已有备案网站增加域名,外贸型网站该如何推广,公司网站建设会计上怎么处理,国内最新新闻事件今天图源 | 视觉中国受访者 | 吴铁军 记者 | 夕颜出品 | AI科技大本营#xff08;ID:rgznai100#xff09;2020年#xff0c;全球遭受了新冠疫情的袭击#xff0c;人们的生产生活受到了极大的影响。在网络世界中#xff0c;僵尸网络作为多年来的主要威胁形式之一#xff0c;并… 图源 | 视觉中国受访者 | 吴铁军 记者 | 夕颜出品 | AI科技大本营ID:rgznai1002020年全球遭受了新冠疫情的袭击人们的生产生活受到了极大的影响。在网络世界中僵尸网络作为多年来的主要威胁形式之一并未受到疫情的影响反而更加活跃。在IoT世界中僵尸病毒有了更多的变种和入侵方式。根据绿盟科技发布的《2020 BOTNET趋势报告》显示2020年1月初我国在IoT家用设备中首次检测到以流量劫持为主要攻击手段的僵尸网络木马家族——Pink其主要利用广告植入技术进行非法牟利。从2020年2月开始国际黑产团伙利用COVID-19相关信息为诱饵制作钓鱼邮件肆意传播僵尸网络木马。发动此类攻击的代表性邮件僵尸网络有Emotet、NetWire等。与此同时沉寂许久的Trickbot、Necurs家族卷土重来投递大量与疫情、工作岗位招聘、欺诈链接等内容有关的恶意邮件。僵尸网络病毒离我们并不遥远。如果你家里有智能音箱、智能电视等IoT设备一定要多加留心因为也许不知何时你家的物联网设备就会悄然成为攻击者的“肉鸡”目标而设备一旦感染病毒并发作很可能泄漏个人隐私甚至威胁到个人生命及财产安全。什么是僵尸网络可能有人对僵尸网络的了解并不深它究竟是什么呢从定义上来看僵尸网络 Botnet是指采用一种或多种传播手段使大量主机感染Bot程序僵尸程序病毒从而在控制者和被感染主机之间形成可一对多控制的网络。 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机而被感染的主机将通过一个控制信道接收攻击者的指令组成一个僵尸网络。之所以用僵尸网络这个名字是为了更形象地让人们认识到这类危害的特点众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着成为被人利用的一种工具。引用自百度百科僵尸网络“毒发”机制僵尸网络病毒听起来可怕它的工作机制究竟是怎样的呢为了让大家更清晰地了解僵尸网络病毒的“毒发”机制AI科技大本营特邀绿盟科技伏影实验室主任研究员吴铁军以Mozi木马为例来科普一下僵尸病毒的通信流程。吴铁军 绿盟科技伏影实验室主任研究员僵尸网络病毒的“毒发”机制并不神秘。图2 Mozi木马典型通信流程首先黑客使用自己的主机或受黑客控制的“肉鸡”设备对全网进行弱密码登录扫描和漏洞扫描 如果发现能够被弱密码爆破或漏洞利用的设备黑客会在该设备上执行bash指令这种指令一般会下载自动化部署脚本 自动化部署脚本根据被入侵物联网设备的CPU架构下载指定文件服务器上的僵尸网络木马程序并运行 僵尸网络木马程序加入黑客控制的僵尸网络域中通常的僵尸网络域是由一台由黑客控制的命令控制服务器进行集中化管理Mozi僵尸网络比较特殊它是加入一种名为Mozi-dht的分布式网络中使用P2P的方式接收黑客的管理命令被僵尸网络木马程序控制的物联网设备会自动进行弱密码登录扫描和漏洞扫描从而达成闭环自动化扩大僵尸网络范围。物联网平台为何成为最大攻击目标了解了僵尸网络病毒的概念和工作机制后就不难理解为什么物联网平台会成为这种病毒的最大攻击目标。吴铁军解释道首先当前物联网设备的安全性较为脆弱易被僵尸网络控制。一是因为物联网整体缺乏管理物联网设备漏洞的发现与修复频度不够充分且存在弱密码问题使得IoT设备极易被僵尸网络木马攻陷二是目前主流的IoT僵尸木马源代码基本上都已经开源木马开发成本低、门槛低入门黑客也可以参与运营僵尸网络第三DDoS 服务、勒索和恶意挖矿容易变现且风险低黑客可利用开源的武器库快速组装恶意软件进而扫描、渗透并控制物联网设备。这些原因使得物联网僵尸网络防御难、溯源难。 而对于攻击者来说物联网设备是具有高价值的脆弱目标。物联网设备有其特殊性需要独占公网IP提供网络服务这样的设备给僵尸网络提供了丰富的网络资源因此容易成为黑客的重点关注对象。由于前述的漏洞和弱密码问题攻陷物联网设备的难度也要比攻陷其他类型设备的难度低得多。加之物联网的供应链长、碎片化严重部分物联网厂商不具备完善的安全能力安全厂商也无法参与整个物联网产品的设计、实现、生产和升级环节以上原因使得物联网设备备受黑客的“青睐”。