什么是僵尸網(wǎng)絡(luò)攻擊,如何阻止?僵尸網(wǎng)絡(luò)(源自“機器人網(wǎng)絡(luò)”)是一大群受惡意軟件感染的互聯(lián)網(wǎng)連接設(shè)備和由單個操作員控制的計算機。攻擊者使用這些受感染的設(shè)備發(fā)起大規(guī)模攻擊,以破壞服務(wù)、竊取憑據(jù)并未經(jīng)授權(quán)訪問關(guān)鍵系統(tǒng)。僵尸網(wǎng)絡(luò)命令和控制模型允許攻擊者接管這些設(shè)備的操作以遠程控制它們。僵尸網(wǎng)絡(luò)的優(yōu)勢在于包含的受感染機器的數(shù)量。攻擊者可以遠程控制僵尸網(wǎng)絡(luò)并從它們那里接收軟件更新,使用這些更新快速改變他們的行為。
什么是僵尸網(wǎng)絡(luò)攻擊?
僵尸網(wǎng)絡(luò)攻擊是由遠程控制的受惡意軟件感染的設(shè)備進行的大規(guī)模網(wǎng)絡(luò)攻擊。將受感染的設(shè)備變成僵尸網(wǎng)絡(luò)控制器的“僵尸機器人”。與在單個機器或系統(tǒng)中自我復(fù)制的其他惡意軟件不同,僵尸網(wǎng)絡(luò)構(gòu)成了更大的威脅,因為其讓威脅參與者同時執(zhí)行大量操作。僵尸網(wǎng)絡(luò)攻擊類似于讓威脅行為者在網(wǎng)絡(luò)中工作,而不是自我復(fù)制的惡意軟件。
它們正變得比其他惡意軟件攻擊類型更加復(fù)雜,因為可以按比例放大或動態(tài)更改以造成更大的破壞。通過僵尸網(wǎng)絡(luò)傳播的惡意軟件通常包括網(wǎng)絡(luò)通信功能,允許攻擊者使用僵尸網(wǎng)絡(luò)通過龐大的受感染機器網(wǎng)絡(luò)路由與其他威脅參與者的通信。
攻擊者使用僵尸網(wǎng)絡(luò)來破壞系統(tǒng)、分發(fā)惡意軟件并招募(感染)新設(shè)備。僵尸網(wǎng)絡(luò)攻擊可能主要是為了破壞或開辟道路以發(fā)起二次攻擊。
最常見的僵尸網(wǎng)絡(luò)攻擊類型有哪些?
1. 暴力破解攻擊
當攻擊者不知道目標密碼時,會選擇使用暴力攻擊。這種攻擊方法使用快速、重復(fù)的密碼猜測技術(shù)。在暴力攻擊期間,惡意軟件直接與受影響的服務(wù)交互,以獲取有關(guān)密碼嘗試的實時反饋。暴力攻擊也可能利用泄露的憑據(jù)或個人身份信息嘗試密碼。
2. 分布式拒絕服務(wù) (DDoS) 攻擊
僵尸網(wǎng)絡(luò) DDoS 攻擊是一種非常常見的僵尸網(wǎng)絡(luò)攻擊。在這種情況下,DDoS 會用網(wǎng)絡(luò)流量淹沒服務(wù),使其崩潰并中斷服務(wù)。2016年,Mirai僵尸網(wǎng)絡(luò)分兩個階段對域名服務(wù)商Dyn進行了攻擊,導(dǎo)致部分地區(qū)Twitter、Soundcloud等主要客戶網(wǎng)站性能下降或中斷。
3. 垃圾郵件和網(wǎng)絡(luò)釣魚
攻擊者使用垃圾郵件進行網(wǎng)絡(luò)釣魚活動,旨在誘騙員工共享敏感信息或登錄憑據(jù)。網(wǎng)絡(luò)釣魚還用于訪問更多設(shè)備以發(fā)展僵尸網(wǎng)絡(luò)。
4. 設(shè)備變磚
攻擊者在多個階段啟動機器人進行設(shè)備磚砌攻擊。當設(shè)備感染了刪除其內(nèi)容的惡意軟件時,就會發(fā)生變磚,通常是為了刪除主要攻擊的證據(jù)。變磚會導(dǎo)致設(shè)備停止工作,使其無法使用。
僵尸網(wǎng)絡(luò)攻擊的數(shù)量是否有優(yōu)勢?
