黑客使用IoT僵尸網(wǎng)絡(luò)來針對(duì)企業(yè)組織，IT管理員必須知道他們?nèi)绾胃腥驹O(shè)備并執(zhí)行DDoS攻擊以作好準(zhǔn)備。

迅速增長(zhǎng)的物聯(lián)網(wǎng)設(shè)備數(shù)量進(jìn)一步為不良行為者提供了眾多的端點(diǎn)，他們可以選擇加入龐大的機(jī)器人團(tuán)隊(duì)中進(jìn)行PK。黑客已經(jīng)使用物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)發(fā)起破壞性的DDoS攻擊。

[[330764]]

例如，黑客使用Mirai病毒感染了約600000臺(tái)IoT設(shè)備，然后在2016年美國(guó)東部大部分地區(qū)發(fā)起了DDoS攻擊，使互聯(lián)網(wǎng)癱瘓。當(dāng)時(shí)，IoT設(shè)備數(shù)量比現(xiàn)在減少了數(shù)十億。

根據(jù)Statista Research的題為“ 2015年至2025年全球已安裝的物聯(lián)網(wǎng)(IoT)有源設(shè)備連接基礎(chǔ)”的報(bào)告，已連接設(shè)備的數(shù)量已從2016年的176.8億猛增到2020年的估計(jì)307.3億。預(yù)計(jì)到2025年，這一數(shù)字將超過750億。隨著設(shè)備數(shù)量的增加，利用物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)進(jìn)行攻擊的潛在潛力似乎正在增加。

Bitdefender的研究人員于2020年4月宣布，他們確定了一個(gè)新的IoT僵尸網(wǎng)絡(luò)，他們將其命名為dark_nexus，并表示其功能已經(jīng)超越了其他已知的僵尸網(wǎng)絡(luò)。研究人員還表示，dark_nexus僵尸網(wǎng)絡(luò)似乎是由一位已知的僵尸網(wǎng)絡(luò)作者開發(fā)的，該作者過去曾涉嫌出售DDoS服務(wù)。

僵尸網(wǎng)絡(luò)命令和控制架構(gòu)

黑客如何感染IoT設(shè)備以創(chuàng)建僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)的發(fā)展通常遵循既定策略。它始于一個(gè)壞的演員，一個(gè)人或一群黑客，他們共同為犯罪集團(tuán)或一個(gè)民族國(guó)家工作，他們創(chuàng)建程序來感染設(shè)備。該惡意軟件可以運(yùn)行在可以執(zhí)行代碼的任何類型的設(shè)備上，但是黑客也可以創(chuàng)建它來專門針對(duì)IoT設(shè)備。

惡意行為者可以使用不同的策略將惡意軟件傳播到設(shè)備上。網(wǎng)絡(luò)釣魚詐騙是常見的策略，但惡意軟件也可以被設(shè)計(jì)為在IoT設(shè)備上尋找不受保護(hù)的網(wǎng)絡(luò)端口或其他類似的特定漏洞。一旦設(shè)計(jì)完成，黑客就會(huì)使用該代碼感染盡可能多的設(shè)備，從而將這一系列被劫持的設(shè)備變成一個(gè)僵尸網(wǎng)絡(luò)。

管理咨詢公司Swingtide的高級(jí)顧問Christopher McElroy說：“這些機(jī)器并沒有什么問題，只是運(yùn)行它們的代碼。”

他說，盡管媒體報(bào)道了惡意物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊，但許多組織仍使用類似的技術(shù)(例如分布式計(jì)算系統(tǒng))來處理某些業(yè)務(wù)功能。例如，零售商可以使用該技術(shù)監(jiān)視給定項(xiàng)目的最低報(bào)價(jià)，或者IT部門可以部署該技術(shù)以監(jiān)視設(shè)備性能。但是，有問題的僵尸網(wǎng)絡(luò)已被設(shè)備上運(yùn)行的惡意代碼感染，因此黑客可以控制設(shè)備以發(fā)起犯罪活動(dòng)，例如DDoS攻擊。

