如何緩解機(jī)器人和撞庫攻擊?
      
                                    
                                
      
                                
      
                                    
      在這篇博文中,我們探討了使用撞庫攻擊的機(jī)器人攻擊組織的數(shù)量如何增加,以及為什么需要了解它們以更好、更安全地緩解它們。
      

      如何緩解機(jī)器人和撞庫攻擊?-南華中天
      

      了解機(jī)器人和僵尸網(wǎng)絡(luò)
      

      當(dāng)我們說“機(jī)器人正在執(zhí)行攻擊”時,機(jī)器人這個術(shù)語到底是什么意思?“Bot”只是“機(jī)器人”的簡稱,機(jī)器人以執(zhí)行自動任務(wù)而著稱。這正是機(jī)器人所做的,但這里的任務(wù)是數(shù)字/互聯(lián)網(wǎng)相關(guān)的。機(jī)器人將執(zhí)行程序員可以為其編寫腳本并導(dǎo)致該任務(wù)自動化的任何活動。想看看 PS5 是否補(bǔ)貨?編寫一個腳本來每小時檢查一次商店頁面,瞧!您已經(jīng)創(chuàng)建了一個“機(jī)器人”。
      

      存在許多示例,其中人們利用腳本技能自動執(zhí)行日常任務(wù),從而以更少的努力提高效率。但就像生活中的一切一樣,不良行為者利用相同的技能來開發(fā)執(zhí)行惡意任務(wù)的機(jī)器人。其中包括 DoS/DDoS 攻擊、目錄模糊測試、價格抓取、網(wǎng)站爬蟲/蜘蛛,以及許多其他惡意活動。由機(jī)器人執(zhí)行的此類惡意活動之一是撞庫攻擊,這是每年多個組織面臨漏洞的主要原因,我們將在以下部分深入探討。
      

      讓我們多談?wù)剻C(jī)器人。執(zhí)行機(jī)器人活動的單個系統(tǒng)可能不足以進(jìn)行成功的攻擊。當(dāng)今的 Web 應(yīng)用程序具有如此高的可擴(kuò)展性,以至于它們可以毫無問題地承受大量流量。將負(fù)載均衡器、CDN 等添加到等式中,事情變得更加安全。
      

      為了產(chǎn)生大量流量,使用了多個機(jī)器人,使它們成為“機(jī)器人網(wǎng)絡(luò)”或“僵尸網(wǎng)絡(luò)”。這些機(jī)器人由稱為“命令和控制 (C&C) 服務(wù)器”的中央系統(tǒng)控制,該系統(tǒng)由機(jī)器人處理程序管理。這些機(jī)器人只是之前被攻擊活動利用的受損設(shè)備,通常利用流行的漏洞(有趣的是,這些受損機(jī)器也被稱為“僵尸”,因?yàn)樗鼈兪鞘褂眠h(yuǎn)程訪問控制的)。在談?wù)摍C(jī)器人攻擊時,Mirai 僵尸網(wǎng)絡(luò)是一個非常常用的名稱,因?yàn)?Mirai 在 2016 年底通過大量受損的智能設(shè)備將主要組織作為目標(biāo)。
      

      在全球范圍內(nèi),僵尸網(wǎng)絡(luò)對安全專業(yè)人員造成滋擾的例子不勝枚舉。機(jī)器人執(zhí)行的一種此類攻擊稱為憑據(jù)填充,我們將在下一節(jié)中介紹。
      

      如何緩解機(jī)器人和撞庫攻擊?-南華中天
      

      憑據(jù)填充:如何以及為什么
      

      攻擊者暴力破解是安全行業(yè)面臨的一個由來已久的問題。顧名思義,暴力攻擊包括一種嘗試盡可能多的組合的命中和試驗(yàn)方法,希望至少獲得一個真正的肯定。
      

      憑據(jù)填充本質(zhì)上是一種與其他任何技術(shù)一樣的蠻力技術(shù),但具有某些優(yōu)勢。暴力破解主要有兩種類型:純暴力破解和基于字典的暴力破解。純暴力嘗試所有可能的組合,使其成為效率最低的技術(shù),這是它未被廣泛使用的主要原因?;谧值涞墓羰褂每赡艿拿艽a列表(除了檢索密碼之外可能還有其他暴力破解的動機(jī)),如果列表中存在正確的密碼(也稱為“單詞表”)。
      

