12月24日,火絨安全官方發文,復盤快手平臺直播遭黑灰產攻擊事件。
火絨官方稱,本次事件中,攻擊者利用高度自動化的手段,在短時間內對平臺直播業務發起了針對性的邏輯層干擾,導致部分違規內容突破審核邊界。
全景復盤如下:
1、前序探測期(12月22日18:00-20:00)
關鍵特征與表象:平臺出現零星違規內容,但在正常風控范圍內被迅速清理。
技術側邏輯推演:攻擊者投放小規模測試樣本,旨在測算平臺AI審核模型的響應延遲與封禁閾值,通過“試探-反饋”機制校準后續攻擊腳本的參數 。
2、攻擊爆發期(12月22日22:00)
關鍵特征與表象:流量晚高峰,大量新注冊及被劫持賬號幾乎同時開播,播放預制違規視頻。
技術側邏輯推演:利用“群控”與自動化腳本實現毫秒級并發 ,造成“業務邏輯層擁塞”。攻擊者特意選擇人力審核交接班且用戶流量最大的薄弱時段 ,意在最大化攻擊的社會影響與系統壓力 。
3、系統僵持期(12月22日22:00-23:00)
關鍵特征與表象:違規直播間持續存在,用戶舉報反饋失效,后臺封禁指令執行出現顯著滯后。
技術側邏輯推演:內容識別系統正常工作并發出警報,但后端的“處置執行接口”遭遇高頻請求洪泛,導致指令隊列積壓,無法實時落實封禁動作,形成了“識別但不處置”的中間態。
4、應急阻斷期(12月22日23:00-23日00:30)
關鍵特征與表象:直播入口顯示“服務器繁忙”,隨后整個直播頻道內容清空。
技術側邏輯推演:平臺啟動最高級別應急預案。由于無法在短時間內精準剝離海量攻擊流量與正常用戶流量,采取了“熔斷”機制,暫時下架直播服務以切斷違規傳播路徑,防止事態進—步擴大 。
5、服務恢復期(12月23日08:00)
關鍵特征與表象:直播功能逐步恢復,違規內容肅清。
技術側邏輯推演:系統完成清洗與修復,重新上線,平臺逐步恢復正常運營。
火絨分析稱,傳統的DDoS,旨在耗盡帶寬;或者針對應用層耗盡HTTP連接數。然而,快手事件展現出了一種更為隱蔽且高效的形態,行業內將其定義為業務邏輯DDoS。
攻擊者通過對“封禁執行接口”實施高頻洪泛攻擊,耗盡了后端計算資源。這導致系統陷入雖能秒級識別違規,但無力落實封禁的邏輯癱瘓,如同報警系統靈敏作響,但執法車輛卻被惡意擁堵徹底困死。
對此,火絨發表建議,對于企業而言,如果攻擊流量來自于被控制的內部辦公電腦或被植入木馬的業務終端,那么部署強有力的端側防護就是切斷攻擊的“熔斷器”。對于個人用戶來說,反病毒引擎的普及則是防止設備淪為黑產幫兇的根本。
火絨安全建議廣大用戶,針對性筑牢端側安全防線:企業需部署具備場景化防護能力的終端安全方案,個人用戶也應安裝正規安全軟件,規避惡意攻擊風險。
此前,快手發布公告稱公司已第一時間啟動應預案,經全力處置與系統修復,快手應用的直播功能已逐步恢復正常服務,相應情況已上報給相關部門,并向公安機關報警。
