黑客技術(shù) 點(diǎn)擊右側(cè)關(guān)注，了解黑客的世界！

Java開發(fā)進(jìn)階 點(diǎn)擊右側(cè)關(guān)注，掌握進(jìn)階之路！

Python開發(fā) 點(diǎn)擊右側(cè)關(guān)注，探討技術(shù)話題！
作者丨Jasmine
來源丨安全牛 https://mp.weixin.qq.com/s/BON9HxjBlsXktGzg5EPv7Q
英國安全公司Noble的技術(shù)總監(jiān)Ivan Blesa表示，對于網(wǎng)絡(luò)犯罪分子而言，僵尸網(wǎng)絡(luò)正在成為一種云服務(wù)——易于租用且費(fèi)用合理。 而且它們正在快速發(fā)展： 僵尸網(wǎng)絡(luò)攻擊不僅僅涉及來自受損的兒童監(jiān)視器、冰箱或路由器的“愚蠢”服務(wù)器請求，其攻擊形式也并非只有用于削弱業(yè)務(wù)網(wǎng)絡(luò)的DDoS攻擊。 事情的真相遠(yuǎn)非如此！

對于僵尸網(wǎng)絡(luò)可能造成的損害，我們需要有一個(gè)新的認(rèn)識，這種認(rèn)識很可能會(huì)顛覆我們的想象。

從DDoS到“蜂巢網(wǎng)絡(luò)”和“性勒索”

DDoS緩解專家預(yù)測，網(wǎng)絡(luò)罪犯將開始使用圍繞群技術(shù)構(gòu)建的智能攻擊設(shè)備集群，取代傳統(tǒng)的僵尸網(wǎng)絡(luò)，以創(chuàng)建更有效的攻擊。 在2018年，超過1/3（37.9%）的互聯(lián)網(wǎng)流量來自“機(jī)器人”（bots），即自動(dòng)化程序。 這意味著網(wǎng)站的部分訪問者不是人類，而是機(jī)器人，對此企業(yè)組織需要格外關(guān)注。

在這種情況下，蜂巢網(wǎng)絡(luò)（Hivenets）和機(jī)器人集群（Swarmbots）將變得更為普遍。 其中，Swarmbots可以將單個(gè)物聯(lián)網(wǎng)設(shè)備從“奴隸”轉(zhuǎn)變?yōu)樽越o自足的機(jī)器人，以便在最小的監(jiān)督下做出自主決策。

Hivenets將能夠使用群集的受感染設(shè)備或Swarmbots來同時(shí)識別和處理不同的攻擊媒介。 此外，Hivenet能夠相互通信，并根據(jù)共享的本地情報(bào)采取行動(dòng)。 被感染設(shè)備也將變得更加智能，無需等待僵尸網(wǎng)絡(luò)控制者發(fā)出指令就能自動(dòng)執(zhí)行命令。 因此，Hivenet能夠像“蜂群”（Swarm）一樣呈爆炸式增長，提高其同時(shí)攻擊多個(gè)受害者的能力，并大大阻礙緩解與響應(yīng)措施。

目前很少有人能夠有效地抵御這種攻擊。 傳統(tǒng)的安全工具允許組織同時(shí)防御單個(gè)甚至多個(gè)攻擊者，但應(yīng)對群體是一個(gè)完全不同的挑戰(zhàn)，特別是當(dāng)面對持續(xù)、多重DDoS攻擊的時(shí)候，傳統(tǒng)安全工具根本沒有足夠的響應(yīng)能力。

僵尸網(wǎng)絡(luò)帶來的不止21個(gè)問題

開放式Web應(yīng)用程序安全項(xiàng)目（Open Web Application Security Project，簡稱OWASP）識別出機(jī)器人（bot）可以執(zhí)行的21個(gè)特定自動(dòng)威脅事件，包括銀行卡破解（通過嘗試不同的值來找出被盜支付卡的安全碼）到拒絕服務(wù)攻擊。 很顯然，這些都不是好消息。

其他的僵尸網(wǎng)絡(luò)攻擊比較粗糙，但同樣十分有效。 安全公司Cofense本月發(fā)現(xiàn)的一個(gè)問題就涉及一個(gè)典型的“出租型”僵尸網(wǎng)絡(luò)，向現(xiàn)有的數(shù)據(jù)泄露受害者發(fā)送所謂的“性勒索”（sextortion）電子郵件： 它針對的是2億多潛在受害者。

