攻击者因为无聊而重创游戏行业？

Akamai 的2020 年游戏报告显示，视频游戏行业的网络攻击猛增，2020年猛增了340%。

在疫情的一年中，游戏行业受到的攻击迅猛增加，2020 年对 Web 应用程序的攻击猛增了340%。

根据 Akamai Technologies 最新的互联网和安全状况报告，大流行中的游戏 ( PDF )，针对视频游戏行业的网络攻击流量在 2020 年占据了主导，其增长速度在 COVID-19 期间超过了所有其他行业大流行病。

2020 年，游戏行业遭受了超过 2.4 亿次 Web 应用程序攻击。准确地说，Akamai 在全球范围内跟踪了 246,064,297 次针对游戏行业的 Web 应用程序攻击，约占该公司 2020 年跟踪的 63 亿次攻击的 4%。 ，增幅甚大。自 2018 年以来，Akamai 见证了针对游戏行业的 Web 应用程序攻击增加了 415%。

报告称：“事实上，全球 Web 应用程序攻击的同比变化仅为 2%，这意味着游戏在 2020 年的攻击流量增长超过任何其他行业。”

Akamai 安全研究员兼该报告的作者史蒂夫·拉根在一份新闻稿中引述，

犯罪分子是无情的，我们有数据可以证明这一点。我们观察到，犯罪分子每天（通常是每小时）对视频游戏行业的防御进行测试，以寻找破坏服务器和暴露信息的漏洞。我们还看到在流行的社交网络上形成了大量群聊，这些群聊致力于分享攻击技术和最佳实践。

凭证填充攻击轰炸

但震撼游戏世界的不仅仅是网络应用程序攻击。凭证填充攻击也迅速增加，比 2019 年增加了 224%。奇怪的是，分布式拒绝服务 (DDoS) 攻击在同一时期下降了近 20%。

攻击者为什么会关注游戏玩家？因为他们是 Akamai 报告中所说的“专注、高度参与和积极进取的人群”。所以，游戏玩家是“冷酷无情”的网络骗子最喜欢的目标之一。

显然，威胁行为者出于各种原因对滥用游戏玩家和游戏行业感兴趣。最近最引人注目的事件之一是使用 Steam 游戏平台分发恶意软件。上个月，安全分析师发现恶意软件潜伏在图像文件的元数据中。这种称为隐写术的技术并不新鲜，但在游戏平台上使用它肯定是新的。

另一个原因是钱。该报告提到分析公司 Newzoo 的估计，全球游戏市场将在 2021 年达到 1750 亿美元。移动游戏收入预计将占其中的 52%，因为游戏玩家很容易将真实现金换成虚拟货币，以便在游戏中使用皮肤和自定义角色增强等项目。

Akamai 研究人员发现了一个骗局，犯罪分子瞄准了一家名为 Codashop 的公司，该公司是最大的游戏玩家“充值”门户网站之一，欺骗其网站并将其用作诱饵来获取游戏玩家的个人信息和凭据。

Codashop 网络钓鱼工具包收集了受害者的电子邮件地址、密码、游戏登录详细信息、游戏用户名、地理位置数据以及他们的玩家级别和等级，所有这些都将在犯罪市场上出售。

骗子和我们其他人一样在大流行时代没有太多事可做

网络安全公司 Imperva 的边缘安全架构师 Alex Bakshtein 表示，“这并不总是与钱有关。相反，这些攻击通常只是针对游戏玩家。在游戏领域，这些攻击很少以金钱为动机。通常情况下，攻击者这样做是为了消遣其他游戏玩家或发行商，甚至是，只是为了证明自己可以。”

这一观点与Akamai研究人员的想法不谋而合：他们写道，在试图找出这些游戏行业攻击凶猛峰值背后的“原因”时，我们不能忽视2020年是个“疯狂”的年度。

报告称：“当我们都在家里适应‘新常态’，在流感大流行期间努力平衡工作、学校和日常生活时，许多人把游戏作为个人联系的出口和手段。”罪犯份子也是如此。虽然他们的意图是恶意的，但他们仍然是人。他们互相交谈，玩游戏，在某些情况下，这种社会纽带意味着他们在不同程度上相互协调。

谈论如何破坏是每个攻击者的游戏乐趣

例如，Akamai 在流行的 Discord 社交平台上发现了关于如何追捕游戏玩家的群聊——这个平台，就其价值而言，受到威胁行为者的欢迎，他们利用它来逃避安全，以提供信息窃取工具、远程-访问木马 (RAT) 和其他恶意软件。

Akamai 研究人员在 Discord 群聊中发现了这些顶级 Web 应用程序攻击媒介的技术、工具和攻略：

· SQL 注入 (SQLi)

· 本地文件包含 (LFI)

· 跨站脚本 (XSS)

报告解释说：“流行的讨论和教程集中在多合一工具上，并使用 Shodan 和 Censys 等服务来定位数据库、未受保护的资产等。” “其中许多讨论的关键是利用已知的工具和服务作为搜索和扫描工作中的混淆手段。”

SQLi 和 LFI：自动攻击的首选武器

虽然 Web 应用程序攻击激增，但攻击者最喜欢的攻击媒介保持稳定：Akamai 发现 SQLi 仍然是游戏行业中排名第一的攻击媒介，占 59%，其次是 LFI 攻击，占 24%。

