潜伏在网络边缘:信息安全意识与保密常识的终极指南

admin

引言:从“小插曲”到系统性危机

你是否曾听过“勒索软件”这个词?它听起来像是科幻电影里的情节,但它早已成为现实,威胁着个人、企业乃至国家安全。更令人不安的是,很多时候,我们对这些攻击的源头和幕后黑手知之甚少。这篇文章将带你深入了解网络犯罪生态系统,特别是“botnet”(机器人网络)的运作方式,揭示潜伏在网络边缘的危险,并提升你的信息安全意识和保密常识。

信息安全,早已不是“技术宅”的专属领域。它关乎你的财务安全、个人隐私、工作效率,甚至国家安全。2023年,全球网络安全威胁日益严峻,攻击手段也变得越来越复杂、隐蔽。仅仅依靠专业安全团队,往往难以完全防范所有风险。因此,提升个人和组织的“安全意识”,是构建坚实安全防线的关键一步。

第一部分:botnet 的崛起与进化

什么是botnet?简单来说,它是一个由大量受感染的计算机组成的网络,这些计算机被恶意软件控制,执行特定的指令,例如发送垃圾邮件、发起分布式拒绝服务攻击(DDoS)或窃取数据。

2.3.1 犯罪基础设施:网络犯罪生态系统的幕后故事

自从 2005年左右,地下市场开始涌现,专门化提供犯罪基础设施的角色开始出现。最主要的包括:botnet策划者、恶意软件编写者、垃圾邮件发送者和“资金输出”操作者。虽然这个生态系统可能只有几千人,但其带来的成本高达数十亿美元,对行业和整个社会造成了巨大的影响。

现在,许多“工作”都集中在客户支持和系统管理等低级工作中,包括所有涉及规避执法部门监控的设置工作。这些“公司”专门化,企业家和技术专家可以获得实际的收益。(顺便说一句,在冠状病毒疫情期间,网络犯罪行业蓬勃发展。)

2.3.1.1 Botnet 策划者

  • 早期尝试:Panix 和 Earthlink 1996年,Panix在纽约的一家 ISP 遭受了攻击,使用来自医院的受感染的 Unix 机器进行 SYN洪水攻击。 紧接着,Earthlink在2000年通过发送超过一百万封钓鱼邮件,取得了更大的成功。其作者因这种行为被Earthlink 起诉。

  • 规模化运营:Storm、Kelihos 和 Conficker随着网络犯罪组织开始组织起来,机器人网络规模得到了显著扩大。专业制作和维护的机器人网络可以出租给坏蛋,无论他们是垃圾邮件发送者、钓鱼者还是其他。2007 年,Storm 账户占所有 Windows 恶意软件的8%,通过电子邮件附件感染机器并使用 eDonkey协作网络来寻找其他受感染的机器。它不仅用于发送垃圾邮件,还用于 DDoS攻击、内幕交易和银行凭证窃取。 参与者在 eDonkey网络中汇集,以收集受感染机器的列表,以便清理这些机器。

    Storm后来被削弱到原来的十分之一,但它的使用证明了垃圾邮件传播的潜力。

    Kelihos 与 Storm类似,也是一个机器人网络,用于窃取比特币。其创造者,一位来自俄罗斯的男子,在西班牙度假时被逮捕,并被美国引渡到美国,于2018 年认罪。

    Conficker 带来了新的创新 – 域名生成算法 (DGA)。 这个蠕虫通过利用Windows 网络服务漏洞传播,每天生成 250 个域名。感染的机器会尝试这些域名,希望博主能够租用其中一个域名。

    最初,防御者只是购买这些域名,但后来出现了一个变种,每天生成 50,000个域名。 行业工作组与注册商达成协议,这些域名将被永久禁用。 2009年,随着 Conficker 规模的扩大,有大约 100万台机器,它对最大的网站甚至国家提出了威胁。