這種僵尸網(wǎng)絡(luò)并沒有感染計(jì)算機(jī)設(shè)備以獲取新的數(shù)據(jù)集，它是一種真正意義上的“廣撒網(wǎng)式”攻擊，攻擊者通過從之前的數(shù)據(jù)泄露事件中竊取用戶名和密碼，然后利用這些信息聯(lián)系并試圖欺騙受害者付錢給他們。 攻擊者會(huì)聲稱擁有受害者電腦中存儲的私密視頻，并威脅說如果不付錢就會(huì)發(fā)送給受害者的所有聯(lián)系人。

在大多數(shù)性勒索主題的詐騙中，攻擊者會(huì)利用獲得的郵件地址和密碼，通過發(fā)送威脅郵件方式引發(fā)受害者的恐懼心理以達(dá)成自身的目的。 攻擊者通常會(huì)偽造受害者的郵件地址，假裝可以訪問該郵箱，從而讓威脅更具說服力。 一般來說，受害者收到的信息中包含錢包詳細(xì)內(nèi)容，并要求他們以比特幣的形式支付。

作為大規(guī)模郵件攻擊的一部分，性勒索主題郵件通常是一次性發(fā)送給數(shù)千甚至數(shù)萬人，因此大多數(shù)郵件都會(huì)被垃圾郵件過濾器所攔截。 但是詐騙者也在不斷升級他們的郵件欺詐技術(shù)，包括利用社會(huì)工程學(xué)繞過傳統(tǒng)的郵件安全網(wǎng)關(guān)。

此外，性勒索郵件一般不包含傳統(tǒng)網(wǎng)關(guān)能檢測到的惡意鏈接或附件，而且攻擊者還開始改變郵件內(nèi)容，使其具有個(gè)性化，因此難以被垃圾郵件過濾器所攔截。

Hi，惡意軟件交付

由于實(shí)現(xiàn)了規(guī)模性感染，僵尸網(wǎng)絡(luò)在過去10年中一直是部署惡意軟件最常用的機(jī)制之一。

事實(shí)上，勒索軟件已經(jīng)通過僵尸網(wǎng)絡(luò)（例如Trickbot和Emotet）以及其他類型的惡意軟件作為二級有效載荷傳播。 Trickbot和Emotet也已經(jīng)使用熟練的自動(dòng)化來保持僵尸網(wǎng)絡(luò)的運(yùn)行，并使用竊取的憑據(jù)進(jìn)行傳播。

除此之外，通過UPnP（通用即插即用）遠(yuǎn)程重新配置易受攻擊的路由器也呈現(xiàn)不斷增長的趨勢。 默認(rèn)情況下，一些路由器制造商會(huì)在WAN接口上將UPnP作為偵聽器。 UPnP允許遠(yuǎn)程配置動(dòng)態(tài)轉(zhuǎn)發(fā)規(guī)則，無需身份驗(yàn)證即可進(jìn)入路由器。 通過將易受攻擊的路由器鏈接在一起，中央控制器可以在互聯(lián)網(wǎng)上創(chuàng)建動(dòng)態(tài)隧道，以隱藏任何類型的流量。

攻擊者可以遠(yuǎn)程配置暴露UPnP協(xié)議的路由器，而無需在易受攻擊的設(shè)備上運(yùn)行本地惡意軟件。 完成這一過程所需的只是一個(gè)易受攻擊的設(shè)備列表和一個(gè)中央控制器，該中央控制器能夠?yàn)槊總€(gè)連接創(chuàng)建動(dòng)態(tài)路徑，并在連接完成后將痕跡清理干凈。

僵尸網(wǎng)絡(luò)： 隱藏在你鞋子背后不得不說的秘密

一個(gè)有意思的現(xiàn)象是，僵尸網(wǎng)絡(luò)攻擊正越來越多地用于實(shí)施商業(yè)和零售欺詐。 這些機(jī)器人的設(shè)計(jì)目的是在網(wǎng)上購票時(shí)搶先人類一步。 梭子魚網(wǎng)絡(luò)的安全專家指出，諸如票務(wù)代理商、服裝和鞋子設(shè)計(jì)師等零售商正在遭受先進(jìn)的機(jī)器人網(wǎng)絡(luò)的積極攻擊，以便率先搶占有限的資源。

在人類做出反應(yīng)之前，僵尸網(wǎng)絡(luò)背后的運(yùn)營者正在利用計(jì)算機(jī)的速度購買所有資源（包括上述提及的車票、衣服鞋子等等）。 這種現(xiàn)象在設(shè)計(jì)師潮鞋（例如前兩年非常流行的椰子鞋）領(lǐng)域尤為普遍，如果說你想擁有一雙時(shí)尚潮鞋，首先你要先擁有一個(gè)“運(yùn)動(dòng)鞋機(jī)器人”再說。