报告解释说，这两个主要的攻击媒介主要来自那些已经自动化了他们的工作并且正在寻找“机会”的攻击者，“新的应用程序、API或帐户功能没有得到适当的强化和暴露。”

报告说，LFI和LFI攻击的主要目标是移动和基于网络的游戏，因为攻击者很可能假设此类平台是坐着待宰的鸭子：攻击者的想法是，它们很可能“没有桌面和游戏机的防御那么有力”。

Akamai 表示，LFI 攻击通常试图暴露运行 ASP、JSP 或 PHP 语言的应用程序或服务中的敏感细节。“通常，LFI 攻击会导致信息泄露，例如配置文件（可用于进一步破坏服务器或帐户），”研究人员观察到。“就游戏行业而言，这些攻击可能会暴露可用于作弊或利用的玩家或帐户详细信息。”

报告称，当 SQLi 攻击特别针对游戏行业时，它们可能会产生登录凭据、个人信息或存储在暴露数据库中的任何其他内容。攻击者然后在暗网市场上出售这些凭证，买家继续在凭证填充攻击中使用它们。

XSS 攻击和远程文件包含 (RFI) 攻击排在第三位，分别为 8% 和 7%。“在过去的三年里，这真的根本没有改变，”报告说。

“Dorks”是攻击高峰的幕后推手

Akamai 绘制了一些值得注意的攻击高峰：在 6 月 1 日和 2020 年 7 月 11 日，Akamai 记录了 1460 万次攻击：这一数字在短短一天内就超过了上个月的攻击总数。9 月还有一个高峰，当时 Akamai 观察到超过 200 万次攻击。

正如报告所解释的那样，该公司没有看到任何“与犯罪世界正在发生的事情以及他们对游戏行业的突然爆发性关注的直接联系”。

但去年夏天早些时候，Akamai的研究人员确实观察到了一些在犯罪论坛上流传的教程。这些教程的重点是自动SQLi和LFI攻击，包括“dorks”，它可以帮助刚接触这种类型攻击的罪犯了解要寻找什么。研究人员指出，“这些教程中有许多是已建立的培训的盗版，例如SANS和进攻性安全组织提供的书籍和课程，以及Udemy教授的课程。”

凭证填充

在 Akamai 去年在全球追踪的 1930 亿次攻击中，凭证填充约占 6%。该公司在游戏行业追踪了 10,851,228,730 次撞库攻击：同比增长 224%。从 2018 年到 2020 年，这些攻击在三年内增长了 24%。

Akamai 将这种增长的部分原因归功于它在过去一年中为其全球网络增加了新客户而获得的知名度。它将攻击归咎于顽固的犯罪分子，峰值出现在 4 月 11 日（7600 万）、10 月（1.01 亿）和 12 月（1.57 亿）。

“仅次于网络钓鱼，凭证填充是最常见的帐户接管攻击类型，主要是由于犯罪分子可以通过多种方式利用受损帐户，”报告继续说道。“在 2020 年夏天，大量用户名和密码列表的价格仅为每百万条记录 5 美元。”

研究人员写道，在其 2020 年游戏报告中，Akamai 观察到犯罪分子利用他们在 COVID-19 封锁期间的停机时间“回收旧凭证列表并针对新目标进行测试”。他们从 2020 年初开始，并全年持续进行。

报告指出，凭证填充是一个“持续存在的问题”，因为我们中的许多人都有如此恶劣的密码问题。“当游戏玩家或一般公众跨平台和服务重复使用凭据时，对其中一个的成功攻击将直接导致对该密码存在的所有账户也被攻击。”

研究人员说，考虑到他们在尝试“回收”密码时如何阻止骗子，它使密码管理器变得“必不可少”。“如果游戏密码与银行网站上使用的密码相同，那么当犯罪分子攻陷一个账户时，他们将危害所有账户，因为回收的密码将针对多个平台和服务进行测试，。

削弱防御

Imperva 的 Alex Bakshtein 告诉 Threatpost，最常用的防止一系列 Web 应用程序攻击的工具是 Web 应用程序防火墙 (WAF)。

他指出，当谈到 XSS 攻击时，WAF“应该使用基于签名的过滤来识别和阻止恶意请求”。

他通过电子邮件说，在阻止 SQLi 攻击方面，WAF 依赖于大量且不断更新的精心制作的签名列表，这些签名允许它“手术清除恶意 SQL 查询”。

这样的列表通常包含用于处理特定攻击向量的签名，并定期进行修补，以便为新发现的漏洞引入阻止规则。

他说，当谈到 RFI 攻击时，“输入清理和适当的文件管理实践本身几乎是不够的，即使它们有效地最大限度地降低了 RFI 的风险。” 他认为，使用签名、行为和基于声誉的安全启发法的组合来监视用户输入并过滤掉恶意请求的 WAF 是“理想的”。“WAF 被部署为安全代理，并在 RFI 尝试与您的 Web 应用程序交互之前阻止服务器边缘的 RFI 尝试。”

Bakshtein 补充说，现代 WAF“应该与其他安全解决方案集成，例如高级机器人保护。从中，WAF 可以接收进一步增强其安全能力的附加信息。例如，遇到可疑但并非彻底的恶意输入的 Web 应用程序防火墙可能会在决定阻止请求之前使用 IP 数据对其进行交叉验证。如果 IP 本身的声誉不佳，它会阻止输入。”