12月25日消息，快手12月22日晚，深夜快手遭遇網(wǎng)絡(luò)攻擊，遭攻組織攻擊者利用大量僵尸賬號(hào)開設(shè)直播間，擊中播放包含色情、國電暴力等違規(guī)內(nèi)容。信安析

次日，全分快手在港交所發(fā)布公告稱，統(tǒng)策經(jīng)全力處置與系統(tǒng)修復(fù)，快手快手應(yīng)用的深夜直播功能已逐步恢復(fù)正常服務(wù)，其他服務(wù)未受影響。遭攻組織

針對(duì)該事件，擊中“中國電信安全”公眾號(hào)日前發(fā)布分析報(bào)告稱，國電中國電信安全團(tuán)隊(duì)結(jié)合“廣目”空間測繪能力、信安析“靈犀”威脅情報(bào)能力和全網(wǎng)安全運(yùn)營經(jīng)驗(yàn)對(duì)本次事件做了分析，全分得出如下結(jié)論：

一、自22日下午開始該直播平臺(tái)服務(wù)器的通訊密度較往日有明顯上升，這種行為可以理解為有預(yù)期地對(duì)某些結(jié)果進(jìn)行頻繁觀測，其中主要觀測流量的來源位于北美方向；

二、分析該直播平臺(tái)的認(rèn)證服務(wù)器近7天網(wǎng)絡(luò)行為，觀察發(fā)現(xiàn)：來自南美和東南亞方向的認(rèn)證請(qǐng)求最為頻繁，且活動(dòng)集中在21日，認(rèn)證數(shù)量達(dá)到了平日的5-6倍，偏離了日?；€；

三、通過IP行為畫像分析發(fā)現(xiàn)，訪問該平臺(tái)認(rèn)證服務(wù)器的多個(gè)南美方向IP行為模式存在明顯的機(jī)器行為痕跡，主要可以歸納為3種行為模式，其通訊時(shí)間、通訊過程、通訊目標(biāo)等存在高度的重疊，因此可基本判斷應(yīng)為某組織統(tǒng)一策劃發(fā)動(dòng)的；

四、訪問該平臺(tái)認(rèn)證服務(wù)器的東南亞方向IP流量模式不是很明顯，但大部分訪問流量高度重合在工作時(shí)間，峰值出現(xiàn)在下午14:00-17:00，非工作日更是無人查看，不太符合一般用戶使用習(xí)慣畫像；

五、通過對(duì)以上南美和東南亞方向主機(jī)在我國境內(nèi)通訊目標(biāo)的回溯分析，發(fā)現(xiàn)大部分通訊目標(biāo)位于各大云運(yùn)營商；

分析結(jié)論：本次事件從時(shí)間軸上踩點(diǎn)式的對(duì)認(rèn)證服務(wù)器進(jìn)行模式化訪問，到事件即將發(fā)生前的境外吃瓜圍觀，均從一定程度上表現(xiàn)出“境外觀眾”對(duì)于本次事件的可預(yù)見性，從通訊目標(biāo)看疑似攻擊來源主機(jī)集中在南美，但實(shí)際更可能是被攻擊組織控制的“肉雞”以掩蓋真實(shí)身份。

中國電信安全建議，企業(yè)在規(guī)劃網(wǎng)絡(luò)安全體系時(shí)，需要突破單點(diǎn)防御的局限，轉(zhuǎn)向覆蓋預(yù)防、監(jiān)測、響應(yīng)與恢復(fù)的全局化安全治理。