IoT主流僵尸病毒家族可见IoT设备感染病毒的风险很大。这不禁让人好奇在IoT平台上最常见的僵尸病毒有哪些有哪些比较成熟的攻击技术又分别会造成怎样的危害呢吴铁军表示从分类上来讲目前IoT遭受的僵尸网络病毒攻击仍然是来自以Mirai、Gafgyt等为代表的主流僵尸网络家族同时以Dofloo为首的多平台僵尸网络家族也活跃于多种设备环境中。正是这些“土得掉渣”的家族组成了当今IoT平台威胁形式的主体。2020年根据CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据Mirai家族无疑是最活跃的IoT DDoS僵尸网络家族之一。该家族因代码开源而导致大量变种产生并通过UPX变形壳进行保护。图3 Mirai常见变种与特征作为老牌开源DDoS僵尸网络家族Gafgyt木马变种众多使用者遍布世界各地活跃程度仅次于Mirai家族。跨平台木马Dofloo的活跃度也比较高并呈现了超越以往的态势。Dofloo的一大特点在于管理者会比较频繁地进行网络维护和变种程序的开发。这个家族近期比较大的变化是搭载了针对Docker容器的漏洞利用可以通过未授权访问攻陷一些云主机上未开启安全认证的容器设备。 吴铁军说目前针对这类设备攻击的僵尸网络木马比较少所以预计Dofloo通过这类漏洞利用成功扩大了僵尸网络范围反映在监控中的活跃度就会相应提升。新兴僵尸病毒“升级进化”有意思的是2020年新冠疫情的爆发也为黑客提供了便利包括Emotet、Netwire和SmokeLoader等。除此之外以间谍木马AgentTesla、勒索软件Maze、新兴远控木马BitRAT等为代表的以邮件为主要传播途径的木马程序也获得了滋生的温床。吴铁军指出IoT平台僵尸网络发展至今控制者已经不再满足于基于TCP的传统模式开始探索高隐匿性的网络模型探索一些不同的通信模式反侦测手段与攻击方式都有了不同程度的改变和提升变得更加“狡猾”。从通信模式上来说新兴的僵尸网络采用了通信加密证书验证的双重通信模式普通的恶意家族顶多对流量进行加密而一些新家族在此基础上添加了证书验证不仅提高恶意流量协议分析的难度而且加强了对僵尸网络的控制权。其次新兴僵尸网络家族还使用去中心化模式掺入更复杂的协议。某些恶意家族会在P2P DHT协议基础上再构建一层专属DHT协议使得恶意流量更难被发现CC更难被追踪到。已知的僵尸网络如Hajime和Mozi它们利用了DHT协议将自己的节点加入到BitTorrent的种子网络中并利用种子网络互相连接黑客则通过配置文件扩散的方式控制这些木马节点还有一些木马利用暗网进行通信比如知名物联网僵尸网络Mirai和Gafgyt都出现了使用Tor网络隐藏命令控制服务器的变种。上述的基于DHT或Tor的新型通信模式实际上也是僵尸网络提升反侦测能力的方式。除此之外已经有小部分僵尸网络木马开始设计其他种类的反侦测功能做到“雁过不留痕”如Moobot的一类变种可以伪造受害主机的设备指纹使外部扫描器无法获得主机正确的设备类型还有一些僵尸网络会在入侵成功后关闭设备的一些端口避免被后续的扫描流量探测。但无论病毒怎么进化弱密码爆破/协议爆破和漏洞利用一直是IoT僵尸网络木马最常用的攻击方式。其中协议暴破包含弱口令攻击例如telnet、ssh和接口身份认证不严例如Kubernetes集群的Kubelet配置不当并以弱口令攻击为主直接登录目标系统。漏洞利用则主要针对各家设备利用其处理输入时的缺陷通过发送相应Payload使得目标执行远程代码或命令。攻击者可以通过这两类方式在入侵目标后置入恶意程序进行DDoS、挖矿、窃密甚至勒索等行为严重消耗目标资源造成数据泄密导致经济损失。而这两类攻击的主要不同之处在于弱口令的犯罪成本和门槛较低容易造成大面积传播但更容易被修复而设备漏洞有一定使用门槛且其影响存在一定的局限性修复工作涉及代码更新若升级不及时可能造成长期影响。暴利的黑产链和运营模式天下熙熙皆为利来天下攘攘皆为利往。僵尸网络如此猖獗让IoT用户深受其害的原因也无非在于其背后巨大的黑色产业链。僵尸网络的运营方式有很多种其中售卖僵尸网络软件和敲诈勒索是最常见的黑客牟利手段。这个行业的暴利达到什么程度以2017年臭名昭著的“仙女座”僵尸网络为例根据版本的不同这款软件在网络犯罪市场中的销售价从10美元到500美元不等。2020年影响规模增长最快的新兴邮件木马AgentTesla明码标价在15美元到69美元之间在转入地下交易后其样本销售数量反而持续增长。图 4 AgentTesla软件售价再比如2019年最成功的RaaS勒索软件即服务实例软件制造者声称共同利润超过20亿美元。