Tất cả chúng ta đều đã xem những bộ phim có hình một người trùm mũ qua đầu ngồi phía sau bàn phím khi nhập hình đại diện ảo hóa 3D trên Internet. Tập trung vào mục tiêu, chúng có thể nhìn thấy nhiều thông tin khác nhau về người dùng, từ ngày sinh của họ, đến cảnh họ bước ra khỏi một chiếc limo. Như bạn có thể đoán, đây không phải là cách kẻ tấn công thực hiện khai thác từ người dùng.
Những kẻ tấn công sử dụng rất nhiều dịch vụ giống như chúng ta đang sử dụng, như mạng CDN do đó các tải trọng của cuộc tấn công được phân phối theo địa lý hoặc dịch vụ proxy để thực hiện các cuộc tấn công của mà không tiết lộ vị trí của chúng.
Trong bài viết này, chúng ta sẽ nói về các chiến thuật và thủ tục được các nhà nghiên cứu và đội bảo mật của Akamai quan sát, khi họ làm việc thông qua quá trình phản ứng với hoạt động của một chiến dịch khai thác hàng loạt. Khai thác hàng - Mass Exploitation là thuật ngữ được sử dụng để truyền đạt quy trình trong đó kẻ tấn công khởi động một chiến dịch tấn công ở quy mô lớn sử dụng dịch vụ CDN hoặc dịch vụ gửi thư hàng loạt để tiếp cận nhiều nạn nhân hơn trong thời gian ngắn hơn.Một ví dụ phổ biến là một lỗ hổng zero-day được đăng lên một diễn đàn ngầm và được mua bởi một kẻ tấn công. Khi mã đó bắt đầu được sử dụng trong thực tế, có một lượng thời gian hữu hạn trước khi các
Ý tưởng bắt đầu với kẻ tấn công đó là tìm kiếm đối tượng có trọng tải vừa hoặc có khả năng khai thác tốt, mà chúng cần sử dụng ở quy mô lớn trong một khoảng thời gian tương đối ngắn.
nhóm nghiên cứu và các nhóm phản ứng sự cố nhận thấy cuộc tấn công và cố gắng giảm thiểu tác hại của nó. Ngoài ra, thời gian để nhà cung cấp để phát hành bản vá có thể thay đổi. Dòng thời gian đa dạng này thúc đẩy việc khai thác hàng loạt.
Có ba loại danh mục chính cho các vấn đề khi chúng liên quan đến việc xác định các nỗ lực khai thác hàng loạt:
Danh mục một (Các điểm sai): Xác định việc khai thác hàng loạt trong môi trường của bạn có thể gây khó khăn. Ví dụ, nếu bạn đang cố gắng lọc các nỗ lực Remote File Inclusion (RFI) và tải trọng thực thi, sẽ có một lượng lớn tin nhiễu từ các nhà cung cấp bảo mật đang chạy quét ứng dụng đối với môi trường của bạn đang tìm kiếm các rủi ro.
Đây là một bài kiểm tra RFI từ WhiteHat Security và rất phổ biến. Nếu hệ thống được quét là dễ bị tấn công, nó sẽ tải xuống tập lệnh và thực thi nó. Một quy trình sẽ được theo dõi và thêm vào danh sách những thứ bạn cần sửa cho hệ thống đó.
Danh mục thứ hai: Làm phức tạp hơn nữa việc xác định các chiến dịch tấn công là mục đích của những kẻ tấn công sử dụng các kỹ thuật như tên miền và trang web FastFlux như Google hoặc Github để gửi các nội dung thường không gây nhiều chú ý trừ khi bạn biết mình đang tìm gì .
Ví dụ 1: raw.githubusercontent.com
Bằng cách sử dụng các vỏ web nằm trên Github, kẻ tấn công không cần quản lý nhiều bản sao của các tệp vì ít có khả năng các dịch vụ hàng đầu trang web hoặc URL sẽ liệt kê tên miền Github. Ở đây kẻ tấn công đang sử dụng một trình báo PHP và sử dụng CDN của Github để sử dụng bộ nhớ đệm và tăng tốc của vỏ đã nói đến hệ thống đích.
