僵尸网络攻击:从DDoS到“蜂巢网络”和“性勒索”

英国安全公司Noble的技术总监Ivan Blesa表示,对于网络犯罪分子而言,僵尸网络正在成为一种云服务——易于租用且费用合理。而且它们正在快速发展:僵尸网络攻击不仅仅涉及来自受损的儿童监视器、冰箱或路由器的“愚蠢”服务器请求,其攻击形式也并非只有用于削弱业务网络的DDoS攻击。事情的真相远非如此!

对于僵尸网络可能造成的损害,我们需要有一个新的认识,这种认识很可能会颠覆我们的想象。

从DDoS到“蜂巢网络”和“性勒索”

DDoS缓解专家预测,网络罪犯将开始使用围绕群技术构建的智能攻击设备集群,取代传统的僵尸网络,以创建更有效的攻击。在2018年,超过1/3(37.9%)的互联网流量来自“机器人”(bots),即自动化程序。这意味着网站的部分访问者不是人类,而是机器人,对此企业组织需要格外关注。

在这种情况下,蜂巢网络(Hivenets)和机器人集群(Swarmbots)将变得更为普遍。其中,Swarmbots可以将单个物联网设备从“奴隶”转变为自给自足的机器人,以便在最小的监督下做出自主决策。

Hivenets将能够使用群集的受感染设备或Swarmbots来同时识别和处理不同的攻击媒介。此外,Hivenet能够相互通信,并根据共享的本地情报采取行动。被感染设备也将变得更加智能,无需等待僵尸网络控制者发出指令就能自动执行命令。因此,Hivenet能够像“蜂群”(Swarm)一样呈爆炸式增长,提高其同时攻击多个受害者的能力,并大大阻碍缓解与响应措施。

目前很少有人能够有效地抵御这种攻击。传统的安全工具允许组织同时防御单个甚至多个攻击者,但应对群体是一个完全不同的挑战,特别是当面对持续、多重DDoS攻击的时候,传统安全工具根本没有足够的响应能力。

僵尸网络带来的不止21个问题

开放式Web应用程序安全项目(Open Web Application Security Project,简称OWASP)识别出机器人(bot)可以执行的21个特定自动威胁事件,包括银行卡破解(通过尝试不同的值来找出被盗支付卡的安全码)到拒绝服务攻击。很显然,这些都不是好消息。

其他的僵尸网络攻击比较粗糙,但同样十分有效。安全公司Cofense本月发现的一个问题就涉及一个典型的“出租型”僵尸网络,向现有的数据泄露受害者发送所谓的“性勒索”(sextortion)电子邮件:它针对的是2亿多潜在受害者。

这种僵尸网络并没有感染计算机设备以获取新的数据集,它是一种真正意义上的“广撒网式”攻击,攻击者通过从之前的数据泄露事件中窃取用户名和密码,然后利用这些信息联系并试图欺骗受害者付钱给他们。攻击者会声称拥有受害者电脑中存储的私密视频,并威胁说如果不付钱就会发送给受害者的所有联系人。

在大多数性勒索主题的诈骗中,攻击者会利用获得的邮件地址和密码,通过发送威胁邮件方式引发受害者的恐惧心理以达成自身的目的。攻击者通常会伪造受害者的邮件地址,假装可以访问该邮箱,从而让威胁更具说服力。一般来说,受害者收到的信息中包含钱包详细内容,并要求他们以比特币的形式支付。

作为大规模邮件攻击的一部分,性勒索主题邮件通常是一次性发送给数千甚至数万人,因此大多数邮件都会被垃圾邮件过滤器所拦截。但是诈骗者也在不断升级他们的邮件欺诈技术,包括利用社会工程学绕过传统的邮件安全网关。

此外,性勒索邮件一般不包含传统网关能检测到的恶意链接或附件,而且攻击者还开始改变邮件内容,使其具有个性化,因此难以被垃圾邮件过滤器所拦截。

Hi,恶意软件交付

由于实现了规模性感染,僵尸网络在过去10年中一直是部署恶意软件最常用的机制之一。

事实上,勒索软件已经通过僵尸网络(例如Trickbot和Emotet)以及其他类型的恶意软件作为二级有效载荷传播。Trickbot和Emotet也已经使用熟练的自动化来保持僵尸网络的运行,并使用窃取的凭据进行传播。