可想而知僵尸网络黑产背后的利润有多丰厚。守护你的IoT设备不中招还需多方努力说了这么多其实大家最关心的还是怎么样才能让自己家的IoT设备避免中招。在吴铁军看来防止病毒感染用户家的IoT设备需要监管单位、安全从业者以及用户自身多方共同努力。首先从监管角度来讲国家需要加强防范并打击地下黑色产业链对移动互联网生态的管理及时处置僵尸木马等网络攻击威胁清理木马僵尸网络控制的服务器净化公共互联网环境。其次明确信息类资产以及个人隐私类的法律界定施行《个人信息保护法》有利于依法有效打击相关违法犯罪活动。 从安全从业者角度需要不断提高对僵尸木马病毒的检测能力提高对用户隐私以及生产环境的保护能力思黑客之所未思提高对未知威胁的感知和捕获能力并对安全事件做到及时预警和响应。同时要提高对于黑色产业链的取证能力为打击相关违法犯罪活动提供有效证据支持。 而从普通用户角度要做好个人安全意识的培养提高自我保护能力和网络安全防范意识。因为目前大部分僵尸网络病毒传播主要还是依赖弱口令爆破所以使用安全可靠、复杂度较高的密码并定期修改是普通用户最行之有效的防爆方法。其次是加强对物联网设备的管理及时更新系统安全补丁注意使用和执行安全可信的第三方代码和应用程序做好权限管理注意识别附带恶意载荷的钓鱼手段以及配置网络路由策略及防火墙过滤策略或增加网络安全防护设备这些都是拦截掉僵尸网络病毒传播的有效手段。 综上吴铁军认为国家相关部门与安全厂商、物联网厂商、物联网服务商、网络运营商之间要通力协作从横贯“云管端”安全的顶层设计到具体产品的安全设计、测评实现从威胁预警和安全治理结合的监管体系到产业合作创建多赢的商业模式多管齐下才能共建物联网安全生态环境。未来僵尸网络病毒进化AI将发挥更大的作用吴铁军告诉AI科技大本营当前对抗物联网的技术生态正处于不断完善的过程中通过对物联网病毒的传播技术、驻留技术、攻击技术等方面进行技术研究和知识积累国内对于物联网病毒已经有了比较好的检测能力和监测跟踪机制可以实时感知到物联网病毒的攻击活动以及活跃度。然而未来针对IoT的僵尸网络依然会“进化”这几个发展趋势我们不得不留心。一是僵尸网络的头部运营者将不断向高隐匿性发展隐藏方式及手段不断翻新包括扩大犯罪群体“藏木于林”二是僵尸网络的经营者可能会改变经营模式将生产、销售、维护这三个营销阶段剥离并独立自己则隐藏在整个营销链条之下。防守方在网络层面发现的僵尸网络管理者一般位于僵尸网络利益链的尾部离发现真正的头部运营者还有很长的距离。这些都意味着抓到幕后黑手的难度更大对防范僵尸网络病毒散播提出更多挑战。在保护物联网设备免遭网络攻击的道路上越来越多的新技术正在被派上用场例如AI。吴铁军认为ML和DL机器学习和深度学习在IoT网络中是非常有前景的技术IoT网络生成的大量数据正是ML和DL将智能带入系统所需的“原材料”。反之前者也将利用这些数据使得IoT系统做出更加明智的决策。当前ML和DL在IoT网络中主要用于安全性分析、隐私分析、攻击检测和恶意软件分析如执行复杂的感测技术和识别任务实时交互分析身份验证和访问控制攻击检测与缓解DoS和分布式DoSDDoS攻击检测异常/入侵检测以及恶意软件分析等。未来吴铁军还很看好生成对抗网络GAN在检测物联网中的入侵、恶意软件分析和DDoS攻击检测方面以及分布式学习联邦学习在边缘/移动设备上提供高度个性化和安全模型维护客户端/用户隐私方面的广阔前景。为了更好地对抗僵尸网络病毒吴铁军所带领的伏影实验室目前在物联网攻击团伙、物联网指纹识别、物联网威胁识别漏洞攻击识别、自动化规则生成等等特征学习方向进行着更深入的研究。通过这篇文章相信大家对于IoT安全和僵尸病毒家族有了更深刻的了解也希望未来在更多成熟的安全技术保护下让每个普通的IoT设备用户不再因为安全问题而担心忧虑甚至因噎废食不敢使用IoT设备。你还想了解哪些IoT安全问题欢迎留言告诉我们~受访者及团队简介受访者绿盟科技伏影实验室主任研究员 吴铁军。绿盟科技伏影实验室专注于安全威胁与监测技术研究。研究目标包括僵尸网络威胁DDoS对抗WEB对抗流行服务系统脆弱利用威胁、身份认证威胁、数字资产威胁、黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险缓解威胁伤害为威胁对抗提供决策支撑。微软每年豪砸安全研发 10 亿美元聊聊背后的技术密码
何为“边缘计算”“一学就会”的微服务架构模式
除了 k8s留给 k 和 s 中间的数字不多了
到底是谁发明了物联网
再见 Nacos我要玩 Service Mesh 了
点分享点收藏点点赞点在看