好的機(jī)器人變壞了

矛盾的是，您可能遇到威脅參與者正在運(yùn)行由合法機(jī)器人（未被黑客攻擊但愿意為所選任務(wù)提供處理能力的機(jī)器和設(shè)備）組成的僵尸網(wǎng)絡(luò)的情況。

舉例說明，住宅用戶所使用的一些免費(fèi)VPN服務(wù)可能允許VPN服務(wù)提供商使該連接可用于希望自動(dòng)化來自真實(shí)住宅地址的Web請求的自動(dòng)流量。 這些“住宅代理”（Residential proxy）網(wǎng)絡(luò)本質(zhì)上是合法的商業(yè)僵尸網(wǎng)絡(luò)。 所謂“Residential proxy”一般是從家庭住宅的路由器上分出來的ip地址，使用的就是家庭的網(wǎng)絡(luò)，好處是ip的歸屬來自于像timewarner、Verizon等住宅運(yùn)營商，不太容易被禁用掉。

可以從住宅地址發(fā)送流量的僵尸網(wǎng)絡(luò)是有價(jià)值的，因?yàn)楦静淮嬖谂c運(yùn)行它們相關(guān)的基礎(chǔ)設(shè)施成本，它們不會(huì)被標(biāo)準(zhǔn)IP地址黑名單檢測到，它們使用真實(shí)的消費(fèi)者設(shè)備，因此基于設(shè)備的指紋識別將顯示其為“真實(shí)用戶”，而且對于廣告欺詐而言，它們可以搭載一個(gè)真正的基于cookie的角色和用戶的歷史記錄，這就意味著用該cookie向用戶提供的廣告可以以更高的價(jià)格出售。

梭子魚網(wǎng)絡(luò)的安全專家補(bǔ)充道，他們在英國的一位客戶在使用Advanced Bot 保護(hù)程序后發(fā)現(xiàn)，其60%的多GB網(wǎng)絡(luò)流量均來自一個(gè)機(jī)器人網(wǎng)絡(luò)，該機(jī)器人網(wǎng)絡(luò)正在針對其網(wǎng)站進(jìn)行爬蟲操作，以獲取有價(jià)值的信息。

緩解建議

F5實(shí)驗(yàn)室的高級威脅分析師David Warburton警告稱，企業(yè)組織是時(shí)候突破簡單的基于IP的阻斷機(jī)制了。

正如在高級Web應(yīng)用程序防火墻中所見，主動(dòng)式機(jī)器人防御（例如梭子魚高級程序機(jī)器人防御技術(shù)）可以通過人工智能和機(jī)器學(xué)習(xí)技術(shù)來識別和阻止惡意程序機(jī)器人。 其功能包括檢測含有程序機(jī)器人的訪問、憑證填充預(yù)防、請求風(fēng)險(xiǎn)評分和客戶端指紋檢測。 但是，就像組織正在尋求利用機(jī)器學(xué)習(xí)等技術(shù)來對抗威脅一樣，攻擊者也將利用人工智能（AI）的力量來逃避防御，以進(jìn)行更為復(fù)雜先進(jìn)的攻擊。

對此，藍(lán)隊(duì)和企業(yè)首席信息安全官們（CISO）必須通力合作才能應(yīng)對這種新型挑戰(zhàn)。

最后，Telesoft Technologies首席技術(shù)官M(fèi)artin Rudd指出，“現(xiàn)在，我們也發(fā)現(xiàn)了第一批使用加密DNS來繞過舊的網(wǎng)絡(luò)防御平臺檢測的僵尸網(wǎng)絡(luò)（使用DNS over HTTPS協(xié)議的Godlua惡意軟件）。 ”

攻擊者采用新興技術(shù)的速度與企業(yè)組織不相上下——有時(shí)候甚至更快，因?yàn)橥耆煌乃季S過程和方法在一定程度上增強(qiáng)了新技術(shù)的使用方式。 展望未來，我們將看到AI制造的攻擊行為就像正常人類的攻擊行為一樣，其可以匹配人類的晝夜作息規(guī)律，甚至模仿設(shè)備運(yùn)動(dòng)——所有這些都將進(jìn)一步加劇檢測的難度。

推薦↓↓↓

長

按

關(guān)

注

?【16個(gè)技術(shù)公眾號】都在這里！

涵蓋：程序員大咖、源碼共讀、程序員共讀、數(shù)據(jù)結(jié)構(gòu)與算法、黑客技術(shù)和網(wǎng)絡(luò)安全、大數(shù)據(jù)科技、編程前端、Java、Python、Web編程開發(fā)、Android、iOS開發(fā)、Linux、數(shù)據(jù)庫研發(fā)、幽默程序員等。

萬水千山總是情，點(diǎn)個(gè) “ 在看” 行不行