Barracuda《焦點報告》：應對殭屍電腦的攻擊

Barracuda《焦點報告》：應對殭屍電腦的攻擊 

領導業界的雲端安全解決方案供應商 Barracuda 發表最新《焦點報告》，就針對殭屍電腦（Bad Bot）攻擊購物網站發出警示。 

節慶消費旺季令各大購物網站成為網絡犯罪分子的攻擊目標。有報告顯示，在新冠肺炎的影響下，超過四成港人表示今年會轉向網上購買聖誕禮品，較去年的25%增加不少[i]。隨着網購大行其道，令網絡罪犯有機可乘，他們透過殭屍電腦進行分佈式拒絕服務（DDoS）攻擊、購物詐騙及尋找可利用的漏洞。根據香港電腦保安事故協調中心（HKCERT）的報告，殭屍網絡是2019年至2020年6月期間香港第二常見安全事故[ii]。 

於11月中，研究人員以Barracuda Advanced Bot Protection測試網絡，在短短數日內檢測到數量驚人的殭屍程式，由成千上萬的IP地址進行數百萬次的攻擊。  

同時，Barracuda研究人員透過分析攻擊時段，發現殭屍電腦並非在深夜展開攻擊，反而於早上最為活躍，並一直持續至下午5時左右，顯示網絡犯罪分子或遵循一般的工作日時間。 

以下是Barracuda研究人員發現網絡犯罪分子如何模仿正當用戶代理 (User-Agents）發動攻擊的方式及趨勢。 

重點威脅 

殭屍電腦一般會被歸納為用戶代理，正當的用戶代理如GoogleBot，主要用作抓取網站內容並將其添加到搜索排名，因此不應被封鎖。Google旗下有許多用戶代理，詳細請參閱附錄。至於殭屍電腦則基於其行為模式，被定性為惡意的用戶代理。  

問題是殭屍電腦會模仿這類常見的正當用戶代理，用戶必須深入了解才能分辨兩者。要辨識是正當的抑或是惡意的Bot，Barracuda研究人員使用了以下方法： 

1. 置入誘捕陷阱（honeytraps）如隱藏URL和JavaScript挑戰，殭屍電腦會跟隨連結並回應JavaScript挑戰，其反應與真人操作會有明顯差異。 
2. 使用「反向DNS查找」（rDNS）來驗證殭屍電腦是否來自聲稱的源頭。 
3. 檢查客戶端是否嘗試透過一般程式的指紋攻擊存取URLs。 
4. 假如上述方法都無法解決問題，研究人員會通過機器學習（Machine learning）作進一步分析。 

詳情 

Barracuda研究人員從數據中發現，殭屍電腦例如無界面的Chrome（headless Chrome）、verbasoftware和MJ12bot的數量有所增加，領先Microsoft Edge這類較新的瀏覽器。 

殭屍電腦 （2020年11月）

異常用戶代理/惡意用戶包括以下類別： 

• 冒充特定瀏覽器但使用異常字符串的殭屍電腦 
• 假裝是特定軟件但使用異常字符串的殭屍電腦 
• 冒充特定瀏覽器，但由於異常的瀏覽模式或其他檢查而被偵測到 
• 冒充正當用戶代理，但被「反向DNS查找」（rDNS）辨認為惡意用戶 

當研究人員分析哪些互聯網系統供應商（ISP）或自治系統編號（ASN）為殭屍電腦活動的源頭時，他們發現印度流動通訊供應商的子網絡亦屬其中一份子，還有一些大型公共雲供應商。這反映殭屍程式的源頭或許來自世界各地，但也取決於該程式本身及攻擊目標所在地。  

殭屍電腦ISP來源（2020年11月） 

如何防禦殭屍電腦的攻擊 

隨著假期購物旺季的到來，購物網站應採取以下措施來防禦殭屍電腦對其應用程式的攻擊： 

• 安裝網絡應用程式防火牆或「即服務」（WAF-as-a-Service）解決方案，並確保設定正確。 
• 確保這些應用程式安全解決方案含有反殭屍電腦保護，以便有效地檢測進階自動攻擊。 
• 開啟憑證填充保護（Credential stuffing protection）以防止帳戶被接管。 

有關報告詳情，可於https://blog.barracuda.com/2020/12/03/threat-spotlight-when-bad-bots-attack/下載。 

關於 Barracuda 

Barracuda相信所有機構都能夠以最容易的方式購買、安裝和使用機構級的雲端安全解決方案。我們為客戶提供可以與他們的業務發展旅程一起成長的創新方案去保護電郵、網絡、數據和應用方案。Barracuda受到全球超過200,000間機構機構的信頼，在已知和未知風險的情況下受到保護，令他們可以專注令業務更上層樓。如欲得到更多資料，請瀏覽barracuda.com 

Barracuda Networks, Barracuda 以及Barracuda Networks 商標是美國和其他國家的商標或註册商標。