使用惡意軟件代碼進(jìn)行物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)DDoS攻擊

不良行為者可以在互聯(lián)網(wǎng)上找到模塊化的惡意代碼，其中許多都是免費(fèi)的?？▋?nèi)基·梅隆大學(xué)亨氏信息系統(tǒng)與公共政策學(xué)院的兼職教授，退休的美國(guó)空軍旅長(zhǎng)格雷戈里·托希爾(Gregory Touhill)說，這些模塊是為某些任務(wù)而設(shè)計(jì)的。設(shè)計(jì)用于檢測(cè)易受攻擊的機(jī)器，包括IoT設(shè)備和工業(yè)控件。還有一個(gè)模塊來偽裝代碼，以便它可以感染目標(biāo)而不被檢測(cè)到，并且該模塊允許通信回本壘。

“當(dāng)惡意軟件進(jìn)入設(shè)備時(shí)，根據(jù)代碼的編寫方式，它有時(shí)會(huì)像ET一樣回電話，它調(diào)用命令和控制并告訴命令它在哪里。該消息發(fā)送到命令和控制服務(wù)器，大多數(shù)僵尸網(wǎng)絡(luò)都有很多，而且它們本身通常是被破壞的設(shè)備，” Touhill說。

大多數(shù)僵尸網(wǎng)絡(luò)代碼都嘗試到達(dá)主要的命令和控制節(jié)點(diǎn)。如果無(wú)法到達(dá)該節(jié)點(diǎn)，則代碼將嘗試到達(dá)輔助節(jié)點(diǎn)或第三級(jí)節(jié)點(diǎn)。一旦連接，它將停止。它不能保持恒定的接觸。

Orchestrators被稱為使用僵尸網(wǎng)絡(luò)發(fā)動(dòng)攻擊的不良行為者，他們也使用一個(gè)模塊來交付有效負(fù)載，可用于發(fā)起實(shí)際攻擊的代碼。一旦安裝在設(shè)備上，該代碼會(huì)將信息發(fā)送回系統(tǒng)，并說“我在這里，這是信息”。該信息收集在主數(shù)據(jù)庫(kù)中。

McElroy說：“黑客正在對(duì)1000或100萬(wàn)甚至更多的設(shè)備執(zhí)行相同的操作。” “然后，代碼就坐在那兒，等待主服務(wù)器發(fā)出的指令;它只是等待編排者發(fā)出指令。”

物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)可以阻止垃圾郵件或其他類型的錯(cuò)誤信息，但是它們最常用于發(fā)起DDoS攻擊，在這種攻擊中，協(xié)調(diào)器命令僵尸網(wǎng)絡(luò)向目標(biāo)泛濫流量以關(guān)閉其系統(tǒng)。

McElroy說，攻擊者可以出于自己的原因和自己的利益計(jì)劃和執(zhí)行攻擊，或者可以將僵尸網(wǎng)絡(luò)清單的使用賣給其他人，并從其“客戶端”那里獲得指令，以針對(duì)所需的攻擊類型分發(fā)指令。協(xié)調(diào)器將命令存儲(chǔ)在服務(wù)器上。當(dāng)機(jī)器人獲得設(shè)置命令后，它們就會(huì)啟動(dòng)。

Touhill說：“隨著“感染”的傳播，絕大多數(shù)僵尸網(wǎng)絡(luò)都處于等待狀態(tài)，然后壞人決定發(fā)起或執(zhí)行攻擊，然后所有僵尸網(wǎng)絡(luò)都進(jìn)入攻擊模式并瘋狂傳播。”

當(dāng)然，組織部署了網(wǎng)絡(luò)安全防御層來阻止惡意軟件進(jìn)入設(shè)備，但是，正如專家指出的那樣，這些層在防止攻擊方面并不總是成功的。

一旦僵尸網(wǎng)絡(luò)處于活動(dòng)狀態(tài)，協(xié)調(diào)員便要求付款以停止僵尸網(wǎng)絡(luò)活動(dòng)，金錢收益是攻擊的最常見動(dòng)機(jī)。