攻击前沿技术分析:P2P物联网僵尸网络发生的可能性
2021-07-09
来源:嘶吼专业版
本文研究人员将讨论P2P技术在物联网僵尸网络中的使用是如何将它们转化为组织和用户需要警惕的更强大的威胁。
物联网为僵尸网络开发人员创造了一个广阔的攻击领域,他们已经开始在这个领域互相争夺设备,而P2P物联网僵尸网络的受害者则越来越多。但是,一种著名的文件共享技术——点对点(P2P)网络的介入会使事情变得更加复杂。
一个典型的物联网僵尸网络会由许多被感染的设备(bot)连接到命令控制(C&C)服务器组成,网络罪犯从中运行整个僵尸网络。这意味着关闭C&C服务器将使僵尸网络无法工作,无论僵尸网络由多少设备组成,在物联网僵尸网络中引入P2P网络消除了这种解决方案。
毕竟,P2P网络允许计算机相互连接,而不需要中央服务器。在实践中,这意味着要关闭一个P2P物联网僵尸网络,防御者将不得不清理每一个受感染的设备,这是一件非常繁琐且几乎不可能完成的任务,因为最好的僵尸网络以使用数千种设备而闻名。
在本文的介绍中,研究人员讨论了过去部署的5个P2P物联网僵尸网络恶意软件家族,并比较了P2P网络在Windows和物联网环境之间发展为恶意软件的速度。其中,研究人员还会讨论P2P物联网僵尸网络的影响,以及网络罪犯可能继续采取这种威胁的趋势。
影响
你可能想知道:为什么只有五个P2P物联网僵尸网络恶意软件家族提供了一种使僵尸网络长时间存活的好方法?让研究人员分析一下物联网僵尸网络的真正目的是什么?
盈利是预测P2P物联网僵尸网络是否可持续的关键,为了让网络罪犯继续开发和实施更复杂的僵尸网络,他们需要找到一种从他们的努力中赚钱的方法。基于当今的物联网僵尸网络,解决此威胁的常见方法是通过包含第三方攻击——以分布式拒绝服务(DDoS)攻击的形式和VPN服务。
为了让P2P物联网僵尸网络变得流行,网络罪犯需要找到一种更好的方法来将这些受感染的路由器转化为金钱。研究人员推测,网络犯罪分子将把他们的重点转移到从被感染路由器的网络上赚钱,而不是仅仅把路由器用作连接互联网的设备。
感染路由器以进行其他攻击
物联网僵尸网络的主要目标是家庭路由器,使路由器成为一个不错的目标的原因是它们作为家庭网络入口的位置。一台被感染的路由器可以让网络犯罪分子进行更多具有攻击性的活动,比如中间人(MitM)攻击和信息盗窃,网络罪犯也可能选择在返回流量中注入恶意元素。
一旦攻击者把重点集中在分析和破坏被感染路由器的流量上,可能性就会无穷无尽。受感染的路由器可能会让网络犯罪分子通过重写网页来进行基于javascript的加密货币挖掘或点击欺诈,以包含任何一种攻击方案的必要元素。此外,网络罪犯可以简单地出售台式机感染和被盗信息,并找到更多通过路由器恶意软件获利的方法。
例如,路由器还可以充当网络罪犯向网络上其他不安全设备横向移动的立足点。通过以这种方式使用路由器,攻击者将无需拦截流量以进行横向移动,而不必应对TLS(传输层安全性)加密带来的挑战,这种方案在某种程度上符合现代勒索软件方法或高级持续威胁(APT)攻击。
通过横向移动,网络犯罪分子无需在感染路由器和感染个人电脑之间做出选择,受损的路由器可能会让攻击者接管网络中其他安全保障不佳的设备,包括计算机。
攻击实现的可能性有多大?
尽管这些攻击方法可能很难实现,但讨论场景的意义在于它们是可能实现的。僵尸网络恶意软件需要拦截来自网络内部的流量,并向它返回的每个网页注入任意元素。从技术的角度来看,这需要篡改路由器的协议栈,这虽然很复杂,但可以做到。网络罪犯也可以选择查看用户访问的网页日志,以获取他们所持有的有价值的信息,这比篡改路由器的协议栈要容易得多。
物联网僵尸网络的过去、现在和未来
P2P网络展示了物联网僵尸网络是如何进一步发展成为真正强大的威胁的,这是建立研究人员之前对这个课题所做的研究基础上的。研究人员的论文“蠕虫战争:物联网领域的僵尸网络之战”中,研究人员回顾了今天大多数物联网僵尸网络恶意软件家族的源代码。更重要的是,研究人员展示了僵尸网络开发人员在不安全设备上相互竞争的激烈程度。与此同时,研究人员对VPNFilter的案例研究突出表明,感染无法真正被删除,因为它们仍可能以某种方式存在于设备中,并带有风险,即使它们背后的操作早已被关闭。2018年VPNFilter在新出现的几个月里就感染全球 54 个国家超过 50 万台路由器和 NAS 设备,它的破坏力可能比我们想象中还强。最初,业界普遍认为它只能感染 Linksys、MikroTik、Netgear、TP-Link 和 QNAP 等品牌的路由器,但事实上华硕、D-Link、华为、Ubiquiti、UPVEL 和中兴等品牌的产品也难逃其魔掌。
从这些先前的研究中,研究人员可以看到物联网僵尸网络带来的挑战。P2P物联网僵尸网络通过控制中央服务器来关闭僵尸网络,从而开启了僵尸网络“永生”可能性,从而使这些特征更加复杂。这里讨论的盈利技术对无法删除和无法关闭的僵尸网络的添加可能会从根本上改变物联网恶意软件。
虽然这些攻击大多集中在家庭路由器或家用设备上,但组织不应该忽视其与自身安全的相关性。如今,当远程工作成为常态时,区分家庭网络和公司网络的界线变得更加困难,因此区分消费者攻击和对组织的攻击的界线也变得更加困难。攻击者可以选择攻击通常不太安全的家庭网络和路由器,以此达到更高、更有价值的目标。
虽然上述的前瞻性攻击场景可能永远不会发生,但可以肯定的是P2P物联网僵尸网络已经存在,对企业和家庭用户都构成了真正却持久的威胁。组织和个人都需要转变他们的观念,将保护他们的路由器和他们的台式机和笔记本电脑放在同等重要的位置。
公司和家庭用户在短期内应该怎么做?他们如何防止路由器被感染?步骤如下:
1.管理漏洞并尽快应用补丁,一旦发布补丁,就立即应用它们,可以减少潜在漏洞的机会。
2.应用安全配置,用户必须确保其设备使用最安全的配置,以缩小攻击的可能性。
3.使用强度很高的密码,用户可以通过更改默认密码和使用强密码来规避暴力破解策略。