魔高一丈:殭屍網絡已將焦點轉移至憑證濫用!

魔高一丈:殭屍網絡已將焦點轉移至憑證濫用!

近年的駭客活動正轉向利用企業級軟件中的遠端執行程式碼漏洞,來感染企業系統,進而使其淪為殭屍網絡威脅的幫凶。例如,內嵌 GoAhead 的 HTTP 伺服器 (具有 700,000 個潛在目標) 和 Oracle WebLogic Server 中的漏洞都已為駭客所利用。今年較早揭露的 Spectre 和 Meltdown 安全漏洞亦引發了新一波的攻擊浪潮,攻擊手法包括秘密安裝佔用電腦資源的加密貨幣挖礦程式。

根據 Akamai 2017 年第四季《互聯網現況 / 安全報告》的數據分析顯示,憑證濫用的威脅正急速增長,每月超過 7.3 兆次的機器人作業請求當中,有超過 40% 嘗試登入的動作屬於惡意行為。

根據 Ponemon Institute 提供的資訊,憑證填充攻擊可使企業每年承受高達 270 萬美元的損失。Akamai 的資料亦進一步指出 DDoS 攻擊依然泛濫,而 Mirai 殭屍網絡仍有能力發動大量攻擊活動。

同時,最新的研究亦確認了上一季 (2017 年第四季) 的 DDoS 攻擊總數量已比去年同期 (2016 年第四季) 增長 14%。雖然今年早前的報告顯示,Mirai 殭屍網絡的強度已有減弱跡象,但 Akamai 卻在十一月底監測到有將近 100 萬個來自殭屍網絡,且不重複的 IP 位址在掃描互聯網,顯示它仍存在爆炸性增長的能力。

數據顯示:

-旅遊住宿產業已被鎖定為憑證欺詐攻擊的最大目標,該產業有高達 82% 嘗試登入的行為是來自惡意殭屍網絡。

-金融產業遭受 DDoS 攻擊的次數大增,上一季有 37 個不同的機構遭受了 298 次的 DDoS 攻擊。

-第四季的應用層 DDoS 攻擊 (如 GET、PUSH 和 POST 淹沒攻擊) 數量比第三季增長 115%。

-與去年同期 (2016 年第四季) 相比,上一季 (2017 年第四季) 來自美國的 DDoS 攻擊數量增長 31%。

-在十一月及十二月分別監測到 146 PB 及 145 PB 的機器人程式流量,換算為大約 550 Mbps 的傳輸速率。

-2017 年第四季 Akamai 在路由平台上緩解了 4,364 次攻擊事件。整體來說,Akamai 在 2017 年總共經歷了 15,965 次攻擊事件。

機器人程式活動促使憑證填充威脅的上升

Akamai 平日每秒可監測到超過 2,750 個機器人作業請求,當中佔其平台約逾 30% 的為純網絡流量 (不含影片串流)。雖然其中大多數的機器人程式活動均屬合法,但也不乏網絡罪犯逐漸利用機器人程式進行惡意活動。例如,許多原本用於發動 DDoS 攻擊的殭屍網絡,現被用作濫用竊取而來的登入憑證。在十一月和十二月,Akamai 平台追蹤到的 170 億個登入要求中,約近半數 (43%) 是被用於憑證濫用。

日益普及的自動化和資料挖礦活動使機器人程式流量泛濫,影響網站和互聯網服務的品質。雖然其中大多數的流量有利於互聯網的日常運作,但網絡罪犯同時虎視眈眈,並企圖利用機器人程式獲取不當利益。企業必須留意存取其網站的人士,並從中分辨出哪些是真實訪客,以及哪些是惡意機器人程式,切勿將所有網絡流量和機器人程式同等視之。