快速体验我们的高速稳定服务器
马上使用在这篇博文中,我们探讨了使用撞库攻击的机器人攻击组织的数量如何增加,以及为什么需要了解它们以更好、更安全地缓解它们。,,了解机器人和僵尸网络,当我们说“机器人正在执行攻击”时,机器人这个术语到底是什么意思?“Bot”只是“机器人”的简称,机器人以执行自动任务而著称。这正是机器人所做的,但这里的任务是数字/互联网相关的。机器人将执行程序员可以为其编写脚本并导致该任务自动化的任何活动。想看看 PS5 是否补货?编写一个脚本来每小时检查一次商店页面,瞧!您已经创建了一个“机器人”。,存在许多示例,其中人们利用脚本技能自动执行日常任务,从而以更少的努力提高效率。但就像生活中的一切一样,不良行为者利用相同的技能来开发执行恶意任务的机器人。其中包括 DoS/DDoS 攻击、目录模糊测试、价格抓取、网站爬虫/蜘蛛,以及许多其他恶意活动。由机器人执行的此类恶意活动之一是撞库攻击,这是每年多个组织面临漏洞的主要原因,我们将在以下部分深入探讨。,让我们多谈谈机器人。执行机器人活动的单个系统可能不足以进行成功的攻击。当今的 Web 应用程序具有如此高的可扩展性,以至于它们可以毫无问题地承受大量流量。将负载均衡器、CDN 等添加到等式中,事情变得更加安全。,为了产生大量流量,使用了多个机器人,使它们成为“机器人网络”或“僵尸网络”。这些机器人由称为“命令和控制 (C&C) 服务器”的中央系统控制,该系统由机器人处理程序管理。这些机器人只是之前被攻击活动利用的受损设备,通常利用流行的漏洞(有趣的是,这些受损机器也被称为“僵尸”,因为它们是使用远程访问控制的)。在谈论机器人攻击时,Mirai 僵尸网络是一个非常常用的名称,因为 Mirai 在 2016 年底通过大量受损的智能设备将主要组织作为目标。,在全球范围内,僵尸网络对安全专业人员造成滋扰的例子不胜枚举。机器人执行的一种此类攻击称为凭据填充,我们将在下一节中介绍。,, 凭据填充:如何以及为什么,攻击者暴力破解是安全行业面临的一个由来已久的问题。顾名思义,暴力攻击包括一种尝试尽可能多的组合的命中和试验方法,希望至少获得一个真正的肯定。,凭据填充本质上是一种与其他任何技术一样的蛮力技术,但具有某些优势。暴力破解主要有两种类型:纯暴力破解和基于字典的暴力破解。纯暴力尝试所有可能的组合,使其成为效率最低的技术,这是它未被广泛使用的主要原因。基于字典的攻击使用可能的密码列表(除了检索密码之外可能还有其他暴力破解的动机),如果列表中存在正确的密码(也称为“单词表”)。,凭据填充是一种基于字典的攻击形式——除了字典是从第三方服务窃取(或有时购买)的密码列表。这些密码或凭据可以从成功的数据库泄露、密码转储中收集,或者从暗网论坛购买!无论来源如何,攻击者都依赖于使凭据填充成为噩梦的人为弱点:密码重用。如今,大多数互联网用户都有一个密码,可用于多个帐户和服务。如果这些服务中的任何一项遭到破坏,则可能意味着其他帐户可能受到威胁!这使得凭据填充成为一个大问题,这就是它取代传统字典攻击的原因。, 缓解措施,并非每次攻击都可以阻止,但总有机会阻止大多数攻击。让我们来看看一些可能表明机器人正在敲门而不是合法用户的指标:,这些观察结果可能是成功攻击和成功阻止攻击之间的决定性因素。整理数据、分析数据并根据对您的基础设施和库存的流量行为部署缓解措施是抵御这些攻击的必要过程。这并不是在防止机器人攻击时要考虑的详尽参数列表,因为您始终可以微调您的缓解方法以使其更加精细,同时减少误报/误报的数量。,, 结论:不断进化的机器人,TrickBot对 RDP 实例执行凭证填充造成了严重破坏。Chimera组织破坏了多个帐户、暴力破解远程帐户,以及在过去(甚至今天)执行撞库攻击的更多实例。这些机器人永远在进化。,昨天用来阻止攻击的规则明天可能就过时了。从单一的终端命令到模仿人类用户,机器人在复杂性和功能方面已经取得了长足的进步,但我们可以使用的工具也是如此。软件智能与熟练的人类智能相结合,无论机器人如何自我改造,都会有办法阻止它们。,机器人攻击正在增加,需要不断分析其作案手法及其变化方式。我们希望本文能实现其目的,提供针对机器人程序和相关攻击(尤其是撞库)的见解,并在此过程中拓宽您的安全视野!, ,在这篇博文中,我们探讨了使用撞库攻击的机器人攻击组织的数量如何增加,以及为什么需要了解它们以更好、更安全地缓解它们。,让我们多谈谈机器人。执行机器人活动的单个系统可能不足以进行成功的攻击。当今的 Web 应用程序具有如此高的可扩展性,以至于它们可以毫无问题地承受大量流量。将负载均衡器、CDN 等添加到等式中,事情变得更加安全。,