网安 - 专业的网络安全产业、社区、知识平台

洞见RSA 2023:僵尸网络威胁态势观察

VSole2023-05-10 09:29:34

2023 年 4 月 24 日,网络安全行业年度盛会 RSA Conference(美国信息安全大会)在旧金山隆重开幕。自1995年起,RSA Conference每年都会围绕一个独特的主题展开交流和讨论。此次大会以“Stronger Together” 为主题,议程主要包含安全研讨会、沙盒创新大赛、安全技术主题演讲等。大会主题切合当下不断升级、演变的网络威胁态势,各安全厂商只有携手共进、集思广益,才能够确保网络安全方案的多样化和有效性。值得一提的是,本次会议还引用了海伦凯勒的一句名言对议题进行了升华——“Alone we can do so little;together we can do so much.” 在针对DDoS攻击方向的研讨会中,诺基亚业务线的技术主管Craig Labovitz博士围绕近年来愈演愈烈的由企业僵尸网络造成的DDoS攻击展开了讨论。

如今,在云计算 、大数据、AI、在线直播等行业高速增长驱动下,DDoS攻击态势也在不断变化和演进。在2010年到2022年这一区间,大多数DDoS攻击仍以围绕IP欺骗的技术手段为主,例如NTP放大攻击和DNS放大攻击等资源耗尽攻击。而自2023年起,这一DDoS攻击态势发生了根本性的变化,由企业僵尸网络生成的DDoS攻击比例超过了整体攻击比重的50%,而该类型的攻击在2021年第二季度仅占整体比重的10%,这一巨量增幅值得整个网络安全领域引起重视。

而如今在企业、组织中大量应用的IoT(物联网)设备正是造成这一变化的主要原因之一。根据市场洞察和战略商业情报提供商IoT Analytics的全球IoT市场预测,我们可以看到全球各种类型IoT设备的活跃数量正逐年递增。在各类组织、企业中,整合了IoT技术的摄像头、无线AP(Access Point,即接入点)、HVAC设备(Heating, Ventilation, and Air Conditioning,即采暖通风及空调系统)随处可见,大量部署的IoT设备为人们的生活和工作带来了诸多便利和可能,但一些潜在的风险也随之而来。

截至2022年,由全球IoT设备构成的僵尸网络所带来的DDoS攻击其实并不算猛烈,但这其实是由于ISP(Internet Service Provider,网络服务供应商)对上行链路有着严格的限制,也正因如此,目前约70%的受控IoT设备实际上仅能产生不足50Mbps的DDoS攻击流量。

但自2023年起,整个欧美地区的ISP行业竞争激烈,包括Comcast、Verizon在内的ISP厂商开始升级1G对称速率,也就是上行、下行链路均能实现1Gbps的速率。而这一网络升级的普及将对僵尸网络所产生的破坏力带来指数级的增长。

Craig Labovitz博士针对僵尸网络进行了深入研究,通过分析诺基亚合作的ISP、客户所共享的实时数据得到了一些值得分享的信息:

  • 观测到的由IoT设备构成的僵尸网络的攻击峰值可以达到1-2Tbps;
  • 大多数僵尸网络的设备规模数量小于5000台,但仍有少数僵尸网络有着超过60000台的惊人规模;
  • 从设备类型来看,CPE设备(Customer Premise Equipment,即客户前置设备,包括但不限于电话机,无线路由器,防火墙,电脑,光猫,AP等)的比重最多,约占35%;摄像头类设备紧随其后,约占30%;服务器类设备约占20%;其他类型的设备均小于10%; 

那么究竟为什么IoT设备会这么容易被攻击者利用呢?根据目前获取的信息来看,这一现象主要是由于当今世界范围内的IoT设备存在大量的管理缺陷。大多数已部署的IoT设备没有禁止向互联网开放管理权限,且管理员的密码复杂程度不够高,加之很多IoT设备部署后缺乏漏洞管理,没有或者无法及时更新官网补丁,而目前市面上传播的恶意软件又具备自我传播功能,这些原因最终导致IoT设备被DDoS攻击者大量滥用。

