在本文中,研究人员将讨论在IoT僵尸网络中使用P2P技术如何将它们变成组织和用户需要警惕的更强大的威胁。物联网为僵尸网络开发者创造了一个广阔的攻击区域,他们已经在那里互相争夺设备,而P2P物联网僵尸网络正在成为越来越多的受害者。但是众所周知的文件共享技术,对等(P2P)网络,使事情变得更加复杂。一个典型的物联网僵尸网络将由许多连接到命令和控制(C&C)服务器的受感染设备(机器人)组成,网络犯罪分子从该服务器运行整个僵尸网络。这意味着无论僵尸网络由多少设备组成,关闭C&C服务器都会使僵尸网络无法运行,而物联网僵尸网络中P2P网络的引入消除了这种解决方案。毕竟,P2P网络允许计算机相互连接而不需要中央服务器。实际上,这意味着要关闭P2PIoT僵尸网络,防御者必须清理每一个受感染的设备,这是一项乏味且几乎不可能完成的任务,因为最好的僵尸网络始于使用数千台设备的Famous。在本文的介绍中,研究人员讨论了过去部署的五个P2PIoT僵尸网络恶意软件家族,并比较了P2P网络在Windows和IoT环境之间演化为恶意软件的速度。除其他事项外,研究人员还讨论了P2PIoT僵尸网络的影响,以及网络犯罪分子将继续应对这一威胁的可能趋势。影响您可能想知道:为什么只有五个P2PIoT僵尸网络恶意软件家族提供了让僵尸网络长时间存活的好方法?让研究人员分析物联网僵尸网络到底是干什么用的?利润是预测对于P2PIoT僵尸网络的可持续性至关重要,为了让网络犯罪分子继续开发和实施更复杂的僵尸网络,他们需要找到一种从他们的努力中赚钱的方法。基于当今的物联网僵尸网络,解决此威胁的一种常见方法是通过包含第三方攻击——以分布式拒绝服务(DDoS)攻击和虚拟专用网络服务的形式。为了让P2PIoT僵尸网络变得流行,网络犯罪分子需要找到一种更好的方法来将这些受感染的路由器变成金钱。研究人员推测,网络犯罪分子会将他们的注意力转移到从受感染路由器的网络中赚钱,而不是简单地将路由器用作互联网连接设备。感染路由器以进行其他攻击物联网僵尸网络的主要目标是家庭路由器,路由器之所以成为一个好的目标,是因为它们作为家庭网络入口点的位置。受感染的路由器可以让网络犯罪分子进行更具攻击性的活动,例如中间人(MitM)攻击和信息窃取,网络犯罪分子还可能选择在返回流量中注入恶意元素。一旦攻击者专注于分析和破坏受感染路由器的流量,可能性就会无穷无尽。受感染的路由器可能允许网络罪犯进行基于javascript的加密货币挖掘或点击欺诈,方法是重写网页以包含任一攻击方案的必要元素。此外,网络犯罪分子可以简单地出售桌面感染和窃取的信息,并找到更多方法来利用路由器恶意软件获利。例如,路由器还可以作为网络犯罪分子横向移动到网络上其他不安全设备的立足点。通过以这种方式使用路由器,攻击者不需要拦截流量进行横向移动,也不必应对TLS(传输层安全)加密带来的挑战,这种情况有点符合现代勒索软件方法或高级持续性威胁(APT)攻击。通过横向移动,网络犯罪分子不必在感染路由器和感染PC之间做出选择,而受到威胁的路由器可能允许攻击者接管网络上其他安全性较差的设备,包括计算机。实施攻击的可能性有多大?尽管这些攻击方法可能难以实施,但讨论场景的重点是它们是可能的。僵尸网络恶意软件需要拦截来自网络内部的流量,并将任意元素注入到它返回的每个网页中。从技术角度来看,这需要篡改路由器的协议栈,这很复杂但可行。网络罪犯还可以选择查看用户访问的网页日志以获取他们持有的有价值信息,这比篡改路由器的协议栈要容易得多。物联网僵尸网络的过去、现在和未来P2P网络展示了物联网僵尸网络如何在研究人员之前关于该主题的工作的基础上进一步发展成为真正强大的威胁。在研究人员的论文“蠕虫之战:物联网世界中的僵尸网络战争”中,研究人员审查了当今大多数物联网僵尸网络恶意软件系列的源代码。更重要的是,研究人员展示了僵尸网络开发人员在不安全的设备上相互竞争的激烈程度。与此同时,研究人员对vpnFilter的案例研究强调,感染无法真正消除,因为它们仍可能以某种方式存在于设备上并带来风险,即使它们背后的操作早已被关闭。2018年,VirtualPrivateNetworkFilter在出现的几个月内就感染了全球54个国家超过50万台路由器和NAS设备,其破坏力可能比我们想象的还要强大。起初,业界普遍认为它只能感染Linksys、MikroTik、Netgear、TP-Link、QNAP等品牌的路由器,但实际上华硕、D-Link、华为、Ubiquiti、UPVEL等品牌的产品,而中兴也难逃其魔掌。从这些先前的研究中,研究人员可以看到物联网僵尸网络带来的挑战。P2PIoT僵尸网络通过控制中央服务器关闭僵尸网络,从而使僵尸网络“长生不老”成为可能,从而使这些特征更加复杂。将此处讨论的货币化技术添加到无法删除且无法关闭的僵尸网络中,可能会从根本上改变IoT恶意软件。虽然这些攻击大多集中在家用路由器或家用设备上,但组织不应忽视它们与自身安全的相关性。今天,当远程工作成为常态时,很难在家庭网络和公司网络之间划清界限,因此也很难在消费者攻击和对组织的攻击之间划清界限。攻击者可以选择攻击通常不太安全的家庭网络和路由器,以实现更高、更有价值的目标。虽然上述前瞻性攻击场景可能永远不会发生,但可以肯定的是,P2PIoT僵尸网络已经存在,对企业和家庭用户构成了真实而持久的威胁。组织和个人都需要转变他们的思维方式,将路由器和台式机和笔记本电脑的安全放在同样重要的位置。企业和家庭用户短期应该怎么办?他们如何防止路由器被感染?以下是步骤:尽快管理漏洞并应用补丁,尽快发布,可以减少潜在漏洞的机会。要应用安全配置,用户必须确保他们的设备使用尽可能最安全的配置,以减少受到攻击的可能性。有了强密码,用户可以通过更改默认密码和使用强密码来规避暴力破解攻击。本文翻译自:https://www.trendmicro.com/en_us/research/21/c/the-future-of-p2p-iot-botnets.html
