物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)如何通過DDoS攻擊并感染設(shè)備
黑客使用IoT僵尸網(wǎng)絡(luò)來針對企業(yè)組織,IT管理員必須知道他們?nèi)绾胃腥驹O(shè)備并執(zhí)行DDoS攻擊以作好準(zhǔn)備。
迅速增長的物聯(lián)網(wǎng)設(shè)備數(shù)量進(jìn)一步為不良行為者提供了眾多的端點,他們可以選擇加入龐大的機(jī)器人團(tuán)隊中進(jìn)行PK。黑客已經(jīng)使用物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)發(fā)起破壞性的DDoS攻擊。
例如,黑客使用Mirai病毒感染了約600000臺IoT設(shè)備,然后在2016年美國東部大部分地區(qū)發(fā)起了DDoS攻擊,使互聯(lián)網(wǎng)癱瘓。當(dāng)時,IoT設(shè)備數(shù)量比現(xiàn)在減少了數(shù)十億。
根據(jù)Statista Research的題為“ 2015年至2025年全球已安裝的物聯(lián)網(wǎng)(IoT)有源設(shè)備連接基礎(chǔ)”的報告,已連接設(shè)備的數(shù)量已從2016年的176.8億猛增到2020年的估計307.3億。預(yù)計到2025年,這一數(shù)字將超過750億。隨著設(shè)備數(shù)量的增加,利用物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)進(jìn)行攻擊的潛在潛力似乎正在增加。
Bitdefender的研究人員于2020年4月宣布,他們確定了一個新的IoT僵尸網(wǎng)絡(luò),他們將其命名為dark_nexus,并表示其功能已經(jīng)超越了其他已知的僵尸網(wǎng)絡(luò)。研究人員還表示,dark_nexus僵尸網(wǎng)絡(luò)似乎是由一位已知的僵尸網(wǎng)絡(luò)作者開發(fā)的,該作者過去曾涉嫌出售DDoS服務(wù)。
僵尸網(wǎng)絡(luò)命令和控制架構(gòu)
黑客如何感染IoT設(shè)備以創(chuàng)建僵尸網(wǎng)絡(luò)
僵尸網(wǎng)絡(luò)的發(fā)展通常遵循既定策略。它始于一個壞的演員,一個人或一群黑客,他們共同為犯罪集團(tuán)或一個民族國家工作,他們創(chuàng)建程序來感染設(shè)備。該惡意軟件可以運行在可以執(zhí)行代碼的任何類型的設(shè)備上,但是黑客也可以創(chuàng)建它來專門針對IoT設(shè)備。
惡意行為者可以使用不同的策略將惡意軟件傳播到設(shè)備上。網(wǎng)絡(luò)釣魚詐騙是常見的策略,但惡意軟件也可以被設(shè)計為在IoT設(shè)備上尋找不受保護(hù)的網(wǎng)絡(luò)端口或其他類似的特定漏洞。一旦設(shè)計完成,黑客就會使用該代碼感染盡可能多的設(shè)備,從而將這一系列被劫持的設(shè)備變成一個僵尸網(wǎng)絡(luò)。
管理咨詢公司Swingtide的高級顧問Christopher McElroy說:“這些機(jī)器并沒有什么問題,只是運行它們的代碼。”
他說,盡管媒體報道了惡意物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊,但許多組織仍使用類似的技術(shù)(例如分布式計算系統(tǒng))來處理某些業(yè)務(wù)功能。例如,零售商可以使用該技術(shù)監(jiān)視給定項目的最低報價,或者IT部門可以部署該技術(shù)以監(jiān)視設(shè)備性能。但是,有問題的僵尸網(wǎng)絡(luò)已被設(shè)備上運行的惡意代碼感染,因此黑客可以控制設(shè)備以發(fā)起犯罪活動,例如DDoS攻擊。
使用惡意軟件代碼進(jìn)行物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)DDoS攻擊
不良行為者可以在互聯(lián)網(wǎng)上找到模塊化的惡意代碼,其中許多都是免費的。卡內(nèi)基·梅隆大學(xué)亨氏信息系統(tǒng)與公共政策學(xué)院的兼職教授,退休的美國空軍旅長格雷戈里·托希爾(Gregory Touhill)說,這些模塊是為某些任務(wù)而設(shè)計的。設(shè)計用于檢測易受攻擊的機(jī)器,包括IoT設(shè)備和工業(yè)控件。還有一個模塊來偽裝代碼,以便它可以感染目標(biāo)而不被檢測到,并且該模塊允許通信回本壘。
“當(dāng)惡意軟件進(jìn)入設(shè)備時,根據(jù)代碼的編寫方式,它有時會像ET一樣回電話,它調(diào)用命令和控制并告訴命令它在哪里。該消息發(fā)送到命令和控制服務(wù)器,大多數(shù)僵尸網(wǎng)絡(luò)都有很多,而且它們本身通常是被破壞的設(shè)備,” Touhill說。
大多數(shù)僵尸網(wǎng)絡(luò)代碼都嘗試到達(dá)主要的命令和控制節(jié)點。如果無法到達(dá)該節(jié)點,則代碼將嘗試到達(dá)輔助節(jié)點或第三級節(jié)點。一旦連接,它將停止。它不能保持恒定的接觸。
Orchestrators被稱為使用僵尸網(wǎng)絡(luò)發(fā)動攻擊的不良行為者,他們也使用一個模塊來交付有效負(fù)載,可用于發(fā)起實際攻擊的代碼。一旦安裝在設(shè)備上,該代碼會將信息發(fā)送回系統(tǒng),并說“我在這里,這是信息”。該信息收集在主數(shù)據(jù)庫中。
McElroy說:“黑客正在對1000或100萬甚至更多的設(shè)備執(zhí)行相同的操作。” “然后,代碼就坐在那兒,等待主服務(wù)器發(fā)出的指令;它只是等待編排者發(fā)出指令。”
物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)可以阻止垃圾郵件或其他類型的錯誤信息,但是它們最常用于發(fā)起DDoS攻擊,在這種攻擊中,協(xié)調(diào)器命令僵尸網(wǎng)絡(luò)向目標(biāo)泛濫流量以關(guān)閉其系統(tǒng)。
McElroy說,攻擊者可以出于自己的原因和自己的利益計劃和執(zhí)行攻擊,或者可以將僵尸網(wǎng)絡(luò)清單的使用賣給其他人,并從其“客戶端”那里獲得指令,以針對所需的攻擊類型分發(fā)指令。協(xié)調(diào)器將命令存儲在服務(wù)器上。當(dāng)機(jī)器人獲得設(shè)置命令后,它們就會啟動。
Touhill說:“隨著“感染”的傳播,絕大多數(shù)僵尸網(wǎng)絡(luò)都處于等待狀態(tài),然后壞人決定發(fā)起或執(zhí)行攻擊,然后所有僵尸網(wǎng)絡(luò)都進(jìn)入攻擊模式并瘋狂傳播。”
當(dāng)然,組織部署了網(wǎng)絡(luò)安全防御層來阻止惡意軟件進(jìn)入設(shè)備,但是,正如專家指出的那樣,這些層在防止攻擊方面并不總是成功的。
一旦僵尸網(wǎng)絡(luò)處于活動狀態(tài),協(xié)調(diào)員便要求付款以停止僵尸網(wǎng)絡(luò)活動,金錢收益是攻擊的最常見動機(jī)。