在实际操作上,物联网设备通常默默开启telnet远程登录功能,以便于运维人员进行远程管理。而攻击者可以利用这一问题,通过IP地址扫描来发现存活的物联网设备,然后再进行端口扫描来判断该设备是否开启telnet服务。在这之后攻击者会尝试通过弱口令(如各厂商的出厂密码、admin/123456等简单的用户名/密码组合)进行暴力破解,从而获得设备的绝对控制权。以下图为例,当攻击者发现物联网设备后,可以轻易地通过该设备的开放端口获取设备信息,然后通过搜索引擎各类搜索引擎轻易地获取该型号存在的漏洞问题以及漏洞代码,如果该设备没有及时更新补丁,则会轻易的被攻击者获取控制权限并加以利用,开展大规模的DDoS攻击,甚至衍生出黑色产业链,将DDoS攻击作为服务出售给不法分子,也就是臭名昭著的DDoS as a service(DDoS即服务)。 而随着受控IoT设备僵尸网络的规模增长,发起100Gbps规模的DDoS攻击所需的成本也在骤降,由2018年的1000美元骤降至2022年的几十美金,这对于不法分子而言无疑是一场狂欢,而这一现象也为世界范围内的企业、组织带来了巨大的挑战。

ddos僵尸网络
本作品采用《CC 协议》,转载必须注明作者和本文链接
DDoS僵尸网络劫持合勤科技设备发动毁灭性攻击
2023-07-24 15:00:23
已经观察到几个分布式拒绝服务僵尸网络利用合勤设备中的一个关键缺陷来远程控制易受攻击的系统。
Swing VPN 是 DDoS 僵尸网络
2023-06-19 14:16:46
在苹果 App Store 和 Google PlayStore 作为免费 VPN 服务提供给用户的应用 Swing VPN 被认为会利用用户设备发动 DDOS 攻击。目前无论是苹果还是 Google 都未将 Swing VPN 下架,而仅仅 Google Play 其安装量逾 500 万次。对 Swing VPN 的分析发现,开发者利用了不同的技术混淆和隐藏其恶意行动,使用 github 和 goodle drive 链接下载额外的设置,这些设置文件充当了指令控制机制,秘密发动 DDoS 攻击。比较奇怪的是,它的 DDOS 攻击对象是土库曼斯坦的政府网站。
新的 Lucifer DDoS 僵尸网络针对具有多种漏洞的 Windows 系统
2020-06-28 13:55:54
一个名为Lucifer的新的僵尸网络出现在威胁领域中,它利用了十几种高严重性漏洞来影响Windows系统。Lucifer机器人的第一个变体于5月29日被发现,这是该运动的一部分,该运动于6月10日停止,并于6月11日以该机器人的更新版本恢复。“ Lucifer是加密劫持和DDoS恶意软件变种的新混合物,它利用旧漏洞在Windows平台上传播和执行恶意活动。强烈建议对受影响的软件应用进行更新和修补。”
一个名为 Mēris 的新僵尸网络是袭击 Yandex 的大规模 DDoS 攻击的幕后推手
2021-09-10 11:33:10
针对互联网巨头 Yandex 的大规模 DDoS 攻击是由一个名为 Mēris 的全新僵尸网络驱动的。
美国警告"德尔塔卡利",朝鲜DDoS僵尸网络恶意软件
2022-08-24 00:00:00
联邦调查局(FBI)和美国国土安全部(DHS)的联合报告详细介绍了德尔塔·查理,“使用的恶意软件变体”隐藏眼镜蛇“作为其DDoS僵尸网络的一部分,黑客集团将在全球范围内感染数十万台计算机。
【安全头条】 新的Fodcha DDoS僵尸网络 每天针对100多名受害者
2022-04-15 08:19:58
这一新发现的恶意软件由360 Netlab的研究人员命名为Fodcha。
fodcha 僵尸网络病毒分析
2022-05-06 07:19:14
概述最近 fodcha 僵尸网络泛滥。fodcha 是最近新发现的快速传播型 DDos 僵尸网络,由于使用 chacha 算法加密网络流量,360 将其命名为 Fodcha[2]。该恶意软件支持多种架构,包括 x86,arm,mips 等。
Mirai僵尸网络正在积极利用已知的关键漏洞CVE-2021-38647
2021-09-18 12:47:34
研究人员说,OMIGOD 漏洞可以给攻击者根特权
专家发现 Abcbot 和 Xanthe 僵尸网络起源相同
2022-01-11 14:03:19
专家将 Abcbot 僵尸网络背后的 C2 基础设施与 2020 年 12 月发现的加密货币挖掘僵尸网络攻击联系起来。
新型 ZHtrap 僵尸网络使用蜜罐找到更多受害者
2021-03-18 11:05:28
Netlab 360的研究人员发现了一个新的基于Mirai的僵尸网络,称为ZHtrap,该僵尸网络实现了蜜罐来查找更多受害者。ZHtrap使用四个漏洞进行传播,专家指出,僵尸网络主要用于进行DDoS攻击和扫描活动,同时集成了一些后门功能。专家注意到,该僵尸程序借用了Matryosh DDoS僵尸网络的某些实现。研究人员分析了ZHtrap bot的多个样本,并根据其功能将其分为3个版本。ZHtrap僵尸网络通过集成用于收集IP地址的扫描IP收集模块来使用蜜罐,这些IP地址用作进一步传播活动的目标。
VSole
网络安全专家