黑客的拿手伎倆——僵尸網(wǎng)絡(luò)
在面對(duì)互聯(lián)網(wǎng)威脅的過(guò)程中,Botnet即僵尸網(wǎng)絡(luò),作為互聯(lián)網(wǎng)領(lǐng)域中持續(xù)時(shí)間最長(zhǎng)的一類威脅形式,以其泛用性、靈活性、高可操作性等特征,成為攻擊者的主要攻擊手段之一,因此對(duì)僵尸網(wǎng)絡(luò)進(jìn)行研究是必不可少的獲取情報(bào)的途徑。
僵尸網(wǎng)絡(luò)的招數(shù)變化
綠盟科技伏影實(shí)驗(yàn)室基于2018年持續(xù)追蹤和研究所獲得的數(shù)據(jù),發(fā)布了《2018年度BOTNET趨勢(shì)報(bào)告》,從Botnet在程序結(jié)構(gòu)、運(yùn)維方式、經(jīng)濟(jì)模式等多個(gè)層次上發(fā)生的顯著變化進(jìn)行了闡述:
Botnet程序代碼結(jié)構(gòu)普遍趨向成熟,開(kāi)始呈現(xiàn)高度的模塊化特征,其惡意行為從執(zhí)行DDoS攻擊擴(kuò)展為結(jié)合挖礦、勒索等模塊的多元化攻擊;
新平臺(tái)安全性的羸弱使得Botnet擴(kuò)散傳播更為主動(dòng),Windows平臺(tái)老家族活躍度下;
降,IoT平臺(tái)家族則迅速成長(zhǎng)壯大;2018年,Linux及IoT平臺(tái)家族的C&C服務(wù)器數(shù)量在整體數(shù)據(jù)中占比從上年度的4.4%提升至31%,產(chǎn)生的攻擊數(shù)量占觀測(cè)量的92%;
IoT平臺(tái)家族控制的肉雞發(fā)出的攻擊與高倍數(shù)反射DDoS攻擊技術(shù)相結(jié)合,達(dá)到隱藏攻擊源,產(chǎn)生巨量攻擊流量的目的,加大了DDoS攻擊防御難度;
Botnet開(kāi)始向少數(shù)成熟且功能完善的家族集中,黑產(chǎn)團(tuán)伙傾向于使用穩(wěn)定的Botnet家族版本及C&C服務(wù)器;
控制者更多地將Botnet的C&C服務(wù)器部署在互聯(lián)網(wǎng)基礎(chǔ)設(shè)施發(fā)達(dá)的國(guó)家和地區(qū),借助這些區(qū)域低廉的部署費(fèi)用降低Botnet的維護(hù)成本;
我們觀察到,價(jià)格低廉、審核寬松的VPS(Virtual Private Server)降低了非組織黑產(chǎn)人員架設(shè)Botnet網(wǎng)絡(luò)的成本;
Botnet控制者在套現(xiàn)方面表現(xiàn)得更加激進(jìn),Botnet向BaaS(Botnet as a Service)方向發(fā)展,使得其攻擊目標(biāo)擴(kuò)大至在線服務(wù)消費(fèi)者以及線上黑色產(chǎn)業(yè)等。
網(wǎng)安江湖“百曉生”之所以揚(yáng)名立萬(wàn),就是因?yàn)樗那閳?bào)是從數(shù)據(jù)中提煉而來(lái),從情報(bào)中感知威脅,這也就是威脅情報(bào)的核心理念。
“招數(shù)”源頭
僵尸網(wǎng)絡(luò)如此兇險(xiǎn)的招數(shù)究竟出自何門(mén)何派呢?僵尸網(wǎng)絡(luò)最早的歷史淵源可以追溯到 1993 年在 IRC 聊天網(wǎng)絡(luò)中出現(xiàn)的 Bot 工具——Eggdrop,它能夠自動(dòng)地執(zhí)行如權(quán)限管理、記錄頻道事件等一系列功能,幫助 IRC 網(wǎng)絡(luò)管理員更方便地管理聊天網(wǎng)絡(luò)。黑客受到這種工具的啟發(fā),1999 年 6 月,在因特網(wǎng)上出現(xiàn)的 PrettyPark 首次使用了 IRC 協(xié)議構(gòu)建命令與控制信道,從而成為第一個(gè)惡意僵尸程序。
招數(shù)特點(diǎn)及斑斑劣跡
