bots自动化威胁深度分析 整体态势深度分析 疫情常态化下的Bots攻击 零日漏洞攻击持续深化 API攻击持续走高 数据爬虫依然泛滥 瑞 数信息技术（上海）有限公司www.riversecurity.com7 Bots自动化威胁深度分析 整体态势 综合各行各业的网络请求流量来看，Bots产生的流量明显高于正常访问流量，相比2019年的55.35%和2020年的57.62%，2021年Bots访问占比持续 44.654%2.384%0.29% 7% 14.38% 40.943.764%5.98% 上升至59.71%，公示类系统和服务提供类系统依然是Bots攻击的头号目标，恶意机器人比例进一步提升。 深度分析 13.861%3.73% 人类访问善意机器人恶意机器人 2019年 2020年 2021年 在“十四五”规划以及数字化浪潮的驱动下，伴随着大数据、5G、云计算、人工智能等技术发展，各行各业都开始“互联网+”的服务。同时在疫情的持续影响下，远程办公、在线教育、在线医疗、直播带货、社区团购等产业快速崛起，Bots的攻击态势也发生了变化，主要体现在： ❑1 ❑E ❑K 0day/Nday攻击持续增加，有了自动化和智能化的加持，精准高效、更高隐藏性的探测和攻击利用被实现。 攻击面不断扩大，隐藏在后端的API接口已经成为攻击焦点，大量的数据泄露事件由API攻击引发。 极具破坏性的勒索事件接二连三的发生，勒索软件结合安全漏洞实现自动化探测漏 互联网32.3% 政府27.05% 出版39.2% 医疗卫生32.17% 物流40.13% 教育45.4% 金融42.43% 运营商44.96% 运输48.56% 能源55.33% 59.54% 55.39% 54.68% 54.16% 46.38% 40.34% 40.02% 39.98% 36.78% 31.62% 8.16% 17.56% 6.12% 13.67% 13.49% 14.26% 17.55% 15.06% 14.66% 13.05% 洞利用加感染，已经形成独有的攻击体系。 人类恶意机器人善意机器人 双云化，在越来越多的组织、系统和服务云化的同时，攻击者也在将攻击平台迁移上云，云原生 ❑4服务的开发和应用为攻击方式增加了多样性，针对云服务和来自于云平台攻击的流量都明显增多。 8瑞数信息技术（上海）有限公司www.riversecurity.com 疫情常态化下的Bots攻击 在2021年疫情常态化的持续影响下，医疗、出行、电商、远程办公等场景攻击流量也呈现明显的上升趋势。 6.28亿 ·医疗卫生行业 随着在线医疗的加速推进，以及疫情相关系统和数据的增加，针对国内医疗卫生部门的攻击在2021年继续呈上升趋势，主要集中在公示信息高频爬取，拒绝服务攻击（DDOS），相关系统的漏洞扫描。 某国家医疗信息公示平台，2021年整体遭受攻击同比2020年增长2.84亿次，增长率超过82%。 3.44亿 1.97亿 20192020 2021 2019年 2020年 2021年 ·电商平台 疫情之下，加速了外卖、团购等线上业务的发展，商家为了线上补线下业务，各种营销活动络绎不绝 （例如各类秒杀，满减优惠券，新用户活动等），哪里有羊毛、哪里有利可图，哪里就有自动化的黑灰产流量。爬取产品信息和价格信息等的爬虫，也是电商所要面临的最头疼的问题。 ·远程办公 2021年随着疫情的冲击，许多企业已将远程办公视为常态选择，远程办公为网络安全带来了新的挑战。根据2021年GartnerCIO调查结果显示，疫情期间64%的员工居家办公，企业和居家员工都面临双重的安全风险，居家办公环境的安全性得不到统一保证，企业因远程办公需要开放更多的对外通道和业务，导致面临的风险与日俱增，VPN、视频会议系统、邮箱、OA等都成为了黑客攻击的目标。 瑞数信息技术（上海）有限公司www.riversecurity.com9 API攻击持续走高 在数字时代下，无论是互联网商业创新还是传统企业数字化转型，都推动了API技术的发展，API从只用于企业内部服务调用，到面向外部服务调用，再到如今的对外公开调用，API已经逐步从限制性的局部接口，转向更大和更广的领域。其连接的已不仅仅是系统和数据，还有企业内部职能部门、客户和合作伙伴，甚至整个商业生态。 非API请求 25.14% 74.86% API请求：74.86% 非API请求：25.14% API请求 API可公开获取、标准化、高效且易于使用