新型的瘋狂“鐵線蟲”式MRW攻擊成為新趨勢，移動端請提高警惕！

網絡攻擊出現突變，規模空前絕後，方式千變萬化，傷害一擊斃命，企業防不勝防。在過去的六個月內，包含超級CC攻擊問世期間，Myasiacloud前前後後經歷了數次超級CC的攻擊。經過成功防禦後，Myasiacloud表示，現在不得不感慨攻擊規模的增長之快，就像當初的DDoS攻擊規模的成長速度一樣，攻擊流量從1G到10G，10G到50G，50G到300G，如今竟然已經可以記錄峰值到T級別的攻擊；而針對CC攻擊，已經不能用之前的概念來定義這類型的攻擊。CC攻擊的發育過程，雷同於DDoS攻擊，規模都是由小變大，流量都是由少變多。CC攻擊最開始最大隻有幾百M或者幾個G，後來攻擊繁衍生態失控，使得攻擊分子排列重組，以“少量多次”為核心戰略，將多次微量的訪問變成一支訓練有素的流量軍隊，企圖精確打擊到每一個目標（網絡應用層）。

時代迎來巨變，CC攻擊衍生出超級CC攻擊，在企業間樹立威名，開篇提到的Myasiacloud便是它的座上賓。經過半年的軌跡探測和捕殺，在防禦經驗成熟的同時，超級CC攻擊仍在繼續壯大，並衍生為超新型攻擊。如今，該攻擊正以一種扭曲恐怖的趨勢演化，它配得上一個新的名字——“MRW” ，即Mass Real Worm – Invalid Visit (巨量鐵線蟲入侵)的簡寫，對的沒錯就是你想像中的鐵線蟲。MRW攻擊模仿鐵線蟲的寄生方式，微控入侵，無孔不入，而後在極短時間內迅速耗光帶寬和CPU資源，直到源站完全崩潰才罷休。

新型攻擊—— MRW攻擊

MRW，變通一下概念，就是合法請求以大量而密集的模式進行網頁訪問的攻擊。這樣的攻擊方式沿襲了超級CC，從連接數來看，100W連接數/秒到200W連接數/秒，300W連接數/秒到800W連接數/秒，現在更是喪心病狂擴展到了1100W連接數/秒。可見攻擊規模已經迅速擴大，其能力領先於超級CC攻擊，不僅如此，MRW攻擊的出現，或將導致大廠的“當紅攻擊一哥”DDoS和“二三線明星”CC攻擊跌落神壇！

DDoS攻擊出道史

分佈式拒絕服務攻擊（DDoS）由一個14歲的天才少年所創造，隨後憑藉時代的技術賦予更多實力。在2000年後大步流星邁進互聯網行業，一經出道就引起圈內嘩然，長槍短炮，新聞媒體，以及所到之處的服務器都被它的強悍實力所征服，以超量級的秒級攻擊讓企業瞬間失去察覺，“一刀流”的手法令圈中人望而生畏。迄今為止，DDoS攻擊已經造訪過Akamai、Cloudflare這樣的大廠，在他們的見證下留下了自己的簽到手印。它們的做派和風格也得到了許多人的追崇，粉絲們小到運用它攻破公安系統報復社會，大到直接竊取企業核心數據勒索錢財，並且以此為目的衍生了RDoS這樣的勒索病毒，運用於郵件、平台、設備包括但不限於客戶端。它可以是一個人，也可以是一支隊伍。不過對於網安，也不是吃素的，幾年的作戰經驗，DDoS的行動能力已經被掌握，不少企業可以靈活應對浩浩湯湯的攻擊，不過對於市場而言，這仍然是一個不小的缺口，所以DDoS趁著自己還沒有隱退，就鉚足了勁證明自己的實力，直到現在，企業聽到它不免為之忌憚……

平平無奇的繼承者——CC攻擊

CC攻擊誕生於亂世，它與DDoS攻擊對像有異，通過攻擊網絡應用層達到劍走偏鋒的造勢。他的行為也是比較含蓄的，利用多個合法和有效的請求，入侵網頁，直至網頁崩潰。但是由於手法過於拙劣，致使擅長捕殺大型網絡攻擊的網安和企業一經發現就飽餐一頓，因此CC攻擊星途受限，造訪不了大廠，只能到中小型企業或者性格溫順無害的網安“走穴”。時間一長，行踪暴露，自己貧窮的連接數，加之本身就比不上DDoS攻擊，讓CC攻擊一直處於不溫不火的狀態。

