Cloudflare 2026威胁报告:94%登录来自机器人63%凭证已遭泄露
Cloudflare于2026年3月3日发布了首份年度2026威胁报告。这份报告由Cloudflare内部威胁情报团队Cloudforce One撰写,在翻译了数以万亿计的网络信号之后,给出了一个核心判断:暴力闯入的时代正在消退,取而代之的是一种以高信任度漏洞利用为优先的新攻击模式——攻击者不再追求"高精尖的单次入侵",而是在乎"以最低成本实现最大化效果"。Cloudflare称之为威胁的"全面工业化"。
报告中有几组数字直接让人坐直了:94%的登录尝试来自机器人;在过去三个月里,63%的所有登录请求涉及的凭证已在其他平台遭到泄露;46%的被分析邮件未能通过DMARC(邮件身份验证协议)验证。
攻击者开始"借穿"可信工具的制服
报告最值得关注的技术细节之一,是攻击者利用合规云平台作为指挥与控制(C2)基础设施的趋势。Cloudflare的观测显示,攻击者正在使用Google Drive、Dropbox、GitHub、Google Calendar、Microsoft Teams和Amazon S3来隐藏C2流量,使恶意活动与正常企业网络流量在表现上难以区分。这种"就地取材"(Living off the Land)策略——或者说"就地借用任何服务"——让传统的基于已知恶意IP或域名的黑名单防御几乎失效。
举一个具体案例:被Cloudflare命名为FrumpyToad的威胁组织(归因于中国)利用一种被称为"逻辑C2"的手法——把加密指令直接读写进Google Calendar的日历事件描述字段。整个攻击链条完全运行在被广泛信任的SaaS应用的合法逻辑之上。
AI正在被攻击者用于自动化高速作战
报告确认了生成式AI作为攻防两端力量倍增器的趋势:攻击方利用AI进行实时网络测绘、加速漏洞利用开发,以及生成超真实的深度伪造内容,使低技能攻击者也能发动高冲击力的行动。Cloudforce One追踪了一个威胁行为者,该行为者使用AI精确定位云环境中的高价值数据位置,然后通过一个被攻破的第三方API发起级联攻击,最终波及数百个独立企业租户。
CrowdStrike的2026全球威胁报告与此呼应:AI赋能的攻击者发动的攻击年同比增长89%,eCrime平均横向移动时间(从初始访问到跨网络移动的窗口)缩短至29分钟,最快一次仅历时27秒。
超大规模DDoS:31.4 Tbps成为新基准线
报告的第八个关键趋势涉及超大规模DDoS攻击。Cloudflare的遥测数据确认,DDoS流量已建立了31.4 Tbps的基准,Aisuru等大型僵尸网络是主要推手。报告指出,这类攻击"正在定期打破记录",人工响应的窗口已经关闭,自动化防御系统是唯一可行的架构选择。
报告还点名了五个国家级威胁组织:归因于中国的Salt Typhoon、Linen Typhoon、FrumpyToad和PunyToad,以及归因于北朝鲜的PatheticSlug、俄罗斯的NastyShrew、伊朗的CrustyKrill,描述了它们各自的攻击方法和优先目标。
Cloudflare首席技术官John Graham-Cumming在报告中指出:"2026年最危险的威胁行为者不是代码最高深的那些,而是能把情报和技术整合成一套持续运行体系并以最短时间完成任务的那些。"