僵尸網(wǎng)絡(luò)之所以如此重要,是因為它們大量部署。但是,僵尸網(wǎng)絡(luò)中的機器人總數(shù)并不能決定它可以造成的損害程度。
盡管如此,DDoS 僵尸網(wǎng)絡(luò)攻擊仍在上升。2010 年,Kneber 僵尸網(wǎng)絡(luò)控制了來自知名公司和政府機構(gòu)的 75,000 臺機器。僵尸網(wǎng)絡(luò)攻擊竊取了超過 68,000 個被盜登錄憑據(jù)和 1,972 個數(shù)字證書。最近的僵尸網(wǎng)絡(luò)攻擊使用較少的機器,并且傾向于專注于發(fā)起 DDoS 攻擊。2021 年,Cloudflare 挫敗了最大的 DDoS 僵尸網(wǎng)絡(luò)攻擊,攻擊者在 125 個國家/地區(qū)發(fā)起了 20,000 個機器人。
惡意軟件即服務(wù)是另一種與僵尸網(wǎng)絡(luò)攻擊相關(guān)的流行工具。攻擊者可以使用租用的僵尸網(wǎng)絡(luò)進行這些攻擊。任何可以自動化的攻擊類型都有可能成為可轉(zhuǎn)售的僵尸網(wǎng)絡(luò)服務(wù)。
為什么會發(fā)生僵尸網(wǎng)絡(luò)攻擊?
越來越多的連接設(shè)備支持更多的僵尸網(wǎng)絡(luò)攻擊。畢竟,物聯(lián)網(wǎng)設(shè)備無處不在。全球有超過310 億臺物聯(lián)網(wǎng)設(shè)備活躍,包括智能家居和企業(yè)設(shè)備。消費物聯(lián)網(wǎng)設(shè)備在家中用于控制電器、燈、門鎖、相機、恒溫器、智能插頭、數(shù)字助理等。醫(yī)療保健和關(guān)鍵基礎(chǔ)設(shè)施也有自己的連接設(shè)備套件。任何連接到互聯(lián)網(wǎng)的設(shè)備都可以被招募為僵尸機器人。防御對這些的攻擊從預(yù)防開始。
畢竟,任何連接到互聯(lián)網(wǎng)的設(shè)備都存在風險。更多不安全的物聯(lián)網(wǎng)設(shè)備通過提供對大量設(shè)備的隨時訪問來擴大攻擊面。
物聯(lián)網(wǎng)設(shè)備的錯誤配置和糟糕的安全配置協(xié)議導(dǎo)致僵尸網(wǎng)絡(luò)日益流行。員工從個人設(shè)備和家庭網(wǎng)絡(luò)遠程訪問公司網(wǎng)絡(luò)的增加也是一個促成因素。
如何在僵尸網(wǎng)絡(luò)攻擊發(fā)生之前防御它?
