如今,网络罪犯有各种各样的工具可供他们使用。僵尸网络是最基本、最危险的工具之一。
如今,几乎所有的网络攻击都以这种或那种形式使用僵尸网络。甚至是由人类黑客直接发起的攻击,比如手动攻击渗透尝试,通常在探测目标网络和执行漏洞扫描的僵尸网络之前。因此,对高管了解僵尸网络如何工作,以及如何捍卫他们的网络是至关重要的。
顾名思义,僵尸网络是由机器人组成的网络。
“Bot”是网络机器人的缩写,也被称为“互联网机器人”或“www机器人”。机器人是一种软件应用程序,它可以自动执行人类可能会执行的活动。机器人如今被广泛使用,因为机器人可以比人类更快、更大规模地执行许多活动。
并非所有机器人都很糟糕。事实上,有不同类型的机器人,包括在大多数网站上欢迎的许多好机器人。搜索引擎蜘蛛和Web购物引擎可能是良好机器人最常见的例子。
但是,僵尸网络由充满敌意的机器人;恶意软件程序运行在一个大型网络上的被破坏的设备。每个机器人定期与中央命令与控制服务器通信;这就是黑客控制僵尸网络并向僵尸发出指令的方式,命令它们发动各种攻击。被入侵设备的所有者通常不会意识到这些正在发生。
僵尸网络可以根据它们运行的设备类型进行分类。最强大的僵尸网络往往是大型个人电脑网络。黑客通过在机器上安装恶意软件来构建这些网络;一种常见的方法是发送含有木马附件的垃圾邮件,或者可能是恶意链接,点击后会导致安装僵尸程序。无论如何,运行在受感染pc上的僵尸网络都是黑客们高度觊觎的工具,因为底层pc拥有各种各样的功能。
另一端是由僵尸网络组成的物联网设备.在过去的几年里,许多联网的“智能”设备已经出现在市场上:从恒温器到门铃再到安全摄像头。不幸的是,这些设备中的许多都没有强大的安全性,黑客们已经能够破坏无数的设备,将它们奴役并整合到大规模的僵尸网络中。
由于IOT设备比PC的能力更简单,并且在其能力中更具限制,因此IOT BOTNET能够比基于PC的僵尸网络的攻击更少。例如,大多数IOT设备没有电子邮件软件,而大多数PC则执行;因此,PC僵尸网络可以用于巨大的垃圾邮件宣传活动,而IoT Botnet则不能。
但是,无论缺乏质量如何,都可以用数量来补偿;一些物联网僵尸网络是巨大的,含有数十万个驻留的设备。这些网络倾向于用于更简单的体积攻击,如DDOS,其中产生的流量数量是攻击的主要特征。
今天,僵尸网络被用于许多不同类型的攻击。下面是一些最常见的。
在一个DDoS攻击,僵尸网络将产生大量流量,所有流量都针对一个目标。黑客的目标是向目标站点或web应用程序发送大量传入的HTTP请求,使其对目标用户不可用。理想的结果(从黑客的角度来看)是使目标完全崩溃并使其下线。
然而,即使是严重堕落的表现也会被认为是成功的。现代DDOS攻击可以达到惊人的卷;正如本文的编写,当前记录是2.3 TBPS攻击,该攻击目标是使用亚马逊Web服务的组织。毫无疑问,这个记录将很快破坏,甚至更大的攻击。
在互联网的早期时期,电子邮件垃圾邮件发送者将使用少量计算机发送大量消息。适用的安全公司,并开始发布这些计算机的IP地址,使安全软件容易阻止它们。
今天,垃圾邮件发送者通过使用大型僵尸网络来实现他们的目标来避免这种情况。每个被奴役的设备发送的信息相对较少,这使得安全组织更难识别垃圾邮件的来源。然而,僵尸网络的规模意味着垃圾邮件发送者仍然可以在短时间内发送数千甚至数百万条消息。此外,一些僵尸网络不仅可以通过电子邮件做到这一点,还可以产生短信垃圾邮件。
僵尸网络的行为漏洞扫描;他们系统地探测互联网上的网络,寻找那些已知的还没有被修补的漏洞。当发现可利用的系统时,黑客会继续进行直接入侵尝试和其他攻击。
有时,漏洞扫描之后不会进行人工干预。对于某些类型的漏洞,当发现大量的潜在受害者时,僵尸网络就会被用来访问这些脆弱的系统,并用恶意软件感染它们。这里流行的选择包括勒索软件,或者对于单独的机器,有时会安装机器人软件,它会吸收每台新机器进入僵尸网络。
接受用户生成内容的站点和Web应用程序(例如产品评论,评论等)通常被僵尸网络困扰。机器人创建虚假帐户,然后尝试添加虚假的“内容”,例如将包含反向链接到特定站点的小块的小块。黑客的主要目标是提高链接的网站在搜索引擎中的可见性,也许甚至可以通过遵循受害者Web应用程序的这些链接直接到达的一些访客。
