Bản chất của chiến dịch khai thác hàng loạt - Mass Exploitation

Khôi Linh, Phạm Thu Trang| 03/12/2018 21:21
Theo dõi ICTVietnam trên

Ví dụ về cách kẻ tấn công thực hiện các chiến dịch khai thác hàng loạt và cách phòng thủ chống lại chúng.

Tất cả chúng ta đều đã xem những bộ phim có hình một người trùm mũ qua đầu ngồi phía sau bàn phím khi nhập hình đại diện ảo hóa 3D trên Internet. Tập trung vào mục tiêu, chúng có thể nhìn thấy nhiều thông tin khác nhau về người dùng, từ ngày sinh của họ, đến cảnh họ bước ra khỏi một chiếc limo. Như bạn có thể đoán, đây không phải là cách kẻ tấn công thực hiện khai thác từ người dùng.

Những kẻ tấn công sử dụng rất nhiều dịch vụ giống như chúng ta đang sử dụng, như mạng CDN do đó các tải trọng của cuộc tấn công được phân phối theo địa lý hoặc dịch vụ proxy để thực hiện các cuộc tấn công của mà không tiết lộ vị trí của chúng.

Trong bài viết này, chúng ta sẽ nói về các chiến thuật và thủ tục được các nhà nghiên cứu và đội bảo mật của Akamai quan sát, khi họ làm việc thông qua quá trình phản ứng với hoạt động của một chiến dịch khai thác hàng loạt. Khai thác hàng - Mass Exploitation là thuật ngữ được sử dụng để truyền đạt quy trình trong đó kẻ tấn công khởi động một chiến dịch tấn công ở quy mô lớn sử dụng dịch vụ CDN hoặc dịch vụ gửi thư hàng loạt để tiếp cận nhiều nạn nhân hơn trong thời gian ngắn hơn.Một ví dụ phổ biến là một lỗ hổng zero-day được đăng lên một diễn đàn ngầm và được mua bởi một kẻ tấn công. Khi mã đó bắt đầu được sử dụng trong thực tế, có một lượng thời gian hữu hạn trước khi các

Ý tưởng bắt đầu với kẻ tấn công đó là tìm kiếm đối tượng có trọng tải vừa hoặc có khả năng khai thác tốt, mà chúng cần sử dụng ở quy mô lớn trong một khoảng thời gian tương đối ngắn.

nhóm nghiên cứu và các nhóm phản ứng sự cố nhận thấy cuộc tấn công và cố gắng giảm thiểu tác hại của nó. Ngoài ra, thời gian để nhà cung cấp để phát hành bản vá có thể thay đổi. Dòng thời gian đa dạng này thúc đẩy việc khai thác hàng loạt.

Có ba loại danh mục chính cho các vấn đề khi chúng liên quan đến việc xác định các nỗ lực khai thác hàng loạt:

Danh mục một (Các điểm sai): Xác định việc khai thác hàng loạt trong môi trường của bạn có thể gây khó khăn. Ví dụ, nếu bạn đang cố gắng lọc các nỗ lực Remote File Inclusion (RFI) và tải trọng thực thi, sẽ có một lượng lớn tin nhiễu từ các nhà cung cấp bảo mật đang chạy quét ứng dụng đối với môi trường của bạn đang tìm kiếm các rủi ro.

Đây là một bài kiểm tra RFI từ WhiteHat Security và rất phổ biến. Nếu hệ thống được quét là dễ bị tấn công, nó sẽ tải xuống tập lệnh và thực thi nó. Một quy trình sẽ được theo dõi và thêm vào danh sách những thứ bạn cần sửa cho hệ thống đó.

Danh mục thứ hai: Làm phức tạp hơn nữa việc xác định các chiến dịch tấn công là mục đích của những kẻ tấn công sử dụng các kỹ thuật như tên miền và trang web FastFlux như Google hoặc Github để gửi các nội dung thường không gây nhiều chú ý trừ khi bạn biết mình đang tìm gì .

Ví dụ 1: raw.githubusercontent.com

Bằng cách sử dụng các vỏ web nằm trên Github, kẻ tấn công không cần quản lý nhiều bản sao của các tệp vì ít có khả năng các dịch vụ hàng đầu trang web hoặc URL sẽ liệt kê tên miền Github. Ở đây kẻ tấn công đang sử dụng một trình báo PHP và sử dụng CDN của Github để sử dụng bộ nhớ đệm và tăng tốc của vỏ đã nói đến hệ thống đích.

Ví dụ 2: googleusercontent.com

Những kẻ tấn công đã lợi dụng các loại dịch vụ đám mây khác để phân phối lưu lượng truy cập tấn công của chúng - một trong số đó đang sử dụng Google App Scripts. Bằng cách tạo tập lệnh trong Google Sheets chứa các lệnh theo kịch bản, kẻ tấn công có thể đưa ra các yêu cầu giống như chúng đến từ một vị trí "đáng tin cậy" như Google. Nếu không có bối cảnh, điều này có thể không được chú ý hoặc ít nhất là khó xác định các yêu cầu tốt hoặc xấu do tính chất của vị trí mà các yêu cầu bắt nguồn.

Nó sẽ không được chú ý, cho đến khi bạn bắt đầu thấy khối lượng lưu lượng truy cập có thể được tạo từ cơ sở hạ tầng này gia tăng mạnh hoặc các yêu cầu đang tận dụng lợi thế của lỗ hổng ứng dụng để thực hiện khai thác hàng loạt.

