如何看中国电信安全团队分析 12・22 快手遭攻击事件
1、自 22 日下午开始该直播平台服务器的通讯密度较往日有明显上升,这种行为可以理解为有预期地对某些结果进行频繁观测,其中主要观测流量的来源位于北美方向;
2、分析该直播平台的认证服务器近 7 天网络行为,观察发现:来自南美和东南亚方向的认证请求最为频繁,且活动集中在 21 日,认证数量达到了平日的 5-6 倍,偏离了日常基线;
3、通过 IP 行为画像分析发现,访问该平台认证服务器的多个南美方向 IP 行为模式存在明显的机器行为痕迹,主要可以归纳为 3 种行为模式,其通讯时间、通讯过程、通讯目标等存在高度的重叠,因此可基本判断应为某组织统一策划发动的;
4、访问该平台认证服务器的东南亚方向 IP 流量模式不是很明显,但大部分访问流量高度重合在工作时间,峰值出现在下午 14:00-17:00,非工作日更是无人查看,不太符合一般用户使用习惯画像;
5、通过对以上南美和东南亚方向主机在我国境内通讯目标的回溯分析,发现大部分通讯目标位于各大云运营商。
其实更多的是关心如何被攻破的,定位攻击方画像还不够,还得等快手技术团队公布看看。