除此之外,通过UPnP(通用即插即用)远程重新配置易受攻击的路由器也呈现不断增长的趋势。默认情况下,一些路由器制造商会在WAN接口上将UPnP作为侦听器。UPnP允许远程配置动态转发规则,无需身份验证即可进入路由器。通过将易受攻击的路由器链接在一起,中央控制器可以在互联网上创建动态隧道,以隐藏任何类型的流量。

攻击者可以远程配置暴露UPnP协议的路由器,而无需在易受攻击的设备上运行本地恶意软件。完成这一过程所需的只是一个易受攻击的设备列表和一个中央控制器,该中央控制器能够为每个连接创建动态路径,并在连接完成后将痕迹清理干净。

僵尸网络:隐藏在你鞋子背后不得不说的秘密

一个有意思的现象是,僵尸网络攻击正越来越多地用于实施商业和零售欺诈。这些机器人的设计目的是在网上购票时抢先人类一步。梭子鱼网络的安全专家指出,诸如票务代理商、服装和鞋子设计师等零售商正在遭受先进的机器人网络的积极攻击,以便率先抢占有限的资源。

在人类做出反应之前,僵尸网络背后的运营者正在利用计算机的速度购买所有资源(包括上述提及的车票、衣服鞋子等等)。这种现象在设计师潮鞋(例如前两年非常流行的椰子鞋)领域尤为普遍,如果说你想拥有一双时尚潮鞋,首先你要先拥有一个“运动鞋机器人”再说。

好的机器人变坏了

矛盾的是,您可能遇到威胁参与者正在运行由合法机器人(未被黑客攻击但愿意为所选任务提供处理能力的机器和设备)组成的僵尸网络的情况。

举例说明,住宅用户所使用的一些免费VPN服务可能允许VPN服务提供商使该连接可用于希望自动化来自真实住宅地址的Web请求的自动流量。这些“住宅代理”(Residential proxy)网络本质上是合法的商业僵尸网络。所谓“Residential proxy”一般是从家庭住宅的路由器上分出来的ip地址,使用的就是家庭的网络,好处是ip的归属来自于像timewarner、Verizon等住宅运营商,不太容易被禁用掉。

可以从住宅地址发送流量的僵尸网络是有价值的,因为根本不存在与运行它们相关的基础设施成本,它们不会被标准IP地址黑名单检测到,它们使用真实的消费者设备,因此基于设备的指纹识别将显示其为“真实用户”,而且对于广告欺诈而言,它们可以搭载一个真正的基于cookie的角色和用户的历史记录,这就意味着用该cookie向用户提供的广告可以以更高的价格出售。

梭子鱼网络的安全专家补充道,他们在英国的一位客户在使用Advanced Bot 保护程序后发现,其60%的多GB网络流量均来自一个机器人网络,该机器人网络正在针对其网站进行爬虫操作,以获取有价值的信息。 

缓解建议

F5实验室的高级威胁分析师David Warburton警告称,企业组织是时候突破简单的基于IP的阻断机制了。

正如在高级Web应用程序防火墙中所见,主动式机器人防御(例如梭子鱼高级程序机器人防御技术)可以通过人工智能和机器学习技术来识别和阻止恶意程序机器人。其功能包括检测含有程序机器人的访问、凭证填充预防、请求风险评分和客户端指纹检测。但是,就像组织正在寻求利用机器学习等技术来对抗威胁一样,攻击者也将利用人工智能(AI)的力量来逃避防御,以进行更为复杂先进的攻击。

对此,蓝队和企业首席信息安全官们(CISO)必须通力合作才能应对这种新型挑战。

最后,Telesoft Technologies首席技术官Martin Rudd指出,“现在,我们也发现了第一批使用加密DNS来绕过旧的网络防御平台检测的僵尸网络(使用DNS over HTTPS协议的Godlua恶意软件)。”

攻击者采用新兴技术的速度与企业组织不相上下——有时候甚至更快,因为完全不同的思维过程和方法在一定程度上增强了新技术的使用方式。展望未来,我们将看到AI制造的攻击行为就像正常人类的攻击行为一样,其可以匹配人类的昼夜作息规律,甚至模仿设备运动——所有这些都将进一步加剧检测的难度。