Danh mục thứ ba: Danh mục thứ ba là thách thức tình báo đe dọa tính “kịp thời” và các thách thức tầm nhìn quy mô lớn. Nếu bạn chỉ có thể xem thông tin về mối đe dọa về lưu lượng truy cập đến môi trường thì sẽ rất khó để xem xét các xu hướng hoặc mô hình có quy mô lớn hơn một cách hiệu quả.

Chúng tôi thường xuyên thấy các phần mềm độc hại tải lên mã độc / mã khai thác của chúng lên nhiều trang web của bên thứ ba hoặc CDN trong nỗ lực tái sử dụng nó, thường là cho mục đích dự phòng hoặc nếu thiết bị bảo mật thêm URL vào danh sách đen.

Khi theo dõi các mẫu, chúng tôi xác định rằng chúng đang được truy cập bởi nhiều IP / ASN có nguồn gốc giúp chúng tôi biết rằng những kẻ tấn công đang sử dụng proxy thông qua IP / ASN khi cố gắng tấn công RFI quy mô lớn. Kỹ thuật này thường chỉ ra việc sử dụng các tên miền Fast Flux.

Fast Fluxkỹ thuật DNS được botnet sử dụng để ẩn các trang web phân phối lừa đảo và phần mềm độc hại phía sau mạng máy chủ bị xâm nhập luôn thay đổi hoạt động như proxy. Sử dụng Fast Flux đang trở nên phổ biến vì hai lý do.

  1. Các máy chủ bị xâm nhập lưu trữ mã khai thác đang được phát hiện nhanh chóng và được thực hiện ngoại tuyến trước khi kẻ tấn công có thể sử dụng chúng.
  2. Bởi vì kẻ tấn công đang tung ra chiến lược khai thác tại nhiều hệ thống như là một phần của nỗ lực khai thác quy mô lớn, chúng yêu cầu trọng tải phải sẵn sàng cao. Vì lý do này, chúng tôi phát hiện sự gia tăng trong việc sử dụng CDN chi phí thấp để triển khai tấn công dữ liệu khai thác máy chủ lưu trữ.

Có những ví dụ khác về cách kẻ tấn công giành chiến thắng bằng cách sử dụng các chiến dịch khai thác hàng loạt, nhưng để tăng tỷ lệ thành công khi bảo vệ và chống lại các kỹ thuật trên, các Đội bảo mật phải tập trung vào ba lĩnh vực riêng biệt:

Kiểm tra trung gian: Sử dụng proxy ngược hoặc một số hình thức thiết bị hoặc quy trình xen kẽ để thực hiện kiểm tra và xác thực các yêu cầu trước khi gửi lưu lượng truy cập đến các máy chủ ứng dụng cuối.

Mối tương quan dữ liệu / mối đe dọa quy mô lớn: Bạn càng có nhiều dữ liệu về yêu cầu gửi đến hoặc địa chỉ IP thông qua các nguồn tình báo đe dọa bảo mật thì càng tốt. Điều chính cần tập trung ở đây là bạn có càng nhiều thông tin càng tốt, chúng thường có liên quan đến nguồn cấp dữ liệu đe dọa và chia sẻ dữ liệu với các đối tác.

Lớp bảo mật: Nó sẽ rất có giá trị để xây dựng vành đai và bảo vệ bên ngoài cũng như phòng thủ bên trong hoặc phía sau tường lửa để xem xét các hoạt động độc hại bên trong mạng công ty cũng như yêu cầu chuyển thông tin lên Internet.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Người giữ bình yên nơi vùng cao
    Huyện Sơn Động là huyện vùng cao của tỉnh Bắc Giang, có tỷ lệ người dân tộc thiểu số (DTTS) cao nhất tỉnh, chiếm 56,92%, với địa hình rừng núi, giao thông đi lại khó khăn, phong tục tập quán, bản sắc văn hóa đa dạng chính vì vậy công tác đảm bảo an ninh trật tự ở các bản làng luôn là nhiệm vụ được các cấp ủy Đảng quan tâm. Do đó, đội ngũ già làng, trưởng bản, người uy tín luôn là đội ngũ nòng cốt góp phần xây dựng khối đại đoàn kết dân tộc, giữ gìn an ninh trật tự xã hội trong cộng đồng.
  • Tuyên Quang: Kiên trì phương châm “mưa dầm thấm lâu” để nâng cao kiến thức pháp luật cho đồng bào vùng DTTS&MN
    Với phương châm “mưa dầm thấm lâu”, những năm qua, các cấp chính quyền tỉnh Tuyên Quang đã đa dạng hoá các hình thức tuyên truyền, góp phần giúp các kiến thức pháp luật về mọi mặt của đời sống ngày một đến gần hơn với người dân (đặc biệt là vùng đồng bào DTTS&MN).
  • Malaysia gây “sốc” khi trao giấy phép mạng 5G thứ hai
    Câu chuyện 5G của Malaysia đã có một bước ngoặt bất ngờ khi cơ quan quản lý nước này trao giấy phép triển khai mạng 5G thứ hai cho nhà mạng nhỏ nhất của đất nước là U Mobile.
Đừng bỏ lỡ
Bản chất của chiến dịch khai thác hàng loạt - Mass Exploitation
POWERED BY ONECMS - A PRODUCT OF NEKO