前100天:构建我们的互联未来 点击了解更多

X
作者

保罗·埃斯勒

这个万圣节,僵尸网络不要害怕

十月31,2019

僵尸网络是由受感染的,与互联网连接的计算机和设备组成的大型网络,可以对恶意行为者进行招标。长期以来,僵尸网络已被比作“僵尸”,它们在互联网上漫游,感染不受保护的设备,并使它们成为the积的一部分。

在这篇以万圣节为主题的博客文章中,我们研究了僵尸网络世界中的一些怪异趋势,这些趋势表明了这种威胁的发展趋势。

  1. 双重,双重,未来和麻烦

用于物联网(IoT)设备的最怪异的僵尸网络家族是什么?

当然还有Mirai家族。以前,Mirai主要针对家庭中使用的设备,例如照相机,录像机,照明设备和恒温器。但是,现在,为了满足对物联网设备的僵尸般的饥饿感,新的变体已经利用了一些漏洞,使它们能够“吞噬”企业物联网和其他日益复杂的系统。

Mirai变种的活动 几乎翻了一番 在2018年至2019年之间。[1] 在2016年发生历史性网络攻击后,与Mirai相关的活动有所减少,该网络攻击在美国和欧洲关闭了互联网的重要部分-包括Twitter,Netflix,Reddit,CNN,PayPal和Spotify-但这种复兴势头表明该恶意软件仍然是一种严重威胁。

  1. 科学怪人的机器人

自三年前Mirai僵尸网络的源代码在网上泄露以来,恶意攻击者就扮演了Frankenstein博士的角色,并尝试使用该僵尸网络的源代码来创建新型的在线威胁。人们将如今在犯罪分子中流行的各种僵尸网络与科学怪人的怪兽进行了比较,因为它们是由不同的开源恶意软件(包括但不限于Mirai)制成的。[2] 2018年一篇不祥的新闻文章写道:“僵尸网络作者将Mirai的尸体变成新的威胁”。[3] 截至2019年7月,Mirai僵尸网络至少有63个已确认的变体[4] 并且很可能其他人仍未被发现。

  1. 恐怖的小黑暗网店

在整个黑暗的网络中,存在着犯罪市场,僵尸网络可以由网络犯罪分子以低廉的价格租用。这种被称为恶意软件即服务(MaaS)的安排将破坏性工具置于更广泛的恶意行为者手中。[5] 一些租用僵尸网络的犯罪分子缺乏制作自己的僵尸网络的技术技能。但是,其他人则认为租用僵尸网络纯粹是务实的商业决策。

为了避免所有恶意活动都在黑暗网络的秘密中蔓延,越来越多的僵尸网络创建者正在主流平台上宣传他们的作品。僵尸网络的创建者已经在YouTube和Instagram上发布了他们的项目的广告,公开嘲笑法律,并收取低廉的租金以激励犯罪分子成为他们的客户。[6]

  1. 这是伟大的僵尸网络,Emotet

僵尸网络Emotet于2019年9月进行了复仇。[7] Emotet拥有超过200,000种被盗的用户名和密码组合,可向世界各地的用户大量发送垃圾邮件,诱使他们释放恶意负载。 Emotet发送的电子邮件通常看起来是来自合法联系人,并且可能包含来自真实对话的详细信息。众所周知,Emotet会引用以前的电子邮件线程,甚至像人类一样发送后续电子邮件-这种策略使僵尸网络越来越难以被垃圾邮件过滤器和人类发现。[8] 由于Emotet的广泛影响,科技新闻出版物将这种特殊的僵尸宝库称为“世界上最具破坏力的僵尸网络”[9] 和“今天最危险的僵尸网络”。[10]

  1. 提防蜂巢蜂巢

想象成千上万只蜂拥成一个目标。从本质上讲,那是群机器人。编组通常仅凭庞大的数量就能压倒传统的网络防御。[11] 更糟糕的是,这些机器人由称为hivenet的人工智能控制。 Hivenet是“自我思考的僵尸网络”,并具有在攻击过程中学习的能力。[12] 实时学习的能力是使他们变得危险的重要原因。传统的僵尸网络需要等待操作员的命令,[13] hivenet会根据群体机器人学到的知识自动协调策略。

