僵尸網絡攻擊:從DDoS到“蜂巢網絡”和“性勒索”
作者:星期六, 九月 7, 20190

英國安全公司Noble的技術總監Ivan Blesa表示,對于網絡犯罪分子而言,僵尸網絡正在成為一種云服務——易于租用且費用合理。而且它們正在快速發展:僵尸網絡攻擊不僅僅涉及來自受損的兒童監視器、冰箱或路由器的“愚蠢”服務器請求,其攻擊形式也并非只有用于削弱業務網絡的DDoS攻擊。事情的真相遠非如此!

Distributed denial of service or DDoS attack concept with faceless hooded male person using tablet computer, low key red and blue lit image and digital glitch effect

對于僵尸網絡可能造成的損害,我們需要有一個新的認識,這種認識很可能會顛覆我們的想象。

從DDoS到“蜂巢網絡”和“性勒索”

2011年福彩3d走势 www.oykik.tw DDoS緩解專家預測,網絡罪犯將開始使用圍繞群技術構建的智能攻擊設備集群,取代傳統的僵尸網絡,以創建更有效的攻擊。在2018年,超過1/3(37.9%)的互聯網流量來自“機器人”(bots),即自動化程序。這意味著網站的部分訪問者不是人類,而是機器人,對此企業組織需要格外關注。

在這種情況下,蜂巢網絡(Hivenets)和機器人集群(Swarmbots)將變得更為普遍。其中,Swarmbots可以將單個物聯網設備從“奴隸”轉變為自給自足的機器人,以便在最小的監督下做出自主決策。

Hivenets將能夠使用群集的受感染設備或Swarmbots來同時識別和處理不同的攻擊媒介。此外,Hivenet能夠相互通信,并根據共享的本地情報采取行動。被感染設備也將變得更加智能,無需等待僵尸網絡控制者發出指令就能自動執行命令。因此,Hivenet能夠像“蜂群”(Swarm)一樣呈爆炸式增長,提高其同時攻擊多個受害者的能力,并大大阻礙緩解與響應措施。

目前很少有人能夠有效地抵御這種攻擊。傳統的安全工具允許組織同時防御單個甚至多個攻擊者,但應對群體是一個完全不同的挑戰,特別是當面對持續、多重DDoS攻擊的時候,傳統安全工具根本沒有足夠的響應能力。

僵尸網絡帶來的不止21個問題

開放式Web應用程序安全項目(Open Web Application Security Project,簡稱OWASP)識別出機器人(bot)可以執行的21個特定自動威脅事件,包括銀行卡破解(通過嘗試不同的值來找出被盜支付卡的安全碼)到拒絕服務攻擊。很顯然,這些都不是好消息。

其他的僵尸網絡攻擊比較粗糙,但同樣十分有效。安全公司Cofense本月發現的一個問題就涉及一個典型的“出租型”僵尸網絡,向現有的數據泄露受害者發送所謂的“性勒索”(sextortion)電子郵件:它針對的是2億多潛在受害者。

這種僵尸網絡并沒有感染計算機設備以獲取新的數據集,它是一種真正意義上的“廣撒網式”攻擊,攻擊者通過從之前的數據泄露事件中竊取用戶名和密碼,然后利用這些信息聯系并試圖欺騙受害者付錢給他們。攻擊者會聲稱擁有受害者電腦中存儲的私密視頻,并威脅說如果不付錢就會發送給受害者的所有聯系人。

在大多數性勒索主題的詐騙中,攻擊者會利用獲得的郵件地址和密碼,通過發送威脅郵件方式引發受害者的恐懼心理以達成自身的目的。攻擊者通?;崳痹焓芎φ叩撓始刂?,假裝可以訪問該郵箱,從而讓威脅更具說服力。一般來說,受害者收到的信息中包含錢包詳細內容,并要求他們以比特幣的形式支付。

作為大規模郵件攻擊的一部分,性勒索主題郵件通常是一次性發送給數千甚至數萬人,因此大多數郵件都會被垃圾郵件過濾器所攔截。但是詐騙者也在不斷升級他們的郵件欺詐技術,包括利用社會工程學繞過傳統的郵件安全網關。

此外,性勒索郵件一般不包含傳統網關能檢測到的惡意鏈接或附件,而且攻擊者還開始改變郵件內容,使其具有個性化,因此難以被垃圾郵件過濾器所攔截。

Hi,惡意軟件交付

由于實現了規模性感染,僵尸網絡在過去10年中一直是部署惡意軟件最常用的機制之一。

事實上,勒索軟件已經通過僵尸網絡(例如Trickbot和Emotet)以及其他類型的惡意軟件作為二級有效載荷傳播。Trickbot和Emotet也已經使用熟練的自動化來保持僵尸網絡的運行,并使用竊取的憑據進行傳播。