    Storm中使用的随机化也带来了双刃剑的效果:防御者可以隔离一部分域名,收集受感染机器的列表。2015 年,受感染的机器数量减少到 100 万台以下。

  • 维护与清理: 无论如何,清理受感染的机器是解决botnet 感染问题的唯一方法。 但这提出了规模和激励问题。虽然安全公司提供了工具,微软提供了补丁,但很多人没有使用它们。只要受感染的 PC 偶尔发送垃圾邮件但仍然可以使用,为什么要采取任何措施?带宽成本会使 ISP 亏损,所以一些 ISP,尤其是像 Comcast这样的电缆公司,会识别受感染的机器,并将用户的访问限制在一个“花园”中,直到他们承诺清理。现在,随着越来越多的人将各种设备连接到他们的Wi-Fi,许多设备没有用户界面,与人类的交互变得更加困难。

2020 年的 botnet 态势:规模分化与创新发展

2020 年,我们看到了一些规模较小的botnet(几十数千台),对大多数防御者来说已经不重要,以及一些较大的botnet,通常具有多层结构,在底层使用点对点机制,让步兵机器人可以与控制节点进行通信,而这些控制节点又利用域名生成算法查找博主。

碎片化步兵机器人使其难以渗透所有botnet,而控制节点可能位于难以防御的地方。 2020 年,这类 botnet的主要收入来自点击欺骗。

2.3.1.2 创新:Mirai Botnet 的崛起

  • 物联网的漏洞 Mirai Botnet家族的出现,标志着网络犯罪的新方向——利用物联网设备。 首次 Mirai蠕虫感染了由小米制造的 CCTV摄像机,这些摄像机使用默认的工厂密码,无法更改。

  • 大规模攻击 Mirai botnet 会扫描互联网的 IPv4地址空间,寻找其他漏洞设备,这些设备通常会在被启用的几分钟内被感染。2016 年 10 月,Mirai 首次攻击 DynDNS,并在美国东海岸的六小时内导致Twitter 瘫痪。从那时起,已经出现了超过一千种变种,研究人员正在研究这些变种,以确定发生了什么变化,并确定可能使用的对策。

  • 多层控制 Mirai实际上是一个多层控制系统,它在底层使用点对点通信,控制节点则使用域名生成算法来寻找博主。

故事案例 1:Earthlink 邮件欺诈事件

2000 年,Earthlink试图通过发送大量的钓鱼邮件来吸引用户注册,但其策略却适得其反。大量的恶意邮件被识别并标记为垃圾邮件,这不仅损害了Earthlink 的声誉,还导致他们被对手起诉。

  • 教训:这种类型的欺诈行为强调了网络安全意识的重要性。在尝试推广服务时,必须遵守道德规范和法律法规,不能利用虚假信息或欺骗手段。此外,企业需要建立健全的电子邮件过滤系统,以防止垃圾邮件和恶意邮件的传播。
  • 关联信息安全主题:黑客使用欺骗性邮件作为一种攻击手段,反映了信息安全领域中常见的钓鱼攻击。钓鱼攻击通常利用人类的信任感和好奇心,诱导用户点击恶意链接或提供个人信息。了解钓鱼攻击的类型和特点,可以帮助我们提高警惕,避免成为受害者。

第二部分:应对威胁,提升安全意识

2.3.2 对抗机器人网络:技术与策略

  • 集中控制的脆弱性:机器人网络的根本弱点在于其依赖于集中控制。如果攻击者能够发现并瘫痪控制节点,整个网络就会崩溃。
  • 域名生成算法 (DGA) 的局限性:域名生成算法虽然可以帮助机器人网络保持活动状态,但其本质上也是一个脆弱点。只要能够预测和阻止DGA 生成的域名,就可以有效地阻止机器人网络。
  • 数据分析和威胁情报:利用数据分析和威胁情报可以帮助我们了解机器人网络的攻击模式、目标和策略。通过分析这些信息,我们可以更好地预测未来的攻击,并采取相应的防范措施。

2.3.3 个人和组织的安全措施

  • 定期更新软件:软件更新通常包含安全补丁,可以修复已知的漏洞,防止黑客利用这些漏洞进行攻击。
  • 使用强密码:使用强密码可以增加账户的安全性,防止黑客通过暴力破解或字典攻击获取账户权限。
  • 启用防火墙和杀毒软件:防火墙可以阻止未经授权的网络访问,而杀毒软件可以检测和清除恶意软件。
  • 保持警惕,识别钓鱼攻击:学习识别钓