殭屍網路正在成長,我們正處於一個高度戒備的狀態 - 網路威脅是來自於受人雇用或由國家資助的駭客組織、恐怖分子的時代。他們在每個角落尋找機密的訊息、技術、敏感的檔案以及想法。一般來說,這些有價值的資訊對很重要。他們可隨意製造罷工,對關鍵基礎設施和我們的國民經濟造成嚴重打擊。
網路犯罪分子對一個國家和其公民的經濟及隱私構成嚴重威脅,這已經不算什麼新聞。他們實現目標的眾多方法之一是通過使用殭屍網路 Botnet。網路犯罪分子正在利用來感染大型網路和大量端點。
殭屍網路現在是網路犯罪分子的完美工具。為了避免嚴重的攻擊,您需要採取第一個方法是瞭解殭屍網路的意圖及其原理。接下來,您可以採取行動尋找積極措施,以避免成為惡意殭屍網路攻擊的受害者。
什麼是殭屍網路 Botnet
“殭屍網络”(“機器人網路” Botnet 的縮寫),是已經受到入侵並可集體行動的連網設備。和過往的惡意軟體不同,在過去的惡意軟體中,獨立的單一設備被程式設計為進行攻擊,殭屍網路由 Bot 指揮者或命令和控制(C2)伺服器集中協調。
本質上來說,這些殭屍網路希望網路網連接的設備在進行攻擊時進行協同工作。啟動后,殭屍網路可用於 DDoS 攻擊,惡意軟體分發和其他有組織的犯罪。它還可以用來攻擊連接網路的關鍵基礎設施,或作為意識形態活動的武器,煽動恐懼或引起群眾羞辱。
通常,殭屍網路攻擊可以使上千台設備感染,卻找不到明顯的證據表明其存在,並且殭屍網路理論上可以運行多年。一旦端點成為殭屍網路活動的一部分,就非常難防止在網路中下載惡意代碼。
2016年,一場著名的殭屍網路攻擊 Mirai 造成了分散式 DDOS 阻斷服務攻擊,導致數百萬網際網路用戶無法使用美國東岸的網路。這是一次重大攻擊,也是第一次感染超過60萬個不安全的物聯網設備。
2020年,在研究團隊White Ops Satori Threat Intelligence & Research報告指出這些應用程式的惡意活動迫使使用者在其設備上安裝廣告欺詐殭屍網路之後,Google Play 商店中刪除了許多應用程式。該攻擊在短短一周內產生了20億個欺詐性出價請求,感染了超過 65,000 台智慧裝置,並欺騙了 5,000 多個應用程式。
通常,C2 伺服器或爬蟲程式在兩種模型中控制殭屍網路 - 集中式和分散式P2P模型。集中式模型在現在並不常見,它在bot herder和各個受感染的設備之間建立直接通信。這個概念基於命令和控制(C2)伺服器和 IRC 等通信協定。
殭屍網路的工作原理
IRC 負責向其他受感染設備發出命令。最初, bot herder對每個機器人編程以保持休眠狀態,並等待從C&C 伺服器的命令。當時機成熟, bot herder將命令發到C2伺服器,C2 伺服器將消息中繼到客戶端設備(Zombie設備)。用戶端執行活動並向bot herder回傳結果。
分散式P2P是駭客的主流的方法,因為它與集中式相比具有穩健性。在此方法中,殭屍網路在所有其他殭屍網路設備之間共用命令並協調資訊,而無需依賴中央伺服器。通常,這種方法可以控制全球網路,接管多達100,000多台設備。
殭屍網路和惡意軟體之間的區別
殭屍網路是一種協同攻擊,涉及許多安裝了惡意代碼的端點設備。這是一種大規模的網路攻擊,影響大量受惡意軟體感染的設備。相比之下,惡意軟體是對單個設備或端點的協調攻擊。
與傳統的惡意軟體攻擊相比,殭屍網路可能非常強大。與在單一設備上複製和施加惡意代碼的惡意軟體攻擊不同,殭屍網路通過允許機器主機同時對多個設備執行大量網路攻擊來構成更大的威脅。
殭屍網路攻擊的類型
控制殭屍網路的攻擊者擁有廣泛的惡意攻擊類型。其中一些包括以下內容。
分散式阻斷服務(DDOS)
殭屍網路 DDoS 攻擊是一種針對網路設備、伺服器、應用程式和作業系統的常見攻擊。網路層DDoS攻擊使用 DNS 放大攻擊和 UDP Flooding 等不同技術來消耗目標的頻寬,進而阻止合法請求得到處理。
對應用程式層的 DDoS 攻擊利用作業系統、應用程式或系統協定中的漏洞,阻止其向使用者通訊或回傳內容。
蠻力攻擊(Brute Force Attacks)
蠻力攻擊是將惡意代散播到網路、伺服器和應用程式中的眾多方法之一。攻擊方試圖通過逐一測試可能的密碼試圖來訪問您的基礎結構或應用程式。在暴力破解過程中,惡意軟體直接與服務器交互以獲取及時反饋。這在 RDP 技術中最為常見。但最近略有下降,但並非所有國家都在下降。統計數據顯示,2021年第一季度,美國在RDP技術上經歷了4750萬次殭屍網路攻擊。在2022年同期,攻擊次數已大幅增加到5000萬。
網路釣魚
殭屍網路攻擊透過網路釣魚電子郵件的簡單方法來散播惡意軟體。由於殭屍網路是為攻擊多個設備而設計和自動化的,因此關閉網路釣魚活動就像製作炒雞蛋一樣簡單。網路釣魚的概念使駭客很容易獲得更多設備的訪問許可權來拓展其殭屍網路,從而滲透到對整個企業的廣大傷害中。
安全團隊必須阻止殭屍網路
產業專家估計,殭屍網路攻擊已經給全球的金融機構、國防承包商、政府機構和其他主要企業造成了數百萬美元的損失。在過去的12個月里,殭屍網路攻擊已經襲擊了83%的企業,77%的企業因攻擊而損失了至少6%的收入。
每個安全團隊防止殭屍網路攻擊的第一本能應該是找到提前檢測它們的方法。一旦殭屍網路活動進入您的基礎架構並感染您的核心設備,緩解過程就會變得越來越複雜。隨著流量的增加和更強大的加密演算法,檢測變得越來越困難。
但是,使用 JA3 特徵辨識檢查傳入的加密網路流量是檢測隱藏在加密流量中的惡意軟體的一種方法。JA3 將幫助識別可用於通過 TLS 跟蹤特定用戶端應用程式通信的特徵。它通過將 JA3 指紋與威脅情報源進行比較來實現此目的,該威脅情報源已將此指紋標識為已知的入侵指標 (IoC)。
立即對殭屍網路採取行動
殭屍網路在不斷發展,每個SecOps團隊都必須不斷改進其威脅搜尋機制,在殭屍網路活動造成損害之前對其進行檢測。
為了優化網路可視化,NetQuest 的 Flow-based 網路流量感測器 SNS 可監控大型企業和電信網路,檢查所有加密和未加密的流量。感測器還可以從每個網路連線中提取詳細資訊,並匯出非取樣的流量紀錄 (unsampled flow record),以用於檢測網路中可能存在的任何異常。