除此之外,通過UPnP(通用即插即用)遠程重新配置易受攻擊的路由器也呈現不斷增長的趨勢。默認情況下,一些路由器制造商會在WAN接口上將UPnP作為偵聽器。UPnP允許遠程配置動態轉發規則,無需身份驗證即可進入路由器。通過將易受攻擊的路由器鏈接在一起,中央控制器可以在互聯網上創建動態隧道,以隱藏任何類型的流量。

攻擊者可以遠程配置暴露UPnP協議的路由器,而無需在易受攻擊的設備上運行本地惡意軟件。完成這一過程所需的只是一個易受攻擊的設備列表和一個中央控制器,該中央控制器能夠為每個連接創建動態路徑,并在連接完成后將痕跡清理干凈。

僵尸網絡:隱藏在你鞋子背后不得不說的秘密

一個有意思的現象是,僵尸網絡攻擊正越來越多地用于實施商業和零售欺詐。這些機器人的設計目的是在網上購票時搶先人類一步。梭子魚網絡的安全專家指出,諸如票務代理商、服裝和鞋子設計師等零售商正在遭受先進的機器人網絡的積極攻擊,以便率先搶占有限的資源。

在人類做出反應之前,僵尸網絡背后的運營者正在利用計算機的速度購買所有資源(包括上述提及的車票、衣服鞋子等等)。這種現象在設計師潮鞋(例如前兩年非常流行的椰子鞋)領域尤為普遍,如果說你想擁有一雙時尚潮鞋,首先你要先擁有一個“運動鞋機器人”再說。

好的機器人變壞了

矛盾的是,您可能遇到威脅參與者正在運行由合法機器人(未被黑客攻擊但愿意為所選任務提供處理能力的機器和設備)組成的僵尸網絡的情況。

舉例說明,住宅用戶所使用的一些免費VPN服務可能允許VPN服務提供商使該連接可用于希望自動化來自真實住宅地址的Web請求的自動流量。這些“住宅代理”(Residential proxy)網絡本質上是合法的商業僵尸網絡。所謂“Residential proxy”一般是從家庭住宅的路由器上分出來的ip地址,使用的就是家庭的網絡,好處是ip的歸屬來自于像timewarner、Verizon等住宅運營商,不太容易被禁用掉。

可以從住宅地址發送流量的僵尸網絡是有價值的,因為根本不存在與運行它們相關的基礎設施成本,它們不會被標準IP地址黑名單檢測到,它們使用真實的消費者設備,因此基于設備的指紋識別將顯示其為“真實用戶”,而且對于廣告欺詐而言,它們可以搭載一個真正的基于cookie的角色和用戶的歷史記錄,這就意味著用該cookie向用戶提供的廣告可以以更高的價格出售。

梭子魚網絡的安全專家補充道,他們在英國的一位客戶在使用Advanced Bot ?;こ絳蠔蠓⑾?,其60%的多GB網絡流量均來自一個機器人網絡,該機器人網絡正在針對其網站進行爬蟲操作,以獲取有價值的信息。

緩解建議

F5實驗室的高級威脅分析師David Warburton警告稱,企業組織是時候突破簡單的基于IP的阻斷機制了。

正如在高級Web應用程序防火墻中所見,主動式機器人防御(例如梭子魚高級程序機器人防御技術)可以通過人工智能和機器學習技術來識別和阻止惡意程序機器人。其功能包括檢測含有程序機器人的訪問、憑證填充預防、請求風險評分和客戶端指紋檢測。但是,就像組織正在尋求利用機器學習等技術來對抗威脅一樣,攻擊者也將利用人工智能(AI)的力量來逃避防御,以進行更為復雜先進的攻擊。

對此,藍隊和企業首席信息安全官們(CISO)必須通力合作才能應對這種新型挑戰。

最后,Telesoft Technologies首席技術官Martin Rudd指出,“現在,我們也發現了第一批使用加密DNS來繞過舊的網絡防御平臺檢測的僵尸網絡(使用DNS over HTTPS協議的Godlua惡意軟件)?!?/p>

攻擊者采用新興技術的速度與企業組織不相上下——有時候甚至更快,因為完全不同的思維過程和方法在一定程度上增強了新技術的使用方式。展望未來,我們將看到AI制造的攻擊行為就像正常人類的攻擊行為一樣,其可以匹配人類的晝夜作息規律,甚至模仿設備運動——所有這些都將進一步加劇檢測的難度。

相關閱讀

數說IoT僵尸網絡

Torii:打不死的隱秘IoT僵尸網絡

區塊鏈新用法:控制僵尸網絡

 


相關文章

寫一條評論

 

 

0條評論