如何缓解机器人和撞库攻击?

在这篇博文中,我们探讨了使用撞库攻击的机器人攻击组织的数量如何增加,以及为什么需要了解它们以更好、更安全地缓解它们。

如何缓解机器人和撞库攻击?-南华中天

了解机器人和僵尸网络

当我们说“机器人正在执行攻击”时,机器人这个术语到底是什么意思?“Bot”只是“机器人”的简称,机器人以执行自动任务而著称。这正是机器人所做的,但这里的任务是数字/互联网相关的。机器人将执行程序员可以为其编写脚本并导致该任务自动化的任何活动。想看看 PS5 是否补货?编写一个脚本来每小时检查一次商店页面,瞧!您已经创建了一个“机器人”。

存在许多示例,其中人们利用脚本技能自动执行日常任务,从而以更少的努力提高效率。但就像生活中的一切一样,不良行为者利用相同的技能来开发执行恶意任务的机器人。其中包括 DoS/DDoS 攻击、目录模糊测试、价格抓取、网站爬虫/蜘蛛,以及许多其他恶意活动。由机器人执行的此类恶意活动之一是撞库攻击,这是每年多个组织面临漏洞的主要原因,我们将在以下部分深入探讨。

让我们多谈谈机器人。执行机器人活动的单个系统可能不足以进行成功的攻击。当今的 Web 应用程序具有如此高的可扩展性,以至于它们可以毫无问题地承受大量流量。将负载均衡器、CDN 等添加到等式中,事情变得更加安全。

为了产生大量流量,使用了多个机器人,使它们成为“机器人网络”或“僵尸网络”。这些机器人由称为“命令和控制 (C&C) 服务器”的中央系统控制,该系统由机器人处理程序管理。这些机器人只是之前被攻击活动利用的受损设备,通常利用流行的漏洞(有趣的是,这些受损机器也被称为“僵尸”,因为它们是使用远程访问控制的)。在谈论机器人攻击时,Mirai 僵尸网络是一个非常常用的名称,因为 Mirai 在 2016 年底通过大量受损的智能设备将主要组织作为目标。

在全球范围内,僵尸网络对安全专业人员造成滋扰的例子不胜枚举。机器人执行的一种此类攻击称为凭据填充,我们将在下一节中介绍。

如何缓解机器人和撞库攻击?-南华中天

凭据填充:如何以及为什么

攻击者暴力破解是安全行业面临的一个由来已久的问题。顾名思义,暴力攻击包括一种尝试尽可能多的组合的命中和试验方法,希望至少获得一个真正的肯定。

凭据填充本质上是一种与其他任何技术一样的蛮力技术,但具有某些优势。暴力破解主要有两种类型:纯暴力破解和基于字典的暴力破解。纯暴力尝试所有可能的组合,使其成为效率最低的技术,这是它未被广泛使用的主要原因。基于字典的攻击使用可能的密码列表(除了检索密码之外可能还有其他暴力破解的动机),如果列表中存在正确的密码(也称为“单词表”)。

凭据填充是一种基于字典的攻击形式——除了字典是从第三方服务窃取(或有时购买)的密码列表。这些密码或凭据可以从成功的数据库泄露、密码转储中收集,或者从暗网论坛购买!无论来源如何,攻击者都依赖于使凭据填充成为噩梦的人为弱点:密码重用。如今,大多数互联网用户都有一个密码,可用于多个帐户和服务。如果这些服务中的任何一项遭到破坏,则可能意味着其他帐户可能受到威胁!这使得凭据填充成为一个大问题,这就是它取代传统字典攻击的原因。

缓解措施

并非每次攻击都可以阻止,但总有机会阻止大多数攻击。让我们来看看一些可能表明机器人正在敲门而不是合法用户的指标:

  • 登录时间异常:用户通常在早上登录的一项服务是否在午夜时分受到重击?您可能只是撞库攻击的目标。确保监控任何非预期的登录活动。
  • 流量模式:如果您看到流量从多个 IP 涌入,每个 IP 发出相同(或几乎相同)数量的请求,则可能指向脚本机器人活动。这些机器人的配置方式是它们发送一定数量的请求,以免触发任何警报,但有时会出现像拇指酸痛一样突出的流量模式,表明存在恶意。
  • 请求异常:收到具有 Chrome 49 用户代理指纹的登录请求?可能是非人类互动的迹象。大多数实际用户都在使用最新版本的浏览器(可以是任何浏览器),如果不是最新的,至少也是相当新的版本。来自过时或停产浏览器版本的请求表明存在可疑之处。同样,可以发现更多差异:缺少 HTTP 标头、异常的 HTTP 版本等。
  • 高速率活动:机器人可以在一秒钟内发送多个请求,因为它们通过其凭据词表。普通用户可能会发送 1 次或 2 次登录请求,这也不会在一秒钟内发生。快速连续出现多个请求是暴力破解的明显迹象。

这些观察结果可能是成功攻击和成功阻止攻击之间的决定性因素。整理数据、分析数据并根据对您的基础设施和库存的流量行为部署缓解措施是抵御这些攻击的必要过程。这并不是在防止机器人攻击时要考虑的详尽参数列表,因为您始终可以微调您的缓解方法以使其更加精细,同时减少误报/误报的数量。

如何缓解机器人和撞库攻击?-南华中天

结论:不断进化的机器人

TrickBot对 RDP 实例执行凭证填充造成了严重破坏。Chimera组织破坏了多个帐户、暴力破解远程帐户,以及在过去(甚至今天)执行撞库攻击的更多实例。这些机器人永远在进化。

昨天用来阻止攻击的规则明天可能就过时了。从单一的终端命令到模仿人类用户,机器人在复杂性和功能方面已经取得了长足的进步,但我们可以使用的工具也是如此。软件智能与熟练的人类智能相结合,无论机器人如何自我改造,都会有办法阻止它们。

机器人攻击正在增加,需要不断分析其作案手法及其变化方式。我们希望本文能实现其目的,提供针对机器人程序和相关攻击(尤其是撞库)的见解,并在此过程中拓宽您的安全视野!