研究人员将讨论本文P2P在物联网僵尸网络中使用技术是如何将其转化为组织和用户需要警惕的更强大的威胁。
物联网为僵尸网络开发者创造了一个广泛的攻击领域,他们已经开始在这个领域争夺设备,P2P物联网僵尸网络的受害者越来越多。然而,一种著名的文件共享技术——点对点(P2P)网络干预会使事情更加复杂。
一个典型的物联网僵尸网络将由许多设备感染(bot)连接到命令控制(C&C)由服务器组成,整个僵尸网络由网络罪犯运行。这意味着关闭C&C无论僵尸网络由多少设备组成,服务器都会使僵尸网络无法工作P2P网络消除了这种解决方案。
毕竟,P2P没有中央服务器,网络允许计算机相互连接。在实践中,这意味着关闭一个P2P物联网僵尸网络,防御者将不得不清理每一个受感染的设备,这是一件非常繁琐且几乎不可能完成的任务,因为最好的僵尸网络以使用数千种设备而闻名。
在本文的介绍中,研究人员讨论了过去部署的五个P2P物联网僵尸网络恶意软件家族,比较P2P网络在Windows与物联网环境发展为恶意软件的速度。研究人员还将讨论P2P物联网僵尸网络的影响,以及网络罪犯可能继续采取这种威胁的趋势。
影响
你可能想知道为什么只有五个P2P物联网僵尸网络恶意软件家族为僵尸网络长期生存提供了一个很好的方法?让研究人员分析物联网僵尸网络的真正目的是什么?
盈利是预测P2P物联网僵尸网络是否可持续的关键复杂的僵尸网络,物联网僵尸网络是否可持续的关键,他们需要找到一种从自己的努力中赚钱的方法。基于今天的物联网僵尸网络,解决这一威胁的常见方法是包括第三方攻击——拒绝分布式服务(DDoS)虚拟专用网络服务的攻击形式。
为了让P2P物联网僵尸网络变得流行起来,网络罪犯需要找到一种更好的方法来将这些被感染的路由器转化为金钱。研究人员推测,网络罪犯将专注于从被感染的路由器网络中赚钱,而不仅仅是将路由器用作连接互联网的设备。
感染路由器进行其他攻击
物联网僵尸网络的主要目标是家庭路由器。路由器之所以成为一个好目标,是因为它们是家庭网络入口的位置。感染路由器可以让网络犯罪分子进行更具攻击性的活动,如中间人(MitM)网络罪犯也可以选择在返回流量中注入恶意元素进行攻击和信息盗窃。
一旦攻击者把重点集中在分析和破坏被感染路由器的流量上,可能性就会无穷无尽。受感染的路由器可能会让网络犯罪分子通过重写网页来进行基于javascript加密货币挖掘或点击欺诈包含任何攻击计划的必要要素。此外,网络罪犯可以简单地出售台式机感染和盗窃信息,并找到更多通过路由器恶意软件获利的方法。
例如,路由器也可以作为网络罪犯横向移动到网络上其他不安全设备的立足点。通过这种方式使用路由器,攻击者将无需拦截流量进行横向移动,而无需处理TLS加密带来的挑战(传输层安全)在一定程度上符合现代勒索软件方法或高级持续威胁(APT)攻击。
通过水平移动,网络犯罪分子不需要在感染路由器和感染个人计算机之间做出选择。受损的路由器可能会让攻击者接管包括计算机在内的网络中其他安全性差的设备。
实现攻击的可能性有多大?
虽然这些攻击可能很难实现,但讨论场景的意义在于它们是可能的。僵尸网络恶意软件需要拦截网络内部的流量,并将任何元素注入其返回的每个网页。从技术的角度来看,这需要篡改路由器的协议栈,这是复杂的,但可以做到。网络罪犯也可以选择查看用户访问的网页日志,以获取他们持有的有价值的信息,这比篡改路由器的协议栈要容易得多。
过去、现在和未来的物联网僵尸网络
P2P该网络展示了物联网僵尸网络是如何进一步发展成为个真正强大的威胁,这是基于研究人员之前对该主题的研究。研究人员的论文“蠕虫战争:僵尸网络在物联网领域的战争”研究人员回顾了今天大多数物联网僵尸网络恶意软件家族的源代码。更重要的是,研究人员展示了僵尸网络开发人员在不安全设备上的激烈竞争。与此同时,研究人员vpnFilter案例研究表明,即使背后的操作已经关闭,感染也不能真正删除,因为它们仍然可能以某种方式存在于设备中,并且有风险。2018年虚拟专用网络Filter在新出现的几个月里,全球54个国家感染了 50多万台路由器和 NAS 设备可能比我们想象的更具破坏性。起初,业界普遍认为它只能感染 Linksys、MikroTik、Netgear、TP-Link 和 QNAP 等品牌的路由器,其实华硕,D-Link、华为、Ubiquiti、UPVEL 、中兴等品牌的产品也难逃其魔掌。
从以往的研究中,研究人员可以看到物联网僵尸网络的挑战。P2P物联网僵尸网络通过控制中央服务器关闭僵尸网络,从而打开僵尸网络“永生”可能性使这些特征更加复杂。这里讨论的利润技术可能会从根本上改变物联网恶意软件,增加不能删除和关闭的僵尸网络。
虽然这些攻击大多集中在家庭路由器或家用设备上,但组织不应忽视与自身安全的相关性。如今,当远程工作正常时,更难区分家庭网络和公司网络之间的界限,因此更难区分消费者和组织之间的界限。攻击者可以选择攻击通常不安全的家庭网络和路由器,以实现更高、更有价值的目标。
虽然上述前瞻性攻击场景可能永远不会发生,但可以肯定的是P2P物联网僵尸网络已经存在,对企业和家庭用户构成了真正但持久的威胁。组织和个人都需要改变他们的想法,把保护他们的路由器和桌面和笔记本电脑放在同样重要的位置。
短期内,公司和家庭用户应该怎么做?如何防止路由器感染?步骤如下:
- 管理漏洞并尽快应用补丁,一旦发布补丁,就立即应用它们,可以减少潜在漏洞的机会。
- 为了减少攻击的可能性,用户必须确保设备使用最安全的配置。
- 用户可以通过更改默认密码和使用强密码来避免暴力破解策略。
本文翻译自:https://www.trendmicro.com/en_us/research/21/c/the-future-of-p2p-iot-botnets.html