导语:近日,Akamai发布了《互联网现状/安全—撞库攻击》报告,对最新僵尸网络策略和趋势进行了研究,报告还分析了撞库攻击数量不断攀升的原因。
2018年《互联网现状/安全—撞库攻击》报告基于2018年5月到6月之间在Akamai Intelligent Edge Platform上发生的超过83亿次的恶意登录尝试。该报告对最新僵尸网络策略和趋势进行了研究(包括目标行业和国家/地区),并深入探究了以不同方式对两大金融机构进行的持续数日的多个僵尸网络撞库攻击。该报告还探索了撞库攻击的数量不断攀升的原因,以及组织提升其爬虫程序防御力的需求。
Credential stuffing attacks(撞库攻击)不断发展成为一个问题,尤其是在金融领域,因为在金融领域僵尸网络可以模拟大量的欺骗性的尝试登陆来形成DDoS攻击的效果。
攻击中攻击者利用数据泄露获得的用户名和密码登陆多种在线服务。因为许多人多个账号共用同一个用户名和密码,所以成功率很高。
网络犯罪分子可以自动化执行这些攻击,并使用了在被入侵的系统中传播登陆活动的僵尸网络。而最终的目标是成功登陆目标站点,并利用账户所有者的身份窃取钱财或收集信息。
上百亿次恶意登陆尝试
统计数据显示,2017年11月到2018年7月不到1年的时间里,共发现有超过300亿次恶意登陆尝试。
在最后两个月,僵尸主机共用窃取的凭证信息尝试登陆83亿次。
Akamai的报告中介绍了针对两家金融领域企业的撞库攻击,其中一家企业同时被三个僵尸网络攻击。这三个僵尸网络使用的是不同的攻击方法。
僵尸网络
在第一个僵尸网络中,北美的一家大型信用合作社(银行)的网络流量明显增加。
在一周的时间里,Akamai共发现有来自1750个网络服务提供商(ISP)的2万个IP地址的315178次欺骗性登陆尝试,研究任意共识别出其中4382个不同的用户代理。
第一个执行撞库攻击的僵尸网络产生的恶意登陆尝试大约占1/3。Akamai将其标记为“dumb botnet”,因为其流量来自于两个IP地址,而且所有的请求使用的用户代理都是相同的,因此很容易识别和进行阻止。
第二个僵尸网络更加复杂,发送的流量来自10000个不同的IP地址和695个用户代理。
在三天时间内,僵尸网络平均每秒钟产生59次请求,共产生190487次恶意登陆尝试。
第三个僵尸网络最难预防,因为使用的是最“low and slow”的方法,每2分钟只产生一次恶意登陆尝试,一周内总共产生了5286次恶意登陆尝试。使用了188个不同的用户代理和1500个不同的IP地址。
因为该僵尸网络活动并不活跃,因此很难被发现,攻击者也可以长期利用该僵尸网络进行攻击活动。
僵尸网络过度使用用户代理
撞库攻击的第二个目标也是一个金融服务商。正常的网络流量记录值为6天内700万次合法请求,但僵尸网络开始活动后,一共产生850万次欺骗性登陆,大多数的登陆是在48小时内产生的,明显与正常活动不同。
Akamai称1/3的流量来自于越南和美国。僵尸网络总大小为2万终端设备,IP地址来自于4933个不同的ISP。
恶意登陆活动中有95%的流量都来自于相同类型的设备——三星SM-G531H手机,因此恶意请求也很容易检测、拦截和阻止。
因为有很多自动化工具即服务存在,所以很容易发起撞库攻击。但必须要用大量的用户名和密码来填充到不同服务的login域内。
因为数据泄露事件经常发生,而用户倾向循环使用密码,因此撞库攻击并不缺乏用户名和密码库。