Ví dụ 2: googleusercontent.com
Những kẻ tấn công đã lợi dụng các loại dịch vụ đám mây khác để phân phối lưu lượng truy cập tấn công của chúng - một trong số đó đang sử dụng Google App Scripts. Bằng cách tạo tập lệnh trong Google Sheets chứa các lệnh theo kịch bản, kẻ tấn công có thể đưa ra các yêu cầu giống như chúng đến từ một vị trí "đáng tin cậy" như Google. Nếu không có bối cảnh, điều này có thể không được chú ý hoặc ít nhất là khó xác định các yêu cầu tốt hoặc xấu do tính chất của vị trí mà các yêu cầu bắt nguồn.
Nó sẽ không được chú ý, cho đến khi bạn bắt đầu thấy khối lượng lưu lượng truy cập có thể được tạo từ cơ sở hạ tầng này gia tăng mạnh hoặc các yêu cầu đang tận dụng lợi thế của lỗ hổng ứng dụng để thực hiện khai thác hàng loạt.
Danh mục thứ ba: Danh mục thứ ba là thách thức tình báo đe dọa tính “kịp thời” và các thách thức tầm nhìn quy mô lớn. Nếu bạn chỉ có thể xem thông tin về mối đe dọa về lưu lượng truy cập đến môi trường thì sẽ rất khó để xem xét các xu hướng hoặc mô hình có quy mô lớn hơn một cách hiệu quả.
Chúng tôi thường xuyên thấy các phần mềm độc hại tải lên mã độc / mã khai thác của chúng lên nhiều trang web của bên thứ ba hoặc CDN trong nỗ lực tái sử dụng nó, thường là cho mục đích dự phòng hoặc nếu thiết bị bảo mật thêm URL vào danh sách đen.
Khi theo dõi các mẫu, chúng tôi xác định rằng chúng đang được truy cập bởi nhiều IP / ASN có nguồn gốc giúp chúng tôi biết rằng những kẻ tấn công đang sử dụng proxy thông qua IP / ASN khi cố gắng tấn công RFI quy mô lớn. Kỹ thuật này thường chỉ ra việc sử dụng các tên miền Fast Flux.
Fast Flux là kỹ thuật DNS được botnet sử dụng để ẩn các trang web phân phối lừa đảo và phần mềm độc hại phía sau mạng máy chủ bị xâm nhập luôn thay đổi hoạt động như proxy. Sử dụng Fast Flux đang trở nên phổ biến vì hai lý do.
- Các máy chủ bị xâm nhập lưu trữ mã khai thác đang được phát hiện nhanh chóng và được thực hiện ngoại tuyến trước khi kẻ tấn công có thể sử dụng chúng.
- Bởi vì kẻ tấn công đang tung ra chiến lược khai thác tại nhiều hệ thống như là một phần của nỗ lực khai thác quy mô lớn, chúng yêu cầu trọng tải phải sẵn sàng cao. Vì lý do này, chúng tôi phát hiện sự gia tăng trong việc sử dụng CDN chi phí thấp để triển khai tấn công dữ liệu khai thác máy chủ lưu trữ.
Có những ví dụ khác về cách kẻ tấn công giành chiến thắng bằng cách sử dụng các chiến dịch khai thác hàng loạt, nhưng để tăng tỷ lệ thành công khi bảo vệ và chống lại các kỹ thuật trên, các Đội bảo mật phải tập trung vào ba lĩnh vực riêng biệt:
Kiểm tra trung gian: Sử dụng proxy ngược hoặc một số hình thức thiết bị hoặc quy trình xen kẽ để thực hiện kiểm tra và xác thực các yêu cầu trước khi gửi lưu lượng truy cập đến các máy chủ ứng dụng cuối.
Mối tương quan dữ liệu / mối đe dọa quy mô lớn: Bạn càng có nhiều dữ liệu về yêu cầu gửi đến hoặc địa chỉ IP thông qua các nguồn tình báo đe dọa bảo mật thì càng tốt. Điều chính cần tập trung ở đây là bạn có càng nhiều thông tin càng tốt, chúng thường có liên quan đến nguồn cấp dữ liệu đe dọa và chia sẻ dữ liệu với các đối tác.
Lớp bảo mật: Nó sẽ rất có giá trị để xây dựng vành đai và bảo vệ bên ngoài cũng như phòng thủ bên trong hoặc phía sau tường lửa để xem xét các hoạt động độc hại bên trong mạng công ty cũng như yêu cầu chuyển thông tin lên Internet.
