導(dǎo)讀:僵尸網(wǎng)絡(luò)已經(jīng)存在了二十多年,隨著物聯(lián)網(wǎng)(IoT)的興起,它們已經(jīng)進一步擴展到人們無法想象的設(shè)備:工業(yè)嵌入式設(shè)備,路由器,移動設(shè)備,打印機,攝像頭甚至烤面包機。
一部分僵尸網(wǎng)絡(luò)通常是用分布式拒絕服務(wù)(DDoS)攻擊讓垃圾數(shù)據(jù)淹沒服務(wù)器。還有一部分僵尸網(wǎng)絡(luò)通過竊取密碼或挖掘加密貨幣來瞄準特定設(shè)備。特別是加密貨幣挖掘?qū)τ谧罱I(yè)物聯(lián)網(wǎng)領(lǐng)域的企業(yè)來說已經(jīng)成為一個急劇增長的威脅,Coinhive和CryptoLoot等僵尸網(wǎng)絡(luò)使網(wǎng)絡(luò)犯罪分子每年能夠以犧牲受害者的計算能力為代價賺取多達1億美元。Smominru是最大的加密貨幣挖掘僵尸網(wǎng)絡(luò)之一,利用從NSA泄漏的臭名昭著的EternalBlue漏洞感染了超過50萬臺機器。
為了防止僵尸網(wǎng)絡(luò)感染,留存有IoT設(shè)備的企業(yè)必須能夠檢測它們。但僵尸網(wǎng)絡(luò)檢測并不容易。下面咱們來探討一下IoT僵尸網(wǎng)絡(luò)檢測所面臨的一些技術(shù)升級和挑戰(zhàn)。
僵尸網(wǎng)絡(luò)檢測方法
那么,什么是僵尸網(wǎng)絡(luò)?簡而言之,它是一組僵尸程序 - 受損的計算機和設(shè)備 - 執(zhí)行僵尸網(wǎng)絡(luò)所有者提供的命令。通常,僵尸網(wǎng)絡(luò)所有者將專門使用命令和控制服務(wù)器(C2),這是一個受損的服務(wù)器,用于與機器人通信,通常通過Internet Relay Chat命令。僵尸網(wǎng)絡(luò)所有者使用C2服務(wù)器命令僵尸網(wǎng)絡(luò)執(zhí)行攻擊,無論是DDoS攻擊,數(shù)據(jù)竊取,身份盜竊還是其他類型的攻擊。
不幸的是,找到C2通常不是一項簡單的任務(wù)。許多僵尸網(wǎng)絡(luò)命令來自多個服務(wù)器或采用隱藏的形式,將惡意命令屏蔽為無害的活動,例如Tor網(wǎng)絡(luò)流量,社交媒體流量,對等服務(wù)之間的流量或域生成算法。更復(fù)雜的是,命令通常非常微妙,使得難以檢測到任何異常。
嘗試檢測C2的一種方法是分解和分析惡意軟件代碼。IoT安全人員可以嘗試通過OD腳本類似的反匯編工具獲取已編譯的代碼,有時可以從中識別僵尸網(wǎng)絡(luò)命令的根源。但是,由于僵尸網(wǎng)絡(luò)創(chuàng)建者和管理員越來越多地使用集成加密,因此這種技術(shù)的效果越來越差。
通常,C2檢測需要了解C2服務(wù)器與其機器人之間的通信,但只有專門保護C2服務(wù)器的安全解決方案才具有這種可見性。檢測僵尸網(wǎng)絡(luò)的一種更常見的方法是跟蹤和分析攻擊本身 - 標準安全解決方案提供可見性 - 并確定哪些攻擊來自僵尸網(wǎng)絡(luò)。
在查看漏洞利用嘗試時,僵尸網(wǎng)絡(luò)有一些可能的跡象。例如,如果相同的IP地址攻擊相同的站點,同時使用相同的有效載荷和攻擊模式,那么它們很可能是僵尸網(wǎng)絡(luò)的一部分。如果涉及許多IP和站點,則尤其如此。一個突出的例子是僵尸網(wǎng)絡(luò)在Web服務(wù)上的DDoS嘗試。
誤報
誤報的可能性使得僵尸網(wǎng)絡(luò)檢測特別困難。一些有效載荷被廣泛使用,增加了隨機發(fā)生的模式觸發(fā)誤報的可能性。此外,攻擊者可以通過使用虛擬專用網(wǎng)絡(luò)或代理來更改其IP地址,使其看起來像真正只有一個攻擊者或機器人。
黑客工具和漏洞掃描程序的行為也類似于僵尸網(wǎng)絡(luò),通常會返回誤報。這是因為黑客工具產(chǎn)生相同的有效載荷和攻擊模式,并且許多黑客使用它們,無論其帽子的顏色如何。而且,如果不同的玩家碰巧同時在同一網(wǎng)站上進行滲透測試,它可能看起來像僵尸網(wǎng)絡(luò)攻擊。
IoT安全人員通常可以通過Google搜索有效負載并參考其周圍的任何記錄信息來識別誤報。另一種技術(shù)涉及簡單地收集安全解決方案中原始請求中可用的任何信息。例如,如果要更好的利用漏洞掃描程序,大多數(shù)安全解決方案都會通過識別它來揭示它,特別是如果它是更常見的漏洞掃描程序之一。
鑒于潛在的大量事件,誤報是僵尸網(wǎng)絡(luò)檢測中不可避免的挑戰(zhàn); 最近的研究表明,27%的IT專業(yè)人員每天收到超過100萬次安全警報,而55%的人收到超過10,000次。但是,通過正確的技術(shù)和勤奮,組織可以識別來自惡意的,僵尸網(wǎng)絡(luò)驅(qū)動的流量的無害流量。