專家預(yù)測,物聯(lián)網(wǎng)設(shè)備的采用將隨著時間的推移而增加,到 2023 年,全球聯(lián)網(wǎng)設(shè)備的總數(shù)將達到4300 萬。當今市場上種類繁多的設(shè)備已經(jīng)對設(shè)備管理和監(jiān)控提出了挑戰(zhàn)。隨著連接設(shè)備總數(shù)的增加,保護的復(fù)雜性也在增加。
網(wǎng)絡(luò)釣魚和社會工程仍然是獲取系統(tǒng)和設(shè)備訪問權(quán)限的主要方法。在2021費用數(shù)據(jù)泄露的報告發(fā)現(xiàn)網(wǎng)絡(luò)釣魚是成本第二昂貴的方法。
為防止這種情況發(fā)生,請采用網(wǎng)絡(luò)安全最佳實踐,并為各級員工提供持續(xù)的網(wǎng)絡(luò)安全意識培訓(xùn)。只有在確定新設(shè)備的安全設(shè)置滿足組織的最低標準后,才能將新設(shè)備添加到網(wǎng)絡(luò)。
僵尸網(wǎng)絡(luò)攻擊預(yù)防需要定期主動關(guān)注。首先,確保系統(tǒng)和設(shè)備軟件是最新的。特別是,監(jiān)視較少使用的設(shè)備以獲取安全更新。開發(fā)人員發(fā)布這些更新后立即應(yīng)用這些更新。
IoT 設(shè)備配置也很重要。始終更改默認設(shè)備登錄憑據(jù)。從網(wǎng)絡(luò)中淘汰(移除)舊的、未使用的設(shè)備也會將它們作為攻擊媒介移除。
還可以通過限制對合適主機設(shè)備的訪問來防止僵尸網(wǎng)絡(luò)攻擊。監(jiān)控和限制對網(wǎng)絡(luò)上物聯(lián)網(wǎng)設(shè)備的訪問。將物聯(lián)網(wǎng)設(shè)備與其他關(guān)鍵系統(tǒng)隔離或隔離也有助于減輕攻擊的影響。在設(shè)備上啟用多重身份驗證并限制可以訪問它們的用戶數(shù)量。
獲得更好的網(wǎng)絡(luò)運營可見性也會有所不同。網(wǎng)絡(luò)監(jiān)控和分析工具可以深入了解設(shè)備和流量模式。如果需要,部署人工智能網(wǎng)絡(luò)監(jiān)控以確定基線使用情況并監(jiān)控異常情況。這有助于檢測攻擊的開始并允許安全團隊做出響應(yīng)。
如何阻止僵尸網(wǎng)絡(luò)攻擊?
阻止僵尸網(wǎng)絡(luò)攻擊始于重新獲得對受感染設(shè)備的控制。可以通過禁用對中央服務(wù)器的訪問來阻止在命令和控制模型上運行的僵尸網(wǎng)絡(luò)攻擊,中央服務(wù)器是受惡意軟件感染的群體的主要資源。
相關(guān)地,另一種從網(wǎng)絡(luò)中切斷機器人的方法是切斷與控制服務(wù)器的連接。掃描受影響設(shè)備中的惡意軟件,并根據(jù)需要重新格式化或重新安裝系統(tǒng)軟件。物聯(lián)網(wǎng)設(shè)備可能需要全新安裝設(shè)備固件(完全恢復(fù)出廠設(shè)置)才能恢復(fù)正常功能并移除惡意軟件。
完全關(guān)閉大型僵尸網(wǎng)絡(luò)可能是一個挑戰(zhàn)。在 Trickbot 的情況下,多個命令和控制中央服務(wù)器可以相互通信。這使他們能夠在防御者使服務(wù)器脫機時快速啟動新實例。
對于僵尸網(wǎng)絡(luò)攻擊,早期檢測是關(guān)鍵
復(fù)雜僵尸網(wǎng)絡(luò)攻擊的演變繼續(xù)對系統(tǒng)和網(wǎng)絡(luò)造成嚴重破壞。安全性有問題的新物聯(lián)網(wǎng)設(shè)備只會增加整體攻擊面。預(yù)防和早期檢測仍然是防止系統(tǒng)和設(shè)備嚴重損壞的關(guān)鍵。
原文地址:https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247485064&idx=1&sn=bfd6ac1d9088be2b6ad861909b37dadb&chksm=ce46207ff931a9693f3e47aa42c135743bc7995feafbf38d371571fb7071f6156118c412bce9&mpshare=1&scene=23&srcid=0220AyePSLe0HiUMZ6pTNhuX&sharer_sharetime=1645322646857&sharer_shareid=9603544ecd5d7f3dc66603ae089636f4#rd
