PC TECH 電腦技術

  • 增大字號
  • 缺省字號
  • 減小字號

Barracuda《焦點報告》: 應對殭屍電腦的攻擊

E-mail 打印 PDF

Image result for barracuda

 

 

Barracuda《焦點報告》:  應對殭屍電腦的攻擊

< 香 港 >  — 雲端安全解決方案供應商 Barracuda 發表最新《焦點報告》,就針對殭屍電腦(Bad Bot)攻擊購物網站發出警示。

節慶消費旺季令各大購物網站成為網絡犯罪分子的攻擊目標。有報告顯示,在新冠肺炎的影響下,超過四成港人表示今年會轉向網上購買聖誕禮品,較去年的25%增加不少[i]。隨着網購大行其道,令網絡罪犯有機可乘,他們透過殭屍電腦進行分佈式拒絕服務(DDoS)攻擊、購物詐騙及尋找可利用的漏洞。根據香港電腦保安事故協調中心(HKCERT)的報告,殭屍網絡是2019年至2020年6月期間香港第二常見安全事故[ii]。

於11月中,研究人員以Barracuda Advanced Bot Protection測試網絡,在短短數日內檢測到數量驚人的殭屍程式,由成千上萬的IP地址進行數百萬次的攻擊。

同時,Barracuda研究人員透過分析攻擊時段,發現殭屍電腦並非在深夜展開攻擊,反而於早上最為活躍,並一直持續至下午5時左右,顯示網絡犯罪分子或遵循一般的工作日時間。

以下是Barracuda研究人員發現網絡犯罪分子如何模仿正當用戶代理 (User-Agents)發動攻擊的方式及趨勢。

重點威脅

殭屍電腦一般會被歸納為用戶代理,正當的用戶代理如GoogleBot,主要用作抓取網站內容並將其添加到搜索排名,因此不應被封鎖。Google旗下有許多用戶代理,詳細請參閱附錄。至於殭屍電腦則基於其行為模式,被定性為惡意的用戶代理。

問題是殭屍電腦會模仿這類常見的正當用戶代理,用戶必須深入了解才能分辨兩者。要辨識是正當的抑或是惡意的Bot,Barracuda研究人員使用了以下方法:

1. 置入誘捕陷阱(honeytraps)如隱藏URL和JavaScript挑戰,殭屍電腦會跟隨連結並回應JavaScript挑戰,其反應與真人操作會有明顯差異。
2. 使用「反向DNS查找」(rDNS)來驗證殭屍電腦是否來自聲稱的源頭。
3. 檢查客戶端是否嘗試透過一般程式的指紋攻擊存取URLs。
4. 假如上述方法都無法解決問題,研究人員會通過機器學習(Machine learning)作進一步分析。

詳情

Barracuda研究人員從數據中發現,殭屍電腦例如無界面的Chrome(headless Chrome)、verbasoftware和MJ12bot的數量有所增加,領先Microsoft Edge這類較新的瀏覽器。

 

殭屍電腦 (2020年11月)

殭屍電腦/用戶代理

殭屍電腦流量的百分比

異常用戶代理/惡意用戶

72.00%

無界面Chrome

5.00%

Safari

2.50%

Edge

1.80%

SemRush Bot

1.50%

 

異常用戶代理/惡意用戶包括以下類別:

冒充特定瀏覽器但使用異常字符串的殭屍電腦
假裝是特定軟件但使用異常字符串的殭屍電腦
冒充特定瀏覽器,但由於異常的瀏覽模式或其他檢查而被偵測到
冒充正當用戶代理,但被「反向DNS查找」(rDNS)辨認為惡意用戶

當研究人員分析哪些互聯網系統供應商(ISP)或自治系統編號(ASN)為殭屍電腦活動的源頭時,他們發現印度流動通訊供應商的子網絡亦屬其中一份子,還有一些大型公共雲供應商。這反映殭屍程式的源頭或許來自世界各地,但也取決於該程式本身及攻擊目標所在地。


殭屍電腦ISP來源(2020年11月)

互聯網系統提供商ISP

ASN名稱

百分比

Airtel

BHARTI Airtel Ltd.

34.96%

Microsoft Corporation

MICROSOFT-CORP-MSN-AS-BLOCK

22.00%

Tata Teleservices ISP

Tata Teleservices ISP AS

9.80%

Amazon.com

AMAZON-AES

8.23%

Google Cloud

GOOGLE

7.64%

Amazon.com

AMAZON-02

7.29%

MEO

Servicos De Comunicacoes E Multimedia S.A.

6.45%

Limestone Networks

LIMESTONENETWORKS

3.63%

 

如何防禦殭屍電腦的攻擊

隨著假期購物旺季的到來,購物網站應採取以下措施來防禦殭屍電腦對其應用程式的攻擊:

安裝網絡應用程式防火牆或「即服務」(WAF-as-a-Service)解決方案,並確保設定正確。
確保這些應用程式安全解決方案含有反殭屍電腦保護,以便有效地檢測進階自動攻擊。
開啟憑證填充保護(Credential stuffing protection)以防止帳戶被接管。

有關報告詳情,可於https://blog.barracuda.com/2020/12/03/threat-spotlight-when-bad-bots-attack/下載。

 

 

 

 

 

 

 

( 內容由有關方面代表提供  )