部分僵尸网络通常使用DDoS向服务器发送垃圾数??据。还有一些僵尸网络通过窃取密码或挖掘加密货币来针对特定设备。尤其是加密货币挖矿,近来已成为工业物联网领域企业面临的急剧增长的威胁,Coinhive和CryptoLoot等僵尸网络使网络犯罪分子能够以牺牲受害者的计算能力为代价,每年赚取高达1亿美元的美元。Smominru是加密货币挖矿僵尸网络之一,它使用从美国国家安全局泄露的臭名昭著的永恒之蓝漏洞感染了超过50万台机器。为了防止僵尸网络感染,托管物联网设备的企业必须能够检测到它们。但僵尸网络检测并不容易。让我们探讨一下物联网僵尸网络检测面临的一些技术升级和挑战。僵尸网络检测方法那么,什么是僵尸网络?简而言之,它是一组僵尸程序——受感染的计算机和设备——执行僵尸网络所有者给它们的命令。通常情况下,僵尸网络所有者将专门使用命令和控制服务器(C2),这是一个被破坏的服务器,用于与僵尸程序通信,通常通过Internet中继聊天命令。僵尸网络所有者使用C2服务器命令僵尸网络执行攻击,无论是DDoS、数据盗窃、身份盗用还是其他类型的攻击。不幸的是,找到C2通常不是一件容易的事。许多僵尸网络命令源自多个服务器或采用隐藏形式,将恶意命令掩盖为无害活动,例如Tor网络流量、社交媒体流量、对等服务之间的流量或域生成算法。更复杂的是,这些命令通常非常微妙,因此很难检测到任何异常情况。尝试检测C2的一种方法是反汇编和分析恶意软件代码。物联网安全人员可以尝试通过类似OD脚本的反汇编工具获取编译后的代码,有时可以从中识别出僵尸网络命令的来源。然而,随着僵尸网络创建者和管理员越来越多地使用集成加密,这种技术变得越来越不有效。通常,C2检测需要了解C2服务器与其bot之间的通信,但只有专门保护C2服务器的安全解决方案才具有这种可见性。一种更常见的检测僵尸网络的方法是跟踪和分析攻击本身——标准安全解决方案提供可见性——并确定哪些攻击来自僵尸网络。在查看漏洞利用尝试时,有一些可能是僵尸网络的迹象。误报和误报的可能性使得僵尸网络检测特别困难。一些有效载荷被广泛使用,增加了随机出现的模式触发误报的可能性。此外,攻击者可以通过使用虚拟专用网络或代理更改他们的IP地址,使其看起来好像真的只有一个攻击者或机器人。黑客工具和漏洞扫描器也表现得像僵尸网络,经常返回误报。这是因为黑客工具会产生相同的有效载荷和攻击模式,而且许多黑客会不分肤色地使用它们。此外,如果不同的玩家碰巧同时对同一个网站进行渗透测试,它可能看起来像是僵尸网络攻击。物联网安全专业人员通常可以通过谷歌搜索有效载荷并参考其周围的任何记录信息来识别误报。另一种技术涉及简单地收集安全解决方案中原始请求中可用的任何信息。例如,如果要更好地利用漏洞扫描器,大多数安全解决方案都会通过识别来揭示它,特别是如果它是更常见的漏洞扫描器之一。鉴于潜在的大量事件,误报是僵尸网络检测中不可避免的挑战;最近的研究表明,27%的IT员工每天收到超过100万条安全警报,而55%的IT员工收到超过10,000条。然而,通过正确的技术和努力,组织可以从恶意的、僵尸网络驱动的流量中识别出无害的流量。
