如何緩解機器人和撞庫攻擊?
      
                                    
                                
      
                                
      
                                    
      在這篇博文中,我們探討了使用撞庫攻擊的機器人攻擊組織的數量如何增加,以及為什么需要了解它們以更好、更安全地緩解它們。
      

      如何緩解機器人和撞庫攻擊?-南華中天
      

      了解機器人和僵尸網絡
      

      當我們說“機器人正在執行攻擊”時,機器人這個術語到底是什么意思?“Bot”只是“機器人”的簡稱,機器人以執行自動任務而著稱。這正是機器人所做的,但這里的任務是數字/互聯網相關的。機器人將執行程序員可以為其編寫腳本并導致該任務自動化的任何活動。想看看 PS5 是否補貨?編寫一個腳本來每小時檢查一次商店頁面,瞧!您已經創建了一個“機器人”。
      

      存在許多示例,其中人們利用腳本技能自動執行日常任務,從而以更少的努力提高效率。但就像生活中的一切一樣,不良行為者利用相同的技能來開發執行惡意任務的機器人。其中包括 DoS/DDoS 攻擊、目錄模糊測試、價格抓取、網站爬蟲/蜘蛛,以及許多其他惡意活動。由機器人執行的此類惡意活動之一是撞庫攻擊,這是每年多個組織面臨漏洞的主要原因,我們將在以下部分深入探討。
      

      讓我們多談談機器人。執行機器人活動的單個系統可能不足以進行成功的攻擊。當今的 Web 應用程序具有如此高的可擴展性,以至于它們可以毫無問題地承受大量流量。將負載均衡器、CDN 等添加到等式中,事情變得更加安全。
      

      為了產生大量流量,使用了多個機器人,使它們成為“機器人網絡”或“僵尸網絡”。這些機器人由稱為“命令和控制 (C&C) 服務器”的中央系統控制,該系統由機器人處理程序管理。這些機器人只是之前被攻擊活動利用的受損設備,通常利用流行的漏洞(有趣的是,這些受損機器也被稱為“僵尸”,因為它們是使用遠程訪問控制的)。在談論機器人攻擊時,Mirai 僵尸網絡是一個非常常用的名稱,因為 Mirai 在 2016 年底通過大量受損的智能設備將主要組織作為目標。
      

      在全球范圍內,僵尸網絡對安全專業人員造成滋擾的例子不勝枚舉。機器人執行的一種此類攻擊稱為憑據填充,我們將在下一節中介紹。
      

      如何緩解機器人和撞庫攻擊?-南華中天
      

      憑據填充:如何以及為什么
      

      攻擊者暴力破解是安全行業面臨的一個由來已久的問題。顧名思義,暴力攻擊包括一種嘗試盡可能多的組合的命中和試驗方法,希望至少獲得一個真正的肯定。
      

      憑據填充本質上是一種與其他任何技術一樣的蠻力技術,但具有某些優勢。暴力破解主要有兩種類型:純暴力破解和基于字典的暴力破解。純暴力嘗試所有可能的組合,使其成為效率最低的技術,這是它未被廣泛使用的主要原因。基于字典的攻擊使用可能的密碼列表(除了檢索密碼之外可能還有其他暴力破解的動機),如果列表中存在正確的密碼(也稱為“單詞表”)。
      

      憑據填充是一種基于字典的攻擊形式——除了字典是從第三方服務竊取(或有時購買)的密碼列表。這些密碼或憑據可以從成功的數據庫泄露、密碼轉儲中收集,或者從暗網論壇購買!無論來源如何,攻擊者都依賴于使憑據填充成為噩夢的人為弱點:密碼重用。如今,大多數互聯網用戶都有一個密碼,可用于多個帳戶和服務。如果這些服務中的任何一項遭到破壞,則可能意味著其他帳戶可能受到威脅!這使得憑據填充成為一個大問題,這就是它取代傳統字典攻擊的原因。
      

      緩解措施
      

      并非每次攻擊都可以阻止,但總有機會阻止大多數攻擊。讓我們來看看一些可能表明機器人正在敲門而不是合法用戶的指標:
      

        

      • 登錄時間異常:用戶通常在早上登錄的一項服務是否在午夜時分受到重擊?您可能只是撞庫攻擊的目標。確保監控任何非預期的登錄活動。
        • 

      • 流量模式:如果您看到流量從多個 IP 涌入,每個 IP 發出相同(或幾乎相同)數量的請求,則可能指向腳本機器人活動。這些機器人的配置方式是它們發送一定數量的請求,以免觸發任何警報,但有時會出現像拇指酸痛一樣突出的流量模式,表明存在惡意。
        • 

      • 請求異常:收到具有 Chrome 49 用戶代理指紋的登錄請求?可能是非人類互動的跡象。大多數實際用戶都在使用最新版本的瀏覽器(可以是任何瀏覽器),如果不是最新的,至少也是相當新的版本。來自過時或停產瀏覽器版本的請求表明存在可疑之處。同樣,可以發現更多差異:缺少 HTTP 標頭、異常的 HTTP 版本等。
        • 

      • 高速率活動:機器人可以在一秒鐘內發送多個請求,因為它們通過其憑據詞表。普通用戶可能會發送 1 次或 2 次登錄請求,這也不會在一秒鐘內發生。快速連續出現多個請求是暴力破解的明顯跡象。
        • 

      

      這些觀察結果可能是成功攻擊和成功阻止攻擊之間的決定性因素。整理數據、分析數據并根據對您的基礎設施和庫存的流量行為部署緩解措施是抵御這些攻擊的必要過程。這并不是在防止機器人攻擊時要考慮的詳盡參數列表,因為您始終可以微調您的緩解方法以使其更加精細,同時減少誤報/誤報的數量。
      

      如何緩解機器人和撞庫攻擊?-南華中天
      

      結論:不斷進化的機器人
      

      TrickBot對 RDP 實例執行憑證填充造成了嚴重破壞。Chimera組織破壞了多個帳戶、暴力破解遠程帳戶,以及在過去(甚至今天)執行撞庫攻擊的更多實例。這些機器人永遠在進化。
      

      昨天用來阻止攻擊的規則明天可能就過時了。從單一的終端命令到模仿人類用戶,機器人在復雜性和功能方面已經取得了長足的進步,但我們可以使用的工具也是如此。軟件智能與熟練的人類智能相結合,無論機器人如何自我改造,都會有辦法阻止它們。
      

      機器人攻擊正在增加,需要不斷分析其作案手法及其變化方式。我們希望本文能實現其目的,提供針對機器人程序和相關攻擊(尤其是撞庫)的見解,并在此過程中拓寬您的安全視野!