当黑客入侵大型网站时,他们通常会收获数以千计的用户名和密码组合等凭证集。他们知道,不幸的是,许多人仍然在许多不同的网站上使用相同的凭证。因此,一旦黑客从一个站点获得了帐户凭证列表,他们就会试图用偷来的凭证登录许多其他站点。
这种证书填充是非常常见的;僵尸网络会访问一个知名网站,黑客想要在那里接管账户,然后系统地将窃取的凭证“材料”放入该网站的登录表单。通常,至少有一些登录尝试会成功,这意味着攻击者随后可以控制新站点上的这些帐户。僵尸网络是这一过程的重要组成部分,因为它通常涉及数千甚至数百万次的系统登录尝试,这超出了人类攻击者的能力。
威胁参与者使用僵尸网络验证被盗的支付卡。机器人将卡号塞进web应用程序,以查看它们是被接受还是被拒绝。玩家也可以使用类似的技巧去发现新纸牌;机器人通过潜在的数字循环,并将它们输入web应用程序。这是一种粗糙但有效的方法,可以窃取攻击者之前不知道的额外纸牌。
黑客利用僵尸网络抓取网站和网络应用程序,出于各种非法目的复制数据。在某些行业(例如,电子商务、保险和其他一些行业),价格数据是有价值的信息;事实上,不法企业有时会雇佣威胁者来窃取竞争对手的网站来获取信息。在数据聚合等其他行业,企业正在出售对内容的访问权,而僵尸网络抓取是对这种商业模式的直接威胁。
威胁行动者通常将僵尸网络用于高度专业化的目的,针对被攻击的组织进行定制。一个常见的例子是库存否认在美国,僵尸网络被用来访问商业网站或移动应用程序,并在从未完成交易的情况下开始购买过程。这可以在特定的时间内从库存中删除物品,从而拒绝实际的顾客购买它们。加上被阻止的销售收入的损失,这可能会给受害者带来额外的问题。
僵尸网络攻击旅行站点和应用是常见的;机器人查询航班时间表并开始进行预订 - 这将从库存中从库存中删除座位,通常为10或15分钟 - 但从不购买门票。这不仅可以在任何特定时间删除来自可用库存的许多座位,它也可以为旅行站点产生大量数据查找费用。
许多旅行网站依赖于航班时刻表信息的外部数据源,并按每个查询支付;因此,机器人活动对目标造成了直接的财务损害。
任何参与网络安全的人都知道,对敌对机器人的强大防御是至关重要的。这僵尸网络攻击上面描述的经常发生。
如今,机器人几乎占到了网络流量的三分之二。有些是很好的机器人,比如搜索引擎蜘蛛。剩下的——超过一半的机器人——是敌对的。来源:Reblaze处理的流量(每天超过80亿个HTTP/S请求)
这有很多原因。僵尸网络很常见,而且不断有新的僵尸网络出现。网络罪犯使用僵尸网络是因为它们是必要的。如果没有它们,之前描述的大多数攻击都不可能发生。
今天的威胁演员包括从俄罗斯的有组织犯罪戒指到中国的国家赞助黑客。大多数黑客都是复杂和高技能的许多人也很融资。他们将使用任何工具来实现目标。因此,始终构建更大且更好的僵尸网络。
一个控制着一个强大僵尸网络的威胁者有很多赚钱的机会。这里有一些。
黑客会对网站发动大规模的DDoS攻击,然后向网站所有者发送赎金要求。他们威胁要继续袭击,直到支付赎金。一个成功的DDoS可以阻止客户访问一个网站或应用程序,所以网站所有者通常会支付赎金,而不是承受来自攻击的持续收入损失。
正如前面提到的,僵尸网络可以用来窃取许多类型的有价值的信息。一些类型的数据,比如支付卡号码,可以被黑客直接使用,或者在暗网络上被转售,暗网络上有大型、成熟的市场用于此目的。有效的帐户凭证也很有价值。
多年前,大多数垃圾邮件发送者都在发送批量电子邮件,以出售阴暗产品或犯下其他骗局。今天,网络钓鱼竞选和其他非法活动是猖獗的。此外,Botnet所有者不仅可以通过发送自己的消息来利润,而且还可以通过向其他罪犯提供垃圾邮件服务。
僵尸网络经常被出租给所谓的“搜索引擎优化服务”,这些服务在网络上执行掉链接的活动。
除了垃圾邮件和搜索引擎优化外,黑客还可以出租僵尸网络资源,用于各种各样的目的:广告欺诈、应用程序滥用、抓取等等。现在这方面有一个活跃的市场,我们将在下文中讨论。
黑暗的网络可能是最为符合非法药物的档案分享和销售。但它也是网络犯罪的许多论坛和地下市场的家园。
拥有各种专长和技能的黑客提供雇佣服务。攻击工具和其他软件在网上市场上出售,买家可以对产品进行评级并留下评论。僵尸网络可以按小时、日或周租用。
