資訊安全技術論壇

 找回密碼
 加入會員
搜索
查看: 2085|回復: 0

[報導] 機器人攻擊手法變換加速 傳統防禦機制備受挑戰

[複製鏈接]
發表於 2018-3-23 14:33:11 | 顯示全部樓層 |閱讀模式
本帖最後由 DannyLan 於 2018-3-23 17:42 編輯

機器人攻擊手法變換加速 傳統防禦機制備受挑戰



洪羿漣 / 20170628

DAP 技術混淆駭客目標 動態保護網站交易主機

隨著連網裝置逐年倍增,可被駭客組織滲透控制的殭屍電腦數量亦隨之增長,從 2016 年 國際間發生的 DDoS 攻擊,殭屍大軍流量已達到 Tb 等級,即可略見一斑。駭客組織發動攻擊活動,僅需遠端遙控殭屍電腦來發動,且不僅為 DDoS 攻擊,亦可藉此自動掃描公開網站的漏洞,來執行各種手法的滲透攻擊,像是 SQL Injecting、跨站腳本程式攻擊 (XSS) 等,進而擴散到企業內網,或是作為攻擊的跳板。

企業為了保護公開網站應用服務免於遭受惡意入侵威脅,常見採用網路應用程式防火牆 (WAF) 建立防禦,但 ForceShield 技術長林育民觀察,利用殭屍電腦來執行自動化攻擊已成為主流,目前幾乎有 90% 流量來自機器人所發動。當然,自動化攻擊手法並非今日才出現,長期以來,駭客通常會先透過自動化工具掃描所有公開網路上的應用系統漏洞,發現標的後再以手動方式執行攻擊指令;如今設計精良的輔助工具相當多,即可藉此遠端控制攻擊行為,顯然已非透過阻擋規則、特徵碼等傳統方法可抵擋。

模擬合法操作模式侵害網站商務交易

攻擊模式轉型採用自動化工具之後,手法變得相當多元,往往難以指出攻擊特徵之處。林育民舉例,近年來的攻擊手法中,相當盛行模擬合法操作模式,利用的是應用服務本身的業務邏輯,來進行損害商務交易。

電子商務業者經常遭遇到,顧客為了搶購或訂票,註冊大量帳號來執行,這種模式雖常見但不致於影響收益;但另一種是藉此佔用庫存,以零成本方式即可破壞產品銷售。通常電子商務平台設計的交易模式,只要商品被點選訂購會連動庫存量減少,因此有心人士只要註冊大量帳號登入後點選訂購,但遲遲不結帳,該商品即自動呈現已完售狀態,導致正常的顧客因此無法訂購。

由於電子商務平台產品品項相當多,為了有能力快速反應市場、滿足顧客需求,後台管理會增設資料分析機制,一旦偵測到商品庫存為零,系統會觸發向供應商下訂單的執行程序,但實際上,前台銷售量只是被惡意霸佔,根本沒有賣出去,最後導致庫存量變得更多。

上述手法或許可根據存取頻率等操作模式來限制,但實際上,現代的攻擊者更聰明,針對追蹤 IP 位址的機制,會透過租用殭屍電腦來發動以便迴避,費用相當低,甚至根本不用自己控制殭屍網路。此外,操作行為皆為合法,保護措施根本無法分辨正常與異常,也就難以執行攔阻。

攻擊機器人結合中間人蒐集個人隱私獲利

自從去年爆發控制物聯網設備組成殭屍網路發動大規模 DDoS 攻擊,林育民發現,之後開始陸續出現幾起中間人攻擊,手法是改變無線路由器的設定值。

他進一步說明,消費者普遍欠缺對於安全保護的意識,家用路由器架設後通常未變更登入的帳號與密碼,或是設定為簡單的密碼,如此情況下,駭客根本不需要先探測家用路由器的廠牌,再利用漏洞來滲透,只要基於攻擊工具設定執行猜密碼程序,即可輕易取得家用路由器的控制權,改變 DNS Record 設定值,同樣可達到 DNS Changer (網域名稱系統綁架病毒) 竄改網域名稱的效果。也就是把 Record 指向惡意 DNS 服務,一旦偵測到使用者發出的連線請求目的位址為網路銀行,隨即導向詢問上層的惡意 DNS 服務,藉此回覆假冒的網銀 IP 位址,來騙取帳戶資料。

以前大多是惡意軟體滲透感染主機後,再執行中間人攻擊;現在則轉向滲透入侵家用路由器,修改 DNS 指向位址到惡意的 DNS 網站,發動中間人攻擊。手法變化更刁鑽,使用者根本難以察覺與防範。

自動化攻擊機器人為了取得更多利益,變得愈來愈聰明,把機器人結合中間人,來擴展更多惡意行為。若是針對銀行交易行為,利用非約定帳戶轉帳的金額有限,現在較刁鑽的作法是竊取大量帳號與密碼,撰寫自動嘗試登入的程式,登入成功後雖然無法直接轉帳,但是可以爬走交易記錄,蒐集用戶的隱私資料,再轉賣給詐騙集團。

從後端網站到前端 App 建立雙向保護

既然攻擊手法已轉變,防禦機制理應也因應調整,才能有效攔阻。而 ForceShield DAP 動態保護技術,正可加強以往防禦體系力有未逮之處。林育民說明,自動化機器人攻擊手法變化再多,畢竟也是人所撰寫而成的程式,勢必須依照程式運行方式逐步執行。因此,只要破壞機器人其中一項環節,即可讓整起行為無法判斷下一步動作。

ForceShield DAP 得以讓網站程式碼動態改變,且無規則可循,讓自動化攻擊工具根本無法猜到網站的邏輯,藉此即可阻擋大部分的攻擊行為。至於正常用戶訪問請求,不需要再增添外掛程式,即可檢查瀏覽器唯一的指紋,以驗證真實狀態,畢竟攻擊工具亦具有假冒正常瀏覽器的執行能力,來迴避偵測,因此 ForceShield DAP 會進一步查探瀏覽器行為,例如前端是否有鍵盤輸入、滑鼠的點選等生物行為特徵,輔助判斷。

「就架構而言,ForceShield DAP 是建置在網站前方的反向代理設備,扮演的角色與部署位置就如同 WAF,但是 WAF 較著重於特徵碼比對分析,或行為規則偵測,欠缺辨識新形態未知攻擊的能力。ForceShield DAP 即可協助補強。」林育民說。

此外,針對行動 App 的保護,ForceShield DAP 的設計機制並非採以加殼方式防止被逆向工程拆解,若 App 是採用 HTML 5、WebView 來開發設計,即可先透過 Javascript 檢查驗證;若為原生的 App,則需要透過 SDK 相互整合。

如此一來,即可達到端到端的動態檢查,防止 App 連線到假冒的伺服器,伺服器亦可防止未經授權的第三方 App 連線登入,保障雙向安全性。

資料來源: 網管人 - http://www.netadmin.com.tw/article_content.aspx?sn=1706090004

本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?加入會員

x
您需要登錄後才可以回帖 登錄 | 加入會員

本版積分規則

Archiver|手機版|小黑屋|資訊安全技術論壇  

GMT+8, 2021-4-19 10:49 , Processed in 30.147738 second(s), 28 queries .

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表