  1. Jekyll和Necurs先生

僵尸网络开发人员正在不断发展其策略,以使僵尸程序保持隐藏状态并保持更长的活动时间。他们可能伪装成常规的好机器人,藏在大多数合法流量的人群中,甚至死了。由CenturyLink的Black Lotus Labs分析的Necurs僵尸网络会在不同的间隔进入持续的停机时间。在一个观察到的实例中,Necurs活跃了三周,安静了两周,然后再次激活。[14] 在2019年,Necurs几个月来几乎没有活动,只是在短时间内每周大约一次生效。[15]

  1. 僵尸网络抢夺者的入侵

犯罪分子经常使用僵尸网络通过向网络目标发送虚假流量而不是真实的眼睛来进行广告欺诈。过去,识别可疑活动(例如僵尸网络打开和关闭数百万个窗口)相对容易。 [16]  但是,如今的恶意僵尸网络活动越来越类似于真实的人类活动。除了欺骗零售商和广告商之外,这种发展还具有其他意义。

值得注意的是,僵尸网络滥用社交媒体,以塑造公众舆论为目标,冒充数百万人。通过伪造社会证据,模仿人类行为的僵尸网络可能会影响从音乐趋势到政治等几乎任何主题的人类观点。减少利用社交媒体的僵尸网络绝非易事。 Twitter之类的平台已清除了数百万个伪造帐户,但假冒人类的僵尸网络正在不断学习,调整并不断造成麻烦。

  1. 僵尸吃僵尸

僵尸最大的敌人是什么?可能是另一个僵尸。僵尸网络通常会感染已经被其他僵尸网络感染的设备,并删除其竞争对手以增加自己的统治力。随着“吃掉”其他僵尸程序的僵尸程序变得越来越普遍,并且利润stake可危,僵尸网络运营商面临巨大的压力,他们必须使用最新工具来与竞争对手竞争,或者至少采取措施自卫。一些僵尸网络在闯入设备后会主动修补安全漏洞,以防止竞争对手入侵。僵尸网络竞争的趋势很可能会推动其向新的方向发展,可能使它们更灵活地缓解威胁。

令人毛骨悚然的内容,但有关僵尸网络(以及如何与僵尸网络作斗争)的更多信息,请参阅我们的理事会以确保数字经济的安全。 反僵尸网络指南,我们每年更新一次。今年的版本将包括有关保护IoT设备安全的具体指南。


[1] //securityintelligence.com/posts/i-cant-believe-mirais-tracking-the-infamous-iot-malware-2
[2] //www.darkreading.com/attacks-breaches/new-botnet-shows-evolution-of-tech-and-criminal-culture/d/d-id/1333792
[3] //www.theregister.co.uk/2018/06/01/mirai_respun_in_new_botnets
[4] //securityintelligence.com/posts/i-cant-believe-mirais-tracking-the-infamous-iot-malware-2
[5] //www.cyberscoop.com/mirai-botnet-for-sale-ddos-dark-web
[6] //www.darkreading.com/attacks-breaches/new-botnet-shows-evolution-of-tech-and-criminal-culture/d/d-id/1333792
[7] //blog.talosintelligence.com/2019/09/emotet-is-back-after-summer-break.html
[8] //arstechnica.com/information-technology/2019/09/worlds-most-destructive-botnet-returns-with-stolen-passwords-and-email-in-tow
[9] //arstechnica.com/information-technology/2019/09/worlds-most-destructive-botnet-returns-with-stolen-passwords-and-email-in-tow
[10] //www.zdnet.com/article/emotet-todays-most-dangerous-botnet-comes-back-to-life
[11] //www.csoonline.com/article/3301148/the-evolving-threat-landscape-swarmbots-hivenets-automation-in-malware.html
[12] //www.darkreading.com/vulnerabilities—threats/rise-of-the-hivenet-botnets-that-think-for-themselves/a/d-id/1331062
[13] //www.darkreading.com/vulnerabilities—threats/rise-of-the-hivenet-botnets-that-think-for-themselves/a/d-id/1331062
[14] //threatpost.com/necurs-botnet-hide-payloads/142334
[15] //blog.centurylink.com/casting-light-on-the-necurs-shadow
[16] //www.cyberscoop.com/smart-botnet-human-behavior-ddos-ad-fraud-methbot