黑客使用IoT僵尸网络来针对企业组织,IT管理员必须知道他们如何感染设备并执行DDoS攻击以作好准备。
迅速增长的物联网设备数量进一步为不良行为者提供了众多的端点,他们可以选择加入庞大的机器人团队中进行PK。黑客已经使用物联网僵尸网络发起破坏性的DDoS攻击。
例如,黑客使用Mirai病毒感染了约600000台IoT设备,然后在2016年美国东部大部分地区发起了DDoS攻击,使互联网瘫痪。当时,IoT设备数量比现在减少了数十亿。
根据Statista Research的题为“ 2015年至2025年全球已安装的物联网(IoT)有源设备连接基础”的报告,已连接设备的数量已从2016年的176.8亿猛增到2020年的估计307.3亿。预计到2025年,这一数字将超过750亿。随着设备数量的增加,利用物联网僵尸网络进行攻击的潜在潜力似乎正在增加。
Bitdefender的研究人员于2020年4月宣布,他们确定了一个新的IoT僵尸网络,他们将其命名为dark_nexus,并表示其功能已经超越了其他已知的僵尸网络。研究人员还表示,dark_nexus僵尸网络似乎是由一位已知的僵尸网络作者开发的,该作者过去曾涉嫌出售DDoS服务。
僵尸网络命令和控制架构
黑客如何感染IoT设备以创建僵尸网络
僵尸网络的发展通常遵循既定策略。它始于一个坏的演员,一个人或一群黑客,他们共同为犯罪集团或一个民族国家工作,他们创建程序来感染设备。该恶意软件可以运行在可以执行代码的任何类型的设备上,但是黑客也可以创建它来专门针对IoT设备。
恶意行为者可以使用不同的策略将恶意软件传播到设备上。网络钓鱼诈骗是常见的策略,但恶意软件也可以被设计为在IoT设备上寻找不受保护的网络端口或其他类似的特定漏洞。一旦设计完成,黑客就会使用该代码感染尽可能多的设备,从而将这一系列被劫持的设备变成一个僵尸网络。
管理咨询公司Swingtide的高级顾问Christopher McElroy说:“这些机器并没有什么问题,只是运行它们的代码。”
他说,尽管媒体报道了恶意物联网僵尸网络攻击,但许多组织仍使用类似的技术(例如分布式计算系统)来处理某些业务功能。例如,零售商可以使用该技术监视给定项目的最低报价,或者IT部门可以部署该技术以监视设备性能。但是,有问题的僵尸网络已被设备上运行的恶意代码感染,因此黑客可以控制设备以发起犯罪活动,例如DDoS攻击。
使用恶意软件代码进行物联网僵尸网络DDoS攻击
不良行为者可以在互联网上找到模块化的恶意代码,其中许多都是免费的。卡内基·梅隆大学亨氏信息系统与公共政策学院的兼职教授,退休的美国空军旅长格雷戈里·托希尔(Gregory Touhill)说,这些模块是为某些任务而设计的。设计用于检测易受攻击的机器,包括IoT设备和工业控件。还有一个模块来伪装代码,以便它可以感染目标而不被检测到,并且该模块允许通信回本垒。
“当恶意软件进入设备时,根据代码的编写方式,它有时会像ET一样回电话,它调用命令和控制并告诉命令它在哪里。该消息发送到命令和控制服务器,大多数僵尸网络都有很多,而且它们本身通常是被破坏的设备,” Touhill说。
大多数僵尸网络代码都尝试到达主要的命令和控制节点。如果无法到达该节点,则代码将尝试到达辅助节点或第三级节点。一旦连接,它将停止。它不能保持恒定的接触。
Orchestrators被称为使用僵尸网络发动攻击的不良行为者,他们也使用一个模块来交付有效负载,可用于发起实际攻击的代码。一旦安装在设备上,该代码会将信息发送回系统,并说“我在这里,这是信息”。该信息收集在主数据库中。
McElroy说:“黑客正在对1000或100万甚至更多的设备执行相同的操作。” “然后,代码就坐在那儿,等待主服务器发出的指令;它只是等待编排者发出指令。”
物联网僵尸网络可以阻止垃圾邮件或其他类型的错误信息,但是它们最常用于发起DDoS攻击,在这种攻击中,协调器命令僵尸网络向目标泛滥流量以关闭其系统。
McElroy说,攻击者可以出于自己的原因和自己的利益计划和执行攻击,或者可以将僵尸网络清单的使用卖给其他人,并从其“客户端”那里获得指令,以针对所需的攻击类型分发指令。协调器将命令存储在服务器上。当机器人获得设置命令后,它们就会启动。
Touhill说:“随着“感染”的传播,绝大多数僵尸网络都处于等待状态,然后坏人决定发起或执行攻击,然后所有僵尸网络都进入攻击模式并疯狂传播。”
当然,组织部署了网络安全防御层来阻止恶意软件进入设备,但是,正如专家指出的那样,这些层在防止攻击方面并不总是成功的。
一旦僵尸网络处于活动状态,协调员便要求付款以停止僵尸网络活动,金钱收益是攻击的最常见动机。
