这些天,组织正在成为攻击者的理想目标,因为他们的网络没有被适当地修补和保护在防火墙后面,使他们容易受到各种直接和间接的攻击。除了对网络的直接和间接攻击外,受害者人数也在不断增加。这些间接攻击的示例包括HTML漏洞利用漏洞或在对等网络中使用恶意软件的攻击。 具有永久在线的宽带连接的网络是攻击者的有价值的目标。 由于始终是连接,攻击者利用它的优势,并使用几种自动化技术来扫描其特定的网络范围,并轻松找出具有已知弱点的易受攻击的系统。一旦这些攻击者破坏了机器,他们就可以在其上安装一个机器人(也称为僵尸),以便在这些机器之间建立通信介质。成功利用后,机器人使用FTP,TFTP,HTTP或CSend将自身转移到受感染的主机并形成僵尸网络。为了定义僵尸网络,只要控制由同一个攻击者执行,这些机器是如何被控制的并不重要。 僵尸网络由攻击者通过专用计算机或运行CnC服务器(命令和控制服务器)的计算机组来控制。攻击者可以通过使用命令指导这些恶意软件机器人,通过CnC执行某些任务。CnC服务器通常执行多种功能,包括但不限于: *指示安装的机器人执行或安排某项任务; *更新安装的机器人,将其替换为新型恶意软件; *跟踪组织中安装的机器人数量和分布情况。 僵尸网络的典型尺寸是巨大的,它们可以由数百万个受损的设备组成,具有非常容易损坏组织的任何大小的能力。分布式拒绝服务(DDoS)攻击是一个这样的威胁。即使是相对较小的僵尸网络,只有500机器人可能会造成很大的伤害。这500台机器人具有组合带宽(500感染设备,128kbps的平均上行速度可以提供超过50 mbps),这可能高于大多数组织的互联网连接。 攻击者以非常模块化的方式构建了许多类型的漫游器。这些广泛传播和知名机器人中的一些包括Agobot,Kaiten,Mirai,DSNX Bots等。 使用僵尸网络 僵尸网络可以用于许多不同动机的刑事犯罪。最常见的用途是政治动机或乐趣。这些僵尸网络用于以下可能性: 1)启动分布式拒绝服务(DDoS)攻击 2)垃圾邮件 3)嗅探网络流量 4)键盘记录 5)在同一个网络内传播新的恶意软件。 6)数据泄露 僵尸网络的另一个用途是窃取敏感信息或身份窃取:搜索千个家庭电脑的password.txt,或者嗅探他们的网络流量。上面的列表显示,攻击者可以在僵尸网络的帮助下造成很大的伤害。其中许多攻击构成严重威胁,难以侦测和防范,特别是DDoS攻击。 识别僵尸网络流量 越来越多的网络安全技术旨在检测和减轻受损的网络资源。该技术由专家安全工程师设计,以确定僵尸网络流量并有效地进行限制。基本上,有两种主要的方法来识别僵尸网络流量: 1)深度包检测(DPI):它是一种包过滤技术,用于检查数据包的数据部分,并搜索病毒,垃圾邮件和入侵,并决定数据包是否通过,或者是否需要丢弃或路由到不同的目的地。IP数据包有多个标题:IP头和TCP或UDP头。 2)DNS查找:用于识别通信服务提供商(CSP)及其网络配置的DNS流量。观察DNS流量具有许多明显的优点,包括提供进行DNS查找的设备的特定IP地址,所有原始和非缓存DNS请求的可见性以及分析僵尸网络DNS查找频率的能力。 结论 不可否认,有组织犯罪预测的速度在不断增加,组织面临这些挑战。随着僵尸网络感染数量的增加,每个组织都应该在防御机器人攻击的环境中定期监控网络很重要。 |
