What is botnet and how does it spread?
來源:
一部分僵屍網路,通常是用分布式拒絕服務(DDoS)攻擊,讓垃圾數據淹沒伺服器。還有一部分僵屍網路,透過竊取密碼或挖掘加密貨幣,來瞄準特定設備。
Botnets? a tutorial to monitor the activity of your computers |
Smominru是最大的加密貨幣挖掘僵屍網路之一,利用從NSA洩漏的臭名昭著的EternalBlue漏洞感染了超過50萬台機器。
為了防止僵屍網路感染,留存有IoT設備的企業必須能夠檢測它們。但僵屍網路檢測並不容易。下面咱們來探討一下IoT僵屍網路檢測所面臨的一些技術升級和挑戰。
僵屍網路檢測方法
那麼,什麼是僵屍網路?簡而言之,它是一組僵屍程序 - 受損的電腦和連網設備 - 執行僵屍網路所有者提供的命令。通常,僵屍網路所有者,將專門使用命令和控制伺服器(C2),這是一個受損的伺服器,用於與機器人通信,通常透過Internet Relay Chat命令。僵屍網路所有者使用C2伺服器命令僵屍網路執行攻擊,無論是DDoS攻擊、數據竊取、身份盜竊,還是其他類型的攻擊。
不幸的是,找到C2通常不是一項簡單的任務。許多僵屍網路命令,來自多個伺服器或採用隱藏的形式,將惡意命令屏蔽為無害的活動,例如Tor網路流量,社交媒體流量,對等服務之間的流量或域生成算法。更複雜的是,命令通常非常微妙,使得難以檢測到任何異常。
嘗試檢測C2的一種方法,是分解和分析惡意軟體代碼。IoT安全人員,可以嘗試透過OD腳本,類似的反匯編工具,獲取已編譯的代碼,有時可以從中辨識僵屍網路命令的根源。但是,由於僵屍網路創建者和管理員,越來越多地使用整合加密,因此這種技術的效果越來越差。
通常,C2檢測需要瞭解C2服務器與其機器人之間的通信,但只有專門保護C2伺服器的安全解決方案,才具有這種可見性。檢測僵屍網路的一種更常見的方法,是跟蹤和分析攻擊本身
- 標準安全解決方案提供可見性
- 標準安全解決方案提供可見性
- 並確定哪些攻擊來自僵屍網路。
在查看漏洞利用嘗試時,僵屍網路有一些可能的跡象。例如,如果相同的IP地址,攻擊相同的站點,同時使用相同的有效載荷和攻擊模式,那麼它們很可能是僵屍網路的一部分。如果涉及許多IP和站點,則尤其如此。一個突出的例子是僵屍網路,在Web服務上的DDoS嘗試。
誤報
誤報的可能性,使得僵屍網路檢測特別困難。一些有效載荷被廣泛使用,增加了隨機發生的模式觸發誤報的可能性。此外,攻擊者可以透過,使用虛擬專用網路或代理,來更改其IP地址,使其看起來像真正只有一個攻擊者或機器人。
駭客工具和漏洞掃描程序的行為,也類似於僵屍網路,通常會返回誤報。這是因為駭客工具,產生相同的有效載荷,和攻擊模式,並且許多駭客使用它們,無論其帽子的顏色如何。而且,如果不同的玩家碰巧同時,在同一網站上進行滲透測試,它可能看起來像僵屍網路攻擊。
IoT安全人員,通常可以透過Google搜索有效負載,並參考其周圍的任何記錄資訊,來辨識誤報。另一種技術涉及簡單地收集,安全解決方案中原始請求中,可用的任何資訊。例如,如果要更好的利用漏洞掃描程序,大多數安全解決方案,都會透過辨識它來揭示它,特別是如果它是更常見的,漏洞掃描程序之一。
鑒於潛在的大量事件,誤報是僵屍網路檢測中,不可避免的挑戰; 最近的研究顯示,27%的IT專業人員,每天收到超過100萬次安全警報,而55%的人收到超過10,000次。但是,通過正確的技術和勤奮,組織可以識別來自惡意的,僵屍網路驅動的流量的無害流量。
沒有留言:
張貼留言