應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

物聯(lián)網(wǎng)安檢:IoT僵尸網(wǎng)絡(luò)檢測(cè)技術(shù)面臨哪些挑戰(zhàn)

2019-03-07 09:22 OFweek物聯(lián)網(wǎng)

導(dǎo)讀:僵尸網(wǎng)絡(luò)已經(jīng)存在了二十多年,隨著物聯(lián)網(wǎng)(IoT)的興起,它們已經(jīng)進(jìn)一步擴(kuò)展到人們無(wú)法想象的設(shè)備:工業(yè)嵌入式設(shè)備,路由器,移動(dòng)設(shè)備,打印機(jī),攝像頭甚至烤面包機(jī)。

一部分僵尸網(wǎng)絡(luò)通常是用分布式拒絕服務(wù)(DDoS)攻擊讓垃圾數(shù)據(jù)淹沒服務(wù)器。還有一部分僵尸網(wǎng)絡(luò)通過(guò)竊取密碼或挖掘加密貨幣來(lái)瞄準(zhǔn)特定設(shè)備。特別是加密貨幣挖掘?qū)τ谧罱I(yè)物聯(lián)網(wǎng)領(lǐng)域的企業(yè)來(lái)說(shuō)已經(jīng)成為一個(gè)急劇增長(zhǎng)的威脅,Coinhive和CryptoLoot等僵尸網(wǎng)絡(luò)使網(wǎng)絡(luò)犯罪分子每年能夠以犧牲受害者的計(jì)算能力為代價(jià)賺取多達(dá)1億美元。Smominru是最大的加密貨幣挖掘僵尸網(wǎng)絡(luò)之一,利用從NSA泄漏的臭名昭著的EternalBlue漏洞感染了超過(guò)50萬(wàn)臺(tái)機(jī)器。

為了防止僵尸網(wǎng)絡(luò)感染,留存有IoT設(shè)備的企業(yè)必須能夠檢測(cè)它們。但僵尸網(wǎng)絡(luò)檢測(cè)并不容易。下面咱們來(lái)探討一下IoT僵尸網(wǎng)絡(luò)檢測(cè)所面臨的一些技術(shù)升級(jí)和挑戰(zhàn)。

僵尸網(wǎng)絡(luò)檢測(cè)方法

那么,什么是僵尸網(wǎng)絡(luò)?簡(jiǎn)而言之,它是一組僵尸程序 - 受損的計(jì)算機(jī)和設(shè)備 - 執(zhí)行僵尸網(wǎng)絡(luò)所有者提供的命令。通常,僵尸網(wǎng)絡(luò)所有者將專門使用命令和控制服務(wù)器(C2),這是一個(gè)受損的服務(wù)器,用于與機(jī)器人通信,通常通過(guò)Internet Relay Chat命令。僵尸網(wǎng)絡(luò)所有者使用C2服務(wù)器命令僵尸網(wǎng)絡(luò)執(zhí)行攻擊,無(wú)論是DDoS攻擊,數(shù)據(jù)竊取,身份盜竊還是其他類型的攻擊。

不幸的是,找到C2通常不是一項(xiàng)簡(jiǎn)單的任務(wù)。許多僵尸網(wǎng)絡(luò)命令來(lái)自多個(gè)服務(wù)器或采用隱藏的形式,將惡意命令屏蔽為無(wú)害的活動(dòng),例如Tor網(wǎng)絡(luò)流量,社交媒體流量,對(duì)等服務(wù)之間的流量或域生成算法。更復(fù)雜的是,命令通常非常微妙,使得難以檢測(cè)到任何異常。

嘗試檢測(cè)C2的一種方法是分解和分析惡意軟件代碼。IoT安全人員可以嘗試通過(guò)OD腳本類似的反匯編工具獲取已編譯的代碼,有時(shí)可以從中識(shí)別僵尸網(wǎng)絡(luò)命令的根源。但是,由于僵尸網(wǎng)絡(luò)創(chuàng)建者和管理員越來(lái)越多地使用集成加密,因此這種技術(shù)的效果越來(lái)越差。

通常,C2檢測(cè)需要了解C2服務(wù)器與其機(jī)器人之間的通信,但只有專門保護(hù)C2服務(wù)器的安全解決方案才具有這種可見性。檢測(cè)僵尸網(wǎng)絡(luò)的一種更常見的方法是跟蹤和分析攻擊本身 - 標(biāo)準(zhǔn)安全解決方案提供可見性 - 并確定哪些攻擊來(lái)自僵尸網(wǎng)絡(luò)。

在查看漏洞利用嘗試時(shí),僵尸網(wǎng)絡(luò)有一些可能的跡象。例如,如果相同的IP地址攻擊相同的站點(diǎn),同時(shí)使用相同的有效載荷和攻擊模式,那么它們很可能是僵尸網(wǎng)絡(luò)的一部分。如果涉及許多IP和站點(diǎn),則尤其如此。一個(gè)突出的例子是僵尸網(wǎng)絡(luò)在Web服務(wù)上的DDoS嘗試。

誤報(bào)
誤報(bào)的可能性使得僵尸網(wǎng)絡(luò)檢測(cè)特別困難。一些有效載荷被廣泛使用,增加了隨機(jī)發(fā)生的模式觸發(fā)誤報(bào)的可能性。此外,攻擊者可以通過(guò)使用虛擬專用網(wǎng)絡(luò)或代理來(lái)更改其IP地址,使其看起來(lái)像真正只有一個(gè)攻擊者或機(jī)器人。

黑客工具和漏洞掃描程序的行為也類似于僵尸網(wǎng)絡(luò),通常會(huì)返回誤報(bào)。這是因?yàn)楹诳凸ぞ弋a(chǎn)生相同的有效載荷和攻擊模式,并且許多黑客使用它們,無(wú)論其帽子的顏色如何。而且,如果不同的玩家碰巧同時(shí)在同一網(wǎng)站上進(jìn)行滲透測(cè)試,它可能看起來(lái)像僵尸網(wǎng)絡(luò)攻擊。

IoT安全人員通??梢酝ㄟ^(guò)Google搜索有效負(fù)載并參考其周圍的任何記錄信息來(lái)識(shí)別誤報(bào)。另一種技術(shù)涉及簡(jiǎn)單地收集安全解決方案中原始請(qǐng)求中可用的任何信息。例如,如果要更好的利用漏洞掃描程序,大多數(shù)安全解決方案都會(huì)通過(guò)識(shí)別它來(lái)揭示它,特別是如果它是更常見的漏洞掃描程序之一。

鑒于潛在的大量事件,誤報(bào)是僵尸網(wǎng)絡(luò)檢測(cè)中不可避免的挑戰(zhàn); 最近的研究表明,27%的IT專業(yè)人員每天收到超過(guò)100萬(wàn)次安全警報(bào),而55%的人收到超過(guò)10,000次。但是,通過(guò)正確的技術(shù)和勤奮,組織可以識(shí)別來(lái)自惡意的,僵尸網(wǎng)絡(luò)驅(qū)動(dòng)的流量的無(wú)害流量。