2019年8月5日 星期一

.物聯網安檢:IoT僵屍網路檢測技術面臨哪些挑戰

What are some challenges 
faced by IoT devices?


来源: OFweek物联网

一部分僵屍網路,通常是用分布式拒絕服務(DDoS)攻擊,讓垃圾數據淹沒伺服器。還有一部分僵屍網路,透過竊取密碼或挖掘加密貨幣,來瞄準特定設備。
特別是加密貨幣挖掘,對於最近工業物聯網領域的企業來說,已經成為一個急劇成長的威脅,Coinhive 和 CryptoLoot 等僵屍網路,使網路犯罪分子,每年能夠以犧牲受害者的計算能力為代價,賺取多達 1 億美元。

Smominru,是最大的加密貨幣挖掘僵屍網路之一,利用從 NSA 洩漏的惡名昭著的 Eternal Blue 漏洞,感染了超過 50 萬台機器。

為了防止僵屍網路感染,留存有 IoT 設備的企業,必須能夠檢測它們。但僵屍網路檢測並不容易。下面我們來探討一下,IoT 僵屍網路檢測,所面臨的一些技術升級和挑戰。

僵屍網路檢測方法
那麼,什麼是僵屍網路?簡而言之,它是一組僵屍程式 - 受損的電腦和設備 - 執行僵屍網路所有者提供的命令。

通常,僵屍網路所有者,將專門使用命令和控制伺服器(C2),這是一個受損的伺服器,用於與機器人通信,通常透過 Internet Relay Chat 命令。僵屍網路所有者,使用 C2 伺服器,命令僵屍網路執行攻擊,無論是 DDoS 攻擊,數據竊取,身份盜竊,還是其他類型的攻擊。

不幸的是,找到 C2 通常不是一項簡單的任務。許多僵屍網路命令,來自多個伺服器,或採用隱藏的形式,將惡意命令屏蔽為無害的活動,例如 Tor 網路流量、社交媒體流量、對等服務之間的流量,或域生成算法。更複雜的是,命令通常非常微妙,使得難以檢測到任何異常。

嘗試檢測 C2 的一種方法,是分解和分析惡意軟體代碼。IoT 安全人員可以嘗試,透過 OD 腳本類似的反匯編工具,獲取已編譯的代碼,有時可以從中辨識,僵屍網路命令的根源。

但是,由於僵屍網路創建者和管理員,越來越多地使用整合加密,因此這種技術的效果越來越差。

通常,C2 檢測需要瞭解 C2 伺服器,與其機器人之間的通信,但只有專門保護 C2 伺服器的安全解決方案,才具有這種可見性。檢測僵屍網路的一種更常見的方法,是跟蹤和分析攻擊本身 - 標準安全解決方案提供可見性 -並確定哪些攻擊來自僵屍網路。

在查看漏洞利用嘗試時,僵屍網路有一些可能的跡象。例如,如果相同的 IP 地址攻擊相同的站點,同時使用相同的有效載荷和攻擊模式,那麼它們很可能是僵屍網路的一部分。如果涉及許多 IP 和站點,則尤其如此。一個突出的例子是,僵屍網路在 Web 服務上的 DDoS 嘗試。


誤報
誤報的可能性,使得僵屍網路檢測特別困難。一些有效載荷被廣泛使用,增加了隨機發生的模式,觸發誤報的可能性。此外,攻擊者可以透過使用虛擬專用網路或代理,來更改其 IP 地址,使其看起來像真正只有一個攻擊者或機器人。

駭客工具和漏洞掃描程式的行為,也類似於僵屍網路,通常會返回誤報。這是因為駭客工具,產生相同的有效載荷和攻擊模式,並且許多駭客使用它們,無論其帽子的顏色如何。而且,如果不同的玩家,碰巧同時在同一網站上,進行滲透測試,它可能看起來像僵屍網路攻擊。

IoT 安全人員通常可以透過 Google ,搜索有效負載,並參考其周圍的任何記錄資訊,來辨識誤報。另一種技術涉及簡單地收集安全解決方案中,原始請求中可用的任何資訊。

例如,如果要更好的利用漏洞掃描程式,大多數安全解決方案,都會透過辨識它來揭示它,特別是如果它是更常見的漏洞掃描程序式之一。

鑒於潛在的大量事件,誤報是僵屍網路檢測中,不可避免的挑戰; 最近的研究顯示,27% 的 IT 專業人員,每天收到超過 100 萬次安全警報,而 55% 的人收到超過 10,000次。但是,透過正確的技術和勤奮,組織可以辨識來自惡意的僵屍網路,其驅動的流量與無害流量。

(按此回今日3S Market新聞首頁

沒有留言:

張貼留言