-
看过古龙的人都知道,他的作品中有这么一位人物,通晓江湖事,著有《兵器谱》,名唤百晓生。乱世出英雄,如今网络安全江湖今非昔比,风云变幻,也出了这样一位“百晓生”。攻防较量日趋焦灼,许多网安义士想要“惩奸除恶”,与宵小一决高下,必然要做到:知己知彼,百战不殆。而网安江湖“百晓生”——威胁情报,则早已成为攻防双方决策的重要依据。江湖中早有妖风,黑客组织借僵尸网络为祸人间,如跗骨之蛆,伺机而动。“百晓生”《兵器谱》中僵尸网络排名几何?绿盟科技近期发布的《2018年度BOTNET趋势报告》已有著述。
黑客的拿手伎俩——僵尸网络
在面对互联网威胁的过程中,Botnet即僵尸网络,作为互联网领域中持续时间最长的一类威胁形式,以其泛用性、灵活性、高可操作性等特征,成为攻击者的主要攻击手段之一,因此对僵尸网络进行研究是必不可少的获取情报的途径。
僵尸网络的招数变化
绿盟科技伏影实验室基于2018年持续追踪和研究所获得的数据,发布了《2018年度BOTNET趋势报告》,从Botnet在程序结构、运维方式、经济模式等多个层次上发生的显著变化进行了阐述:
Botnet程序代码结构普遍趋向成熟,开始呈现高度的模块化特征,其恶意行为从执行DDoS攻击扩展为结合挖矿、勒索等模块的多元化攻击;
新平台安全性的羸弱使得Botnet扩散传播更为主动,Windows平台老家族活跃度下;
降,IoT平台家族则迅速成长壮大;2018年,Linux及IoT平台家族的C&C服务器数量在整体数据中占比从上年度的4.4%提升至31%,产生的攻击数量占观测量的92%;
IoT平台家族控制的肉鸡发出的攻击与高倍数反射DDoS攻击技术相结合,达到隐藏攻击源,产生巨量攻击流量的目的,加大了DDoS攻击防御难度;
Botnet开始向少数成熟且功能完善的家族集中,黑产团伙倾向于使用稳定的Botnet家族版本及C&C服务器;
控制者更多地将Botnet的C&C服务器部署在互联网基础设施发达的国家和地区,借助这些区域低廉的部署费用降低Botnet的维护成本;
我们观察到,价格低廉、审核宽松的VPS(Virtual Private Server)降低了非组织黑产人员架设Botnet网络的成本;
Botnet控制者在套现方面表现得更加激进,Botnet向BaaS(Botnet as a Service)方向发展,使得其攻击目标扩大至在线服务消费者以及线上黑色产业等。
网安江湖“百晓生”之所以扬名立万,就是因为他的情报是从数据中提炼而来,从情报中感知威胁,这也就是威胁情报的核心理念。
“招数”源头
僵尸网络如此凶险的招数究竟出自何门何派呢?僵尸网络最早的历史渊源可以追溯到1993年在IRC聊天网络中出现的Bot工具——Eggdrop,它能够自动地执行如权限管理、记录频道事件等一系列功能,帮助IRC网络管理员更方便地管理聊天网络。黑客受到这种工具的启发,1999年6月,在因特网上出现的PrettyPark首次使用了IRC协议构建命令与控制信道,从而成为第一个恶意僵尸程序。
招数特点及斑斑劣迹
僵尸网络在江湖中又为何如此臭名昭著?主要还是由于来势汹汹,杀伤面积大。从2010年起,僵尸网络开始迅速发展;2016年Mirai僵尸网络对美国的电信服务商Dyn进行攻击,导致美国1/3地区的人们无法连接到互联网,此时僵尸网络的影响力已逐步扩大;时间到了2018年,攻击者利用upnp漏洞传播的僵尸网络,在短时间内就控制了10W多台路由器,如果结合高放大倍数的反射攻击,造成的损失将是无法估计的,远远超越2010年前的僵尸网络所带来的危害,短短8年间,僵尸网络的时效及影响范围已经达到了耸人听闻的地步。诸如此类的攻击不断的升级,在这些高威胁来临时,对防护类设备提出了新的考验,也影响了威胁情报在网络安全领域的发展方向及落地方式。
