什么是僵尸網絡攻擊,如何阻止?僵尸網絡(源自“機器人網絡”)是一大群受惡意軟件感染的互聯網連接設備和由單個操作員控制的計算機。攻擊者使用這些受感染的設備發起大規模攻擊,以破壞服務、竊取憑據并未經授權訪問關鍵系統。僵尸網絡命令和控制模型允許攻擊者接管這些設備的操作以遠程控制它們。僵尸網絡的優勢在于包含的受感染機器的數量。攻擊者可以遠程控制僵尸網絡并從它們那里接收軟件更新,使用這些更新快速改變他們的行為。
什么是僵尸網絡攻擊?
僵尸網絡攻擊是由遠程控制的受惡意軟件感染的設備進行的大規模網絡攻擊。將受感染的設備變成僵尸網絡控制器的“僵尸機器人”。與在單個機器或系統中自我復制的其他惡意軟件不同,僵尸網絡構成了更大的威脅,因為其讓威脅參與者同時執行大量操作。僵尸網絡攻擊類似于讓威脅行為者在網絡中工作,而不是自我復制的惡意軟件。
它們正變得比其他惡意軟件攻擊類型更加復雜,因為可以按比例放大或動態更改以造成更大的破壞。通過僵尸網絡傳播的惡意軟件通常包括網絡通信功能,允許攻擊者使用僵尸網絡通過龐大的受感染機器網絡路由與其他威脅參與者的通信。
攻擊者使用僵尸網絡來破壞系統、分發惡意軟件并招募(感染)新設備。僵尸網絡攻擊可能主要是為了破壞或開辟道路以發起二次攻擊。
最常見的僵尸網絡攻擊類型有哪些?
1. 暴力破解攻擊
當攻擊者不知道目標密碼時,會選擇使用暴力攻擊。這種攻擊方法使用快速、重復的密碼猜測技術。在暴力攻擊期間,惡意軟件直接與受影響的服務交互,以獲取有關密碼嘗試的實時反饋。暴力攻擊也可能利用泄露的憑據或個人身份信息嘗試密碼。
2. 分布式拒絕服務 (DDoS) 攻擊
僵尸網絡 DDoS 攻擊是一種非常常見的僵尸網絡攻擊。在這種情況下,DDoS 會用網絡流量淹沒服務,使其崩潰并中斷服務。2016年,Mirai僵尸網絡分兩個階段對域名服務商Dyn進行了攻擊,導致部分地區Twitter、Soundcloud等主要客戶網站性能下降或中斷。
3. 垃圾郵件和網絡釣魚
攻擊者使用垃圾郵件進行網絡釣魚活動,旨在誘騙員工共享敏感信息或登錄憑據。網絡釣魚還用于訪問更多設備以發展僵尸網絡。
4. 設備變磚
攻擊者在多個階段啟動機器人進行設備磚砌攻擊。當設備感染了刪除其內容的惡意軟件時,就會發生變磚,通常是為了刪除主要攻擊的證據。變磚會導致設備停止工作,使其無法使用。
僵尸網絡攻擊的數量是否有優勢?
僵尸網絡之所以如此重要,是因為它們大量部署。但是,僵尸網絡中的機器人總數并不能決定它可以造成的損害程度。
盡管如此,DDoS 僵尸網絡攻擊仍在上升。2010 年,Kneber 僵尸網絡控制了來自知名公司和政府機構的 75,000 臺機器。僵尸網絡攻擊竊取了超過 68,000 個被盜登錄憑據和 1,972 個數字證書。最近的僵尸網絡攻擊使用較少的機器,并且傾向于專注于發起 DDoS 攻擊。2021 年,Cloudflare 挫敗了最大的 DDoS 僵尸網絡攻擊,攻擊者在 125 個國家/地區發起了 20,000 個機器人。
惡意軟件即服務是另一種與僵尸網絡攻擊相關的流行工具。攻擊者可以使用租用的僵尸網絡進行這些攻擊。任何可以自動化的攻擊類型都有可能成為可轉售的僵尸網絡服務。
為什么會發生僵尸網絡攻擊?
