快科技12月25日消息，12月22日晚，快手遭遇网络攻击，攻击者利用大量僵尸账号开设直播间，播放包含色情、暴力等违规内容。

次日，快手在港交所发布公告称，经全力处置与系统修复，快手应用的直播功能已逐步恢复正常服务，其他服务未受影响。

针对该事件，“中国电信安全”公众号日前发布分析报告称，中国电信安全团队结合“广目”空间测绘能力、“灵犀”威胁情报能力和全网安全运营经验对本次事件做了分析，得出如下结论：

一、自22日下午开始该直播平台服务器的通讯密度较往日有明显上升，这种行为可以理解为有预期地对某些结果进行频繁观测，其中主要观测流量的来源位于北美方向；

二、分析该直播平台的认证服务器近7天网络行为，观察发现：来自南美和东南亚方向的认证请求最为频繁，且活动集中在21日，认证数量达到了平日的5-6倍，偏离了日常基线；

三、通过IP行为画像分析发现，访问该平台认证服务器的多个南美方向IP行为模式存在明显的机器行为痕迹，主要可以归纳为3种行为模式，其通讯时间、通讯过程、通讯目标等存在高度的重叠，因此可基本判断应为某组织统一策划发动的；

四、访问该平台认证服务器的东南亚方向IP流量模式不是很明显，但大部分访问流量高度重合在工作时间，峰值出现在下午14:00-17:00，非工作日更是无人查看，不太符合一般用户使用习惯画像；

五、通过对以上南美和东南亚方向主机在我国境内通讯目标的回溯分析，发现大部分通讯目标位于各大云运营商；

分析结论：本次事件从时间轴上踩点式的对认证服务器进行模式化访问，到事件即将发生前的境外吃瓜围观，均从一定程度上表现出“境外观众”对于本次事件的可预见性，从通讯目标看疑似攻击来源主机集中在南美，但实际更可能是被攻击组织控制的“肉鸡”以掩盖真实身份。

中国电信安全建议，企业在规划网络安全体系时，需要突破单点防御的局限，转向覆盖预防、监测、响应与恢复的全局化安全治理。