OCI WAF识别恶意程序攻击案例解析

本文介绍Oracle云应用基础设施的Web应用程序防火墙（WAF）识别并降低了某电子商务站点的恶意僵尸程序攻击，解释了复杂的行为分析如何阻止攻击，以及它们为何成为核心到边缘安全策略的关键组成部分。

• 商品浏览模块：包含所选商品选择的主页

• 下单购买模块：执行实际事务的后端，包括用户身份管理和支付网关

即使商品浏览模块和下单购买模块在同一个域，但两个组件都托管在不同的云环境中，位于不同的国家和时区。在攻击发生的当天，网站在中午左右的交通量略有增加，非常典型的一天，夜间流量一般很小，当客户购买时的流量会增加。

在48小时的监控中，商品浏览模块清晰可见交通量的飙升，下单购买模块在同一时间内可疑流量大幅增加。每秒请求的规模：下单购买模块比商品浏览模块高两个数量级。

在正常的一天，客户的应用程序接收大约8000万到9000万个请求。在此次攻击中，一个非常复杂且分布均匀的僵尸网络执行了近1000万次额外请求。僵尸网络被自动识别，归类为恶意，并被OCI WAF阻止。僵尸网络的主要目标是通过临时锁定库存造成缺货，从而将付费客户推向竞争对手的网站。

当检测到可疑活动时，WAF僵尸程序管理功能自动分类并激活试图阻止传入非人流量的对策。应用程序安全引擎根据僵尸网络的复杂程度自动选择对策。

OCI WAF自动识别并阻止整个僵尸程序流量。

攻击的复杂性和所选平台的对抗措施是值得注意的。在许多情况下，大型僵尸网络由威胁智能层（当僵尸网络IP地址已知并被组织联合体列入黑名单时）或JavaScript防御层（当流量请求缺少典型的通用浏览器的JavaScript引擎时，将用户分类为僵尸）识别。

在这种情况下，OCI WAF通过设备指纹识别和人员识别和阻止可疑恶意机器人，下图显示使用这两种安全策略降低了整个恶意流量。

但传统的僵尸管理技术（如IP黑名单，WAF规则和JavaScript防御）在这种情况下，只是发现威胁并未阻止僵尸网络。

为了使人类互动挑战发挥其最大潜能，必须结合学习模式。此模型结合了已知的签名、请求头、通用IP地址、请求语言和其他因素，以创建合法用户行为的配置文件。当流量违反这些已知的行为模式时，流量将被挑战标记和阻塞。

设备指纹挑战基于超过50个属性生成虚拟和真实浏览器的哈希签名。然后利用这些专有签名进行实时关联，以识别和阻止恶意机程序。

如下图所示，僵尸网络使用各种IP地址和来源国。图片显示了每个交通量的前几个国家。请注意，僵尸网络通常分布在许多不同的位置，这就意味着运行此攻击的受损机器被分散开来。这从来不是黑客团队自身地理位置的指示器

在某些情况下，我们可以找到僵尸活动的痕迹。

下面是我们在一个受损的僵尸网络主机上找到的一个文件示例，它显示了如何通过虚假流量操纵动态定价。

Oracle云基础架构的核心到边缘安全策略保护您和您的组织免受各种外部和内部威胁的影响，并整合了事件、警报和缓解措施协调的共同管理。通常，像这里的情况一样，攻击可能包括数百万机器人程序请求。大容量必须即时动员，以便快速识别和处理攻击。Oracle的边缘计算和基础设施容量具有高度可扩展性，几乎是无限的。

在本案例研究中，客户应用程序由两个不同的云提供商托管，位于相距4500英里的国家/地区。企业越来越多地使用多个云提供商，通常与内部遗留系统及其私有云结合使用。因此，OCI WAF独特设计是独立于托管应用程序的位置（Oracle云以及Amazon Web服务、Microsoft Azure、Google云平台和内部部署）及其交付机制（如内容交付网络）工作。这种设计对于安全性和性能尤其重要，因为一个平台提供所有事件和监视的全局视图，并作为所有应用程序的唯一保护层。