Barracuda《焦點報告》:應對殭屍電腦的攻擊

Barracuda《焦點報告》應對殭屍電腦的攻擊 

 

 

領導業界的雲端安全解決方案供應商 Barracuda 發表最新《焦點報告》,就針對殭屍電腦(Bad Bot擊購物網站發出警示。 

節慶消費旺季令各大購物網站成為網絡犯罪分子攻擊目標。報告顯示,新冠肺炎的影響下,超過成港人表示今年會轉向網上購買聖誕禮品,較去年25%增加不少[i]隨着網購大行其道,令網絡罪犯有機可乘,他們透過殭屍電腦進行分佈式拒絕服務(DDoS)攻擊、購物詐騙及尋找可利用的漏洞。根據香港電腦保安事故協調中心(HKCERT)的報告,殭屍網絡是2019年至20206間香港第二常見安全事故[ii] 

 

11月中,研究人員以Barracuda Advanced Bot Protection測試網絡,在短短數日內檢測到數量驚人的殭屍程式,由成千上萬的IP地址進行數百萬次的攻擊。  

 

同時,Barracuda研究人員透過分析攻擊時段,發現殭屍電並非在深夜展開攻擊,反而於早上最為活躍,並一直持續至下午5時左右,顯示網絡犯罪分子或遵循一般的工作日時間。 

 

以下是Barracuda研究人員發現網絡犯罪分子如何模仿正當用戶代理 (User-Agents)發動攻擊的方式及趨勢。 

 

重點威脅 

 

殭屍電腦一般會被歸納為用戶代理,正當的用戶代理GoogleBot,主要用作抓取網站內容並將其添加到搜索排名,因此不應被封鎖Google旗下有許多用戶代理,詳細請參閱附錄。至於屍電腦基於其行為模式,定性為惡意的用戶代理。  

 

問題是殭屍電腦會模仿這類常見的正當用戶代理用戶必須深入了解才能分辨兩者。要辨識是正當的抑或是惡意的BotBarracuda研究人員使用了以下方法: 

 

  1. 置入誘捕陷阱honeytraps隱藏URLJavaScript挑戰殭屍電腦會跟隨連結並回應JavaScript挑戰,其反應與真人操作會有明顯差異。 
  2. 使用反向DNS查找rDNS)來驗證殭屍電腦是否來自聲稱的源頭。 
  3. 檢查客戶端是否嘗試透過一般程式指紋攻擊存取URLs 
  4. 假如上述方法都無法解決問題,研究人員會通過機器學習(Machine learning)作進一步分析。 

 

 

詳情 

 

Barracuda研究人員從數據中發現殭屍電腦例如無界面的Chromeheadless ChromeverbasoftwareMJ12bot數量有所增加,領先Microsoft Edge這類較新的瀏覽器。 

 

殭屍電腦 (202011月)

殭屍電腦/用戶代理  殭屍電腦流量的百分比 
異常用戶代理/惡意用戶  72.00% 
無界面Chrome   5.00% 
Safari  2.50% 
Edge  1.80% 
SemRush Bot  1.50% 

 

異常用戶代理/惡意用戶包括以下類別: 

  • 冒充特定瀏覽器但使用異常字符串的殭屍電腦 
  • 假裝是特定軟件但使用異常字符串的殭屍電腦 
  • 冒充特定瀏覽器,但由於異常的瀏覽模式或其他檢查而被偵測到 
  • 冒充正當用戶代理,但被反向DNS查找」(rDNS)辨認為惡意用戶 

 

當研究人員分析哪互聯網系統供應商(ISP)或自治系統編號(ASN殭屍電腦活動的源頭時,他們發現印度流動通訊供應商的子網絡亦屬其中份子,還有一些大型公供應商。這反映殭屍程的源頭或許來世界各地,但也取決於程式本身及攻擊目標所在。  

 

殭屍電腦ISP來源(202011月) 

 

互聯網系統提供商ISP  ASN名稱  百分比 
Airtel  BHARTI Airtel Ltd.  34.96% 
Microsoft Corporation  MICROSOFT-CORP-MSN-AS-BLOCK  22.00% 
Tata Teleservices ISP  Tata Teleservices ISP AS  9.80% 
Amazon.com  AMAZON-AES  8.23% 
Google Cloud  GOOGLE  7.64% 
Amazon.com  AMAZON-02  7.29% 
MEO  Servicos De Comunicacoes E Multimedia S.A.  6.45% 
Limestone Networks  LIMESTONENETWORKS  3.63% 

 

 

如何防禦殭屍電腦的攻擊 

 

隨著假期購物旺季的到來,購物網站應採取以下措施來防禦殭屍電腦應用程式的攻擊: 

 

  • 安裝網絡應用程式防火牆或即服務WAF-as-a-Service解決方案,並確保設定正確。 
  • 確保這些應用程式安全解決方案含有反殭屍電腦保護,以便有效地檢測進階自動攻擊 
  • 開啟憑填充保護(Credential stuffing protection)以防止帳戶被接管 

 

有關報告詳情,可於https://blog.barracuda.com/2020/12/03/threat-spotlight-when-bad-bots-attack/下載。 

 

 

 

關於 Barracuda 

 

Barracuda相信所有機構都能夠以最容易的方式購買、安裝和使用機構級的雲端安全解決方案。我們為客戶提供可以與他們的業務發展旅程一起成長的創新方案去保護電郵、網絡、數據和應用方案。Barracuda受到全球超過200,000間機構機構的信頼,在已知和未知風險的情況下受到保護,令他們可以專注令業務更上層樓。如欲得到更多資料,請瀏覽barracuda.com 

 

Barracuda Networks, Barracuda 以及Barracuda Networks 商標是美國和其他國家的商標或註册商標。 

 

數碼領域

思科最新調查:僅9% 港企充分把握人工智能潛在機遇

數碼領域
2024-11-16 0
思科最新調查:僅9% 港企充分把握人工智能潛在機遇 港企人工智能準備度不足  充分準備比率明顯低於去年數字(25%) 新聞概要: 亞太區企業人工智能準備度情況不理想,僅9% 香港企業充分把握人工智能潛在機遇,較去年的25% 大幅下降。 各企業正全力投資人工智能,近半(48%)香港企業將目前10% 至 ...

XTransfer 新加坡金融科技節舞台演講獲關注

數碼領域
2024-11-16 0
XTransfer 新加坡金融科技節舞台演講獲關注 展示金融風控技術、積極探討區內合作機會 XTransfer,全球領先及中國第一的B2B跨境貿易支付平台,上週於「新加坡金融科技節2024」(Singapore Fintech Festival 2024),現場獲得參與者極大關注,展位參觀人潮駱驛不 ...

Be the first to comment

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料