几年前,一个想要建立僵尸网络的威胁者必须从头开始构建一个,这是一个困难和昂贵的任务。如今,租用一个通用的DDoS僵尸网络只需每天50美元。当攻击资源如此丰富,且可用性如此低廉时,僵尸网络攻击如此普遍就不足为奇了。
因为僵尸网络攻击有不同的形式,针对它们的适当防御必须在几个不同的方面进行。最佳实践可以分为针对DDoS的特定措施、针对其他容量攻击的特定措施,以及适用于所有bot攻击的一般原则。
在所有僵尸网络攻击中,DDoS攻击是最引人注目的类型。现代DDoS攻击的规模和规模是惊人的,资源不足的web应用程序很快就会不堪重负。
幸运的是,站点拥有带宽和其他资源来抵御DDoS攻击是很简单的。现代的云平台使得设置web应用程序的自动伸缩变得很简单,这样当需求升级时,额外的资源就会快速自动上线。
如果您的网站已经没有它已经到位,则应尽快添加。此外,如果您目前不将Web安全解决方案运行到云端,请考虑在那里迁移它。然后它也将能够以更改的威胁条件动态自动缩放。受保护的Web应用程序很少需要自动缩放,因为DDOS流量永远不会到达它们。
当你在考虑DDoS防御时,确保你知道今天所有可用的选项。DDoS防护服务变得越来越普遍;例如,顶级云平台现在包括内置的缓解在网络和传输层上的体积DDoS。你应该利用你所能得到的任何服务。
其他提示包括使用CDN服务静态内容;这可以减少体积攻击的影响。传统上,这是针对各个文件(图像,媒体,脚本等)完成的,但今天有一个更大的趋势,可以尽可能使整个页面静态。这可以减少对非体积威胁的网站的攻击面,作为奖励,还将提高系统对用户的感知响应能力。
某些形式的机器人攻击仍然需要僵尸网络发送大量的流量,但其目标不是压倒目标。一个常见的例子是凭证填充:僵尸网络可能会尝试访问一个登录表格数千次。因此,攻击是体积的(它包括将大量请求发送到目标),但不打算造成DDOS。
击败这些攻击可能是具有挑战性的,因为它需要目标Web应用程序来识别出现大规模攻击,因此它可以否认请求。但是,复杂的僵尸网络将通过其EnsElaved设备快速旋转其请求。目标只能从任何给定的IP地址接收一个请求。由于传统的速率限制算法计算来自每个流量来源的请求,因此这些算法无法防御这些类型的攻击。
因此,当今强大的防御必须包括可靠的机器人管理和人工验证能力。web安全解决方案必须能够检测自动流量,无论特定流量源向受保护的应用程序发送了多少(或多少)请求。
旧的安全解决方案依赖于黑名单、签名、浏览器验证和一些其他技术来检测恶意机器人。这些技术已经不够用了。为了可靠地检测最新一代的机器人和应用程序级攻击(如库存拒绝),现代安全解决方案包括行为分析等特性。他们学习和理解他们所保护的应用程序的合法用户的特征和行为模式。这使他们能够识别恶意流量源并阻止它们。
最后,我们应该提到一些看起来很明显但却经常被忽略的最佳实践。首先,你的web应用程序应该执行严格的安全策略,例如,当一个网站的某个帐户多次登录失败时,该帐户应该被暂时禁止/禁用,以防止ATO(帐户接管)攻击。
其次,您的网络必须尽可能不透明。当发生错误条件时,它应该适当响应,最小信息。这将阻止黑客学习后端实现细节,这将使他们发现漏洞更加困难。
谈到漏洞,我们将以一些看起来非常明显的建议来结束这一节,但必须指出的是:您的网络必须保持最新!您的组织需要严格的内部政策来确保安全补丁和升级一旦发布就立即安装,因为僵尸网络总是在搜索具有未修补漏洞的系统。
这个建议你可能已经听过无数次了。是的,其他人也一样。然而,它仍然经常被大的组织所忽视,他们当然应该更好地了解。
最近最臭名昭著的例子是Equifax违反该公司泄露了1.47亿消费者的私人财务信息。该公司被Apache Struts的一个漏洞渗透,为此发布了一个补丁(但Equifax没有应用)。几个月在被破坏之前。
不要像艾奎法克斯那样。记住:如果你在你的网络中留下了一个安全漏洞,机器人肯定会找到它——这是有保证的。
僵尸网络是现代威胁环境的普遍存在部分。未能保持足够的防御,将使您的组织容易受到各种攻击,包括DDOS,垃圾邮件,漏洞扫描 - 随后是渗透测试尝试和系统漏洞,账户收购攻击,刮擦和数据盗窃,应用滥用等。
幸运的是,遵循最佳实践可以将敌对的机器人从您的网络中排除。这个任务并不简单;除此之外,它还需要一种现代的网络安全解决方案,能够检测到最新一代的恶意机器人。但这是可能的,而且对您的组织来说,确保它得到足够的保护是最重要的。