對於這些攻擊的防禦，部分廠家已經駕輕熟路，包括但不限於Myasiacloud就是一個CC捕手。這些趨勢促使CC“被發展”，它開始強化自己，增加連接數，增加攻擊力，縮短攻擊時間，自此超級CC就出現了。它以幾百上千的連接數進行攻擊，其規模可謂壯大，攻擊流量也是前所未有。也就在CC攻擊發現自己的突破口時，MRW攻擊應運而生。如果將CC攻擊分成標準和尊享豪華套餐的話，MRW攻擊絕對算得上是“星耀”級別！

MRW攻擊特徵

一樣是打網絡應用層，一樣是攻擊網頁，一樣是耗盡資源，MRW攻擊出手就顯得很大氣。Myasiacloud有幸面臨這種新型攻擊，該攻擊向企業展示了自己的五個賣點：

1. 低頻。合法和有效的訪問請求，全程低頻進行，巧妙躲避了警覺的網絡安全系統的偵測。別問，問就是看不到！
2. 巨量IP。時間為1s，連接數為1000w+，每個IP訪問1~2次，每個IP重合度非常低，四種條件同時觸發，瞄准你的網頁。這樣的規模就好像蝗災，漫天而過的蝗蟲，頃刻間綠原變荒地。你品你細品！
3. 合法訪問。這是MRW進入你網頁的良民證，來去自如不在話下！
4. 移動端設備系統分佈均勻。MRW攻擊兇起來，什麼移動網頁和APP都會被成為殭屍，iOS系統控制佔四成，Android系統控制六成，其最常見的手段就是披上一層“馬甲”臥底成正常APP，等待源的命令觸發再實現量級攻擊。更無論客戶端了！
5. 攻擊源IP分佈極散，但單一地區可以達數百萬。還是拿蝗災來打比方，你能控制一兩隻，但是你控制也避免不了這場災難。它們攻擊源IP極其分散，有可能這裡遭受重大攻擊，另外好幾個網頁也正在報警。

MRW攻擊成因分析

通過上述攻擊特徵收集，對該攻擊進行畫像側寫，初步分析為大量移動設備被入侵，內嵌webview, 通過JSON指令，Webview獲取設備信息後調用不同函數加載java代碼實現攻擊。

圖為疑似黑客實現攻擊的手法

 

MRW攻擊的防禦策略

MRW攻擊對傳統防禦策略免疫

不少企業利用限速和IP添加黑名單的方法，在PC肉雞時代曾是“一鍵止血”的防禦方式。但以偽裝成移動端內正常應用的馬甲式APP方式發起的攻擊，由於移動設備遠活躍於PC設備，哪怕是一個小眾的APP，即使單台肉雞設備請求頻率很低，聚合起來的總請求量也足以壓垮目標網站，因此，攻擊者可以輕易在不觸發限速防禦策略的情況下實現攻擊。

由於攻擊源多為大型出口IP，同一個源IP同時承載了大量攻擊流量和少量正常用戶流量，所以當傳統的防禦方法簡單粗暴的將攻擊IP拉黑，這些IP背後的大量正常訪問請求也將無法實現。同時，新的肉雞會在攻擊過程中不斷加入，在已經被消耗資源的網頁還要面對新的肉雞控制，可見添加黑名單的漏洞明顯，在這種情況下不見得能有效擋住流量攻擊。因此，傳統防禦策略的起點和終點都是一樣的，不可否認這就是立體戰爭。

應對MRW新挑戰, 新手法加持

當海量移動設備成為新的攻擊源，黑灰產可以輕鬆繞過上述防禦邏輯。企業不應該再使用傳統防禦策略制敵，而應該採用更為縱深、智能的防護手段：

1. 豐富攻擊流量識別的維度，將每個請求實時的解析出多維度的檢測單元；
2. 防護策略的執行需要與多維度的識別相匹配，需要有精細、靈活、豐富的訪問控制單元，讓各個維度有機組合，層層過濾攻擊流量；
3. 機器智能替代人工排查，提升響應速度，降低業務中斷時間。

黑灰產已經升級了攻擊源，但企業針對這一改變所要做的安全防禦工作量巨大，需要儘早行動起來做好準備。對於企業用戶也可以選擇購買Myasiacloud的DDoS防護產品，對大流量型DDoS攻擊及應用層資源耗盡式DDoS攻擊（CC）做專業、智能的防護。對於個人用戶而言，為了保障設備安全和數據隱私安全，這裡也建議，切勿從非正規渠道安裝未經審核的APP，讓自己的手機淪為肉雞！