僵尸網(wǎng)絡(luò)在江湖中又為何如此臭名昭著?主要還是由于來(lái)勢(shì)洶洶,殺傷面積大。從2010年起,僵尸網(wǎng)絡(luò)開(kāi)始迅速發(fā)展;2016年Mirai僵尸網(wǎng)絡(luò)對(duì)美國(guó)的電信服務(wù)商Dyn進(jìn)行攻擊,導(dǎo)致美國(guó)1/3地區(qū)的人們無(wú)法連接到互聯(lián)網(wǎng),此時(shí)僵尸網(wǎng)絡(luò)的影響力已逐步擴(kuò)大;時(shí)間到了2018年,攻擊者利用upnp漏洞傳播的僵尸網(wǎng)絡(luò),在短時(shí)間內(nèi)就控制了10W多臺(tái)路由器,如果結(jié)合高放大倍數(shù)的反射攻擊,造成的損失將是無(wú)法估計(jì)的,遠(yuǎn)遠(yuǎn)超越2010年前的僵尸網(wǎng)絡(luò)所帶來(lái)的危害,短短8年間,僵尸網(wǎng)絡(luò)的時(shí)效及影響范圍已經(jīng)達(dá)到了聳人聽(tīng)聞的地步。諸如此類的攻擊不斷的升級(jí),在這些高威脅來(lái)臨時(shí),對(duì)防護(hù)類設(shè)備提出了新的考驗(yàn),也影響了威脅情報(bào)在網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展方向及落地方式。
“江湖通緝令”
在國(guó)際上,工業(yè)界和政府部門(mén)非常關(guān)注僵尸網(wǎng)絡(luò)對(duì)因特網(wǎng)帶來(lái)的嚴(yán)重安全威脅,微軟公司在2004年發(fā)起了國(guó)際反僵尸網(wǎng)絡(luò)工作組,2006 年 6 月,美國(guó)陸軍研究辦公室 ARO、國(guó)防高級(jí)研究計(jì)劃署 DARPA和國(guó)土安全部 DHS 等 3 個(gè)部門(mén)聯(lián)合在 GA Tech 舉辦了僵尸網(wǎng)絡(luò)專門(mén)研討會(huì),匯集學(xué)術(shù)界、政府部門(mén)和工業(yè)界的研究人員對(duì)這一安全威脅進(jìn)行了深入探討,并匯總出版了《Botnet Detection: Countering the Largest Security Threat》。
2014年11月,受法國(guó)軍方支持,由民間組織建立了名為BotConf的僵尸網(wǎng)絡(luò)對(duì)抗技術(shù)論壇,匯聚了全世界研究僵尸網(wǎng)絡(luò)的安全研究人員,在此會(huì)議上發(fā)布了包括DGA算法的檢測(cè)手段等眾多研究成果。
2018年,由各大國(guó)際網(wǎng)絡(luò)安全廠商及電信服務(wù)商組成的CSDE理事會(huì)發(fā)布了《INTERNATIONAL ANTI-BOTNET GUIDE》,用以研討如何與僵尸網(wǎng)絡(luò)攻擊進(jìn)行對(duì)抗。
“百曉生”的千里眼和順風(fēng)耳
百曉生《兵器譜》的背后是千千萬(wàn)萬(wàn)個(gè)數(shù)據(jù)來(lái)源織就的恢恢法網(wǎng),跟蹤與監(jiān)測(cè)著黑客家族的一舉一動(dòng)。在2018年綠盟科技伏影實(shí)驗(yàn)室共監(jiān)控到攻擊命令10萬(wàn)余條,其中有效攻擊目標(biāo)數(shù)量為40萬(wàn)余次,相較去年(20萬(wàn)余次)增長(zhǎng)了66.4%,受影響的行業(yè)包括新聞、投資、影視、消費(fèi)、云服務(wù)、游戲等,嚴(yán)重影響人們正常的工作生活。伏影實(shí)驗(yàn)室依托綠盟威脅情報(bào)平臺(tái),輸出了大量的僵尸網(wǎng)絡(luò)控制、攻擊信息,能夠協(xié)助終端設(shè)備快速定位威脅來(lái)源,迅速截?cái)鄲阂庹?qǐng)求的流量,加大惡意流量的辨識(shí)效果,有效的提升了僵尸網(wǎng)絡(luò)的檢測(cè)率和阻斷率,保證各類業(yè)務(wù)正常運(yùn)行。
伏影實(shí)驗(yàn)室通過(guò)對(duì)Botnet的整體監(jiān)控與分析,獲取了活躍攻擊方式、主要攻擊目標(biāo)、主流攻擊手法等第一手情報(bào),對(duì)關(guān)聯(lián)組織進(jìn)行分析與畫(huà)像,進(jìn)而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的告警與預(yù)防乃至對(duì)黑產(chǎn)組織的定位與打擊。
江湖小貼士:
結(jié)合2018年度觀察結(jié)果,為了有效打擊Botnet,我們建議充分利用各機(jī)構(gòu)、各部門(mén)現(xiàn)有的網(wǎng)絡(luò)資源進(jìn)行協(xié)同治理。確定需要防御的資產(chǎn)以及可能暴露這些資產(chǎn)的攻擊面,從而更好地凈化網(wǎng)絡(luò)空間。