      憑據(jù)填充是一種基于字典的攻擊形式——除了字典是從第三方服務(wù)竊?。ɑ蛴袝r購買)的密碼列表。這些密碼或憑據(jù)可以從成功的數(shù)據(jù)庫泄露、密碼轉(zhuǎn)儲中收集,或者從暗網(wǎng)論壇購買!無論來源如何,攻擊者都依賴于使憑據(jù)填充成為噩夢的人為弱點(diǎn):密碼重用。如今,大多數(shù)互聯(lián)網(wǎng)用戶都有一個密碼,可用于多個帳戶和服務(wù)。如果這些服務(wù)中的任何一項(xiàng)遭到破壞,則可能意味著其他帳戶可能受到威脅!這使得憑據(jù)填充成為一個大問題,這就是它取代傳統(tǒng)字典攻擊的原因。
      

      緩解措施
      

      并非每次攻擊都可以阻止,但總有機(jī)會阻止大多數(shù)攻擊。讓我們來看看一些可能表明機(jī)器人正在敲門而不是合法用戶的指標(biāo):
      

        

      • 登錄時間異常:用戶通常在早上登錄的一項(xiàng)服務(wù)是否在午夜時分受到重?fù)??您可能只是撞庫攻擊的目?biāo)。確保監(jiān)控任何非預(yù)期的登錄活動。
        • 

      • 流量模式:如果您看到流量從多個 IP 涌入,每個 IP 發(fā)出相同(或幾乎相同)數(shù)量的請求,則可能指向腳本機(jī)器人活動。這些機(jī)器人的配置方式是它們發(fā)送一定數(shù)量的請求,以免觸發(fā)任何警報,但有時會出現(xiàn)像拇指酸痛一樣突出的流量模式,表明存在惡意。
        • 

      • 請求異常:收到具有 Chrome 49 用戶代理指紋的登錄請求?可能是非人類互動的跡象。大多數(shù)實(shí)際用戶都在使用最新版本的瀏覽器(可以是任何瀏覽器),如果不是最新的,至少也是相當(dāng)新的版本。來自過時或停產(chǎn)瀏覽器版本的請求表明存在可疑之處。同樣,可以發(fā)現(xiàn)更多差異:缺少 HTTP 標(biāo)頭、異常的 HTTP 版本等。
        • 

      • 高速率活動:機(jī)器人可以在一秒鐘內(nèi)發(fā)送多個請求,因?yàn)樗鼈兺ㄟ^其憑據(jù)詞表。普通用戶可能會發(fā)送 1 次或 2 次登錄請求,這也不會在一秒鐘內(nèi)發(fā)生。快速連續(xù)出現(xiàn)多個請求是暴力破解的明顯跡象。
        • 

      

      這些觀察結(jié)果可能是成功攻擊和成功阻止攻擊之間的決定性因素。整理數(shù)據(jù)、分析數(shù)據(jù)并根據(jù)對您的基礎(chǔ)設(shè)施和庫存的流量行為部署緩解措施是抵御這些攻擊的必要過程。這并不是在防止機(jī)器人攻擊時要考慮的詳盡參數(shù)列表,因?yàn)槟冀K可以微調(diào)您的緩解方法以使其更加精細(xì),同時減少誤報/誤報的數(shù)量。
      

      如何緩解機(jī)器人和撞庫攻擊?-南華中天
      

      結(jié)論:不斷進(jìn)化的機(jī)器人
      

      TrickBot對 RDP 實(shí)例執(zhí)行憑證填充造成了嚴(yán)重破壞。Chimera組織破壞了多個帳戶、暴力破解遠(yuǎn)程帳戶,以及在過去(甚至今天)執(zhí)行撞庫攻擊的更多實(shí)例。這些機(jī)器人永遠(yuǎn)在進(jìn)化。
      

      昨天用來阻止攻擊的規(guī)則明天可能就過時了。從單一的終端命令到模仿人類用戶,機(jī)器人在復(fù)雜性和功能方面已經(jīng)取得了長足的進(jìn)步,但我們可以使用的工具也是如此。軟件智能與熟練的人類智能相結(jié)合,無論機(jī)器人如何自我改造,都會有辦法阻止它們。
      

      機(jī)器人攻擊正在增加,需要不斷分析其作案手法及其變化方式。我們希望本文能實(shí)現(xiàn)其目的,提供針對機(jī)器人程序和相關(guān)攻擊(尤其是撞庫)的見解,并在此過程中拓寬您的安全視野!