“江湖通缉令”
在国际上,工业界和政府部门非常关注僵尸网络对因特网带来的严重安全威胁,微软公司在2004年发起了国际反僵尸网络工作组,2006年6月,美国陆军研究办公室ARO、国防高级研究计划署DARPA和国土安全部DHS等3个部门联合在GA Tech举办了僵尸网络专门研讨会,汇集学术界、政府部门和工业界的研究人员对这一安全威胁进行了深入探讨,并汇总出版了《Botnet Detection: Countering the Largest Security Threat》。
2014年11月,受法国军方支持,由民间组织建立了名为BotConf的僵尸网络对抗技术论坛,汇聚了全世界研究僵尸网络的安全研究人员,在此会议上发布了包括DGA算法的检测手段等众多研究成果。
2018年,由各大国际网络安全厂商及电信服务商组成的CSDE理事会发布了《INTERNATIONAL ANTI-BOTNET GUIDE》,用以研讨如何与僵尸网络攻击进行对抗。
“百晓生”的千里眼和顺风耳
百晓生《兵器谱》的背后是千千万万个数据来源织就的恢恢法网,跟踪与监测着黑客家族的一举一动。在2018年绿盟科技伏影实验室共监控到攻击命令10万余条,其中有效攻击目标数量为40万余次,相较去年(20万余次)增长了66.4%,受影响的行业包括新闻、投资、影视、消费、云服务、游戏等,严重影响人们正常的工作生活。伏影实验室依托绿盟威胁情报平台,输出了大量的僵尸网络控制、攻击信息,能够协助终端设备快速定位威胁来源,迅速截断恶意请求的流量,加大恶意流量的辨识效果,有效的提升了僵尸网络的检测率和阻断率,保证各类业务正常运行。
伏影实验室通过对Botnet的整体监控与分析,获取了活跃攻击方式、主要攻击目标、主流攻击手法等第一手情报,对关联组织进行分析与画像,进而实现对网络攻击的告警与预防乃至对黑产组织的定位与打击。
来源:之家网站
来源:松松科技 QQ/微信:lusongsong7
网络安全江湖“百晓生”为你揭密僵尸网络的江湖排名
| 阅读量 | 分类: IT业界 | 作者: 鸿宇-松松推广
相关文章阅读更多:网络 电脑 黑客
- 2015-03-21 IE、火狐、Chrome和Safari全部被黑客攻破
- 2015-03-29 国行PS4解锁教程
- 2015-04-17 英国犯人利用网络社工成功越狱
- 2015-05-16 微软TechNet网站被黑客渗透:正与邪的较量
- 2015-05-25 此内容不予显示
- 2015-06-07 史上最严重的十次黑客袭击:索尼真两次中招
- 2015-06-12 电脑之家疑似被黑 面对互联网安全,一切显得那么脆弱!
- 2015-07-21 全球最大婚外情网站被黑 3750万用户信息或将曝光
- 2015-07-25 韩国遭受百万次黑客攻击称:朝鲜长期准备后进行的网络攻击
- 2015-08-27 偷情网站被黑的幕后主谋或将浮出水面
- 2015-09-14 五角大楼又被黑 美国恼羞成怒
- 2015-09-21 苹果正式回应XcodeGhost木马事件
- 2015-10-06 斯诺登再爆料:英美情报单位可侵入民众手机
- 2015-10-28 乌云曝百度多款App存在WormHole漏洞 安卓手机可被远程控制
- 2020-06-28本站开通了在线投稿,点此立刻给我投稿哦!
发表感想加入微信群
点此登录松松云平台免费认证