物聯(lián)網(wǎng)安檢：IoT僵尸網(wǎng)絡(luò)檢測技術(shù)面臨哪些挑戰(zhàn)

發(fā)布時(shí)間：2025-01-14

一部分僵尸網(wǎng)絡(luò)通常是用分布式拒絕服務(wù)(ddos)攻擊讓垃圾數(shù)據(jù)淹沒服務(wù)器。還有一部分僵尸網(wǎng)絡(luò)通過竊取密碼或挖掘加密貨幣來瞄準(zhǔn)特定設(shè)備。特別是加密貨幣挖掘?qū)τ诮I(yè)物聯(lián)網(wǎng)領(lǐng)域的企業(yè)來說已經(jīng)成為一個(gè)急劇增長的威脅，coinhive和cryptoloot等僵尸網(wǎng)絡(luò)使網(wǎng)絡(luò)犯罪分子每年能夠以犧牲受害者的計(jì)算能力為代價(jià)賺取多達(dá)1億美元。smominru是大的加密貨幣挖掘僵尸網(wǎng)絡(luò)之一，利用從nsa泄漏的臭名昭著的eternalblue漏洞感染了超過50萬臺(tái)機(jī)器。
為了防止僵尸網(wǎng)絡(luò)感染，留存有iot設(shè)備的企業(yè)必須能夠檢測它們。但僵尸網(wǎng)絡(luò)檢測并不容易。下面咱們來探討一下iot僵尸網(wǎng)絡(luò)檢測所面臨的一些技術(shù)升級(jí)和挑戰(zhàn)。
僵尸網(wǎng)絡(luò)檢測方法
那么，什么是僵尸網(wǎng)絡(luò)？簡而言之，它是一組僵尸程序 - 受損的計(jì)算機(jī)和設(shè)備 - 執(zhí)行僵尸網(wǎng)絡(luò)所有者提供的命令。通常，僵尸網(wǎng)絡(luò)所有者將專門使用命令和控制服務(wù)器(c2)，這是一個(gè)受損的服務(wù)器，用于與機(jī)器人通信，通常通過internet relay chat命令。僵尸網(wǎng)絡(luò)所有者使用c2服務(wù)器命令僵尸網(wǎng)絡(luò)執(zhí)行攻擊，無論是ddos攻擊，數(shù)據(jù)竊取，身份盜竊還是其他類型的攻擊。
不幸的是，找到c2通常不是一項(xiàng)簡單的任務(wù)。許多僵尸網(wǎng)絡(luò)命令來自多個(gè)服務(wù)器或采用隱藏的形式，將惡意命令屏蔽為無害的活動(dòng)，例如tor網(wǎng)絡(luò)流量，社交媒體流量，對(duì)等服務(wù)之間的流量或域生成算法。更復(fù)雜的是，命令通常非常微妙，使得難以檢測到任何異常。
嘗試檢測c2的一種方法是分解和分析惡意軟件代碼。iot安全人員可以嘗試通過od腳本類似的反匯編工具獲取已編譯的代碼，有時(shí)可以從中識(shí)別僵尸網(wǎng)絡(luò)命令的根源。但是，由于僵尸網(wǎng)絡(luò)創(chuàng)建者和管理員越來越多地使用集成加密，因此這種技術(shù)的效果越來越差。
通常，c2檢測需要了解c2服務(wù)器與其機(jī)器人之間的通信，但只有專門保護(hù)c2服務(wù)器的安*方案才具有這種可見性。檢測僵尸網(wǎng)絡(luò)的一種更常見的方法是跟蹤和分析攻擊本身 - 標(biāo)準(zhǔn)安*方案提供可見性 - 并確定哪些攻擊來自僵尸網(wǎng)絡(luò)。
在查看漏洞利用嘗試時(shí)，僵尸網(wǎng)絡(luò)有一些可能的跡象。例如，如果相同的ip地址攻擊相同的站點(diǎn)，同時(shí)使用相同的有效載荷和攻擊模式，那么它們很可能是僵尸網(wǎng)絡(luò)的一部分。如果涉及許多ip和站點(diǎn)，則尤其如此。一個(gè)突出的例子是僵尸網(wǎng)絡(luò)在web服務(wù)上的ddos嘗試。
誤報(bào)
誤報(bào)的可能性使得僵尸網(wǎng)絡(luò)檢測特別困難。一些有效載荷被廣泛使用，增加了隨機(jī)發(fā)生的模式觸發(fā)誤報(bào)的可能性。此外，攻擊者可以通過使用虛擬*網(wǎng)絡(luò)或代理來更改其ip地址，使其看起來像真正只有一個(gè)攻擊者或機(jī)器人。
黑客工具和漏洞掃描程序的行為也類似于僵尸網(wǎng)絡(luò)，通常會(huì)返回誤報(bào)。這是因?yàn)楹诳凸ぞ弋a(chǎn)生相同的有效載荷和攻擊模式，并且許多黑客使用它們，無論其帽子的顏色如何。而且，如果不同的玩家碰巧同時(shí)在同一網(wǎng)站上進(jìn)行滲透測試，它可能看起來像僵尸網(wǎng)絡(luò)攻擊。
iot安全人員通?？梢酝ㄟ^google搜索有效負(fù)載并參考其周圍的任何記錄信息來識(shí)別誤報(bào)。另一種技術(shù)涉及簡單地收集安*方案中原始請(qǐng)求中可用的任何信息。例如，如果要更好的利用漏洞掃描程序，大多數(shù)安*方案都會(huì)通過識(shí)別它來揭示它，特別是如果它是更常見的漏洞掃描程序之一。
鑒于潛在的大量事件，誤報(bào)是僵尸網(wǎng)絡(luò)檢測中不可避免的挑戰(zhàn)； 近的研究表明，27%的it專業(yè)人員每天收到超過100萬次安全警報(bào)，而55%的人收到超過10，000次。但是，通過正確的技術(shù)和勤奮，組織可以識(shí)別來自惡意的，僵尸網(wǎng)絡(luò)驅(qū)動(dòng)的流量的無害流量。
原標(biāo)題：物聯(lián)網(wǎng)安檢：iot僵尸網(wǎng)絡(luò)檢測技術(shù)面臨哪些挑戰(zhàn)