越來越多的連接設備支持更多的僵尸網絡攻擊。畢竟,物聯網設備無處不在。全球有超過310 億臺物聯網設備活躍,包括智能家居和企業設備。消費物聯網設備在家中用于控制電器、燈、門鎖、相機、恒溫器、智能插頭、數字助理等。醫療保健和關鍵基礎設施也有自己的連接設備套件。任何連接到互聯網的設備都可以被招募為僵尸機器人。防御對這些的攻擊從預防開始。
畢竟,任何連接到互聯網的設備都存在風險。更多不安全的物聯網設備通過提供對大量設備的隨時訪問來擴大攻擊面。
物聯網設備的錯誤配置和糟糕的安全配置協議導致僵尸網絡日益流行。員工從個人設備和家庭網絡遠程訪問公司網絡的增加也是一個促成因素。
如何在僵尸網絡攻擊發生之前防御它?
專家預測,物聯網設備的采用將隨著時間的推移而增加,到 2023 年,全球聯網設備的總數將達到4300 萬。當今市場上種類繁多的設備已經對設備管理和監控提出了挑戰。隨著連接設備總數的增加,保護的復雜性也在增加。
網絡釣魚和社會工程仍然是獲取系統和設備訪問權限的主要方法。在2021費用數據泄露的報告發現網絡釣魚是成本第二昂貴的方法。
為防止這種情況發生,請采用網絡安全最佳實踐,并為各級員工提供持續的網絡安全意識培訓。只有在確定新設備的安全設置滿足組織的最低標準后,才能將新設備添加到網絡。
僵尸網絡攻擊預防需要定期主動關注。首先,確保系統和設備軟件是最新的。特別是,監視較少使用的設備以獲取安全更新。開發人員發布這些更新后立即應用這些更新。
IoT 設備配置也很重要。始終更改默認設備登錄憑據。從網絡中淘汰(移除)舊的、未使用的設備也會將它們作為攻擊媒介移除。
還可以通過限制對合適主機設備的訪問來防止僵尸網絡攻擊。監控和限制對網絡上物聯網設備的訪問。將物聯網設備與其他關鍵系統隔離或隔離也有助于減輕攻擊的影響。在設備上啟用多重身份驗證并限制可以訪問它們的用戶數量。
獲得更好的網絡運營可見性也會有所不同。網絡監控和分析工具可以深入了解設備和流量模式。如果需要,部署人工智能網絡監控以確定基線使用情況并監控異常情況。這有助于檢測攻擊的開始并允許安全團隊做出響應。
如何阻止僵尸網絡攻擊?
阻止僵尸網絡攻擊始于重新獲得對受感染設備的控制。可以通過禁用對中央服務器的訪問來阻止在命令和控制模型上運行的僵尸網絡攻擊,中央服務器是受惡意軟件感染的群體的主要資源。
相關地,另一種從網絡中切斷機器人的方法是切斷與控制服務器的連接。掃描受影響設備中的惡意軟件,并根據需要重新格式化或重新安裝系統軟件。物聯網設備可能需要全新安裝設備固件(完全恢復出廠設置)才能恢復正常功能并移除惡意軟件。
完全關閉大型僵尸網絡可能是一個挑戰。在 Trickbot 的情況下,多個命令和控制中央服務器可以相互通信。這使他們能夠在防御者使服務器脫機時快速啟動新實例。
對于僵尸網絡攻擊,早期檢測是關鍵
復雜僵尸網絡攻擊的演變繼續對系統和網絡造成嚴重破壞。安全性有問題的新物聯網設備只會增加整體攻擊面。預防和早期檢測仍然是防止系統和設備嚴重損壞的關鍵。
原文地址:https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247485064&idx=1&sn=bfd6ac1d9088be2b6ad861909b37dadb&chksm=ce46207ff931a9693f3e47aa42c135743bc7995feafbf38d371571fb7071f6156118c412bce9&mpshare=1&scene=23&srcid=0220AyePSLe0HiUMZ6pTNhuX&sharer_sharetime=1645322646857&sharer_shareid=9603544ecd5d7f3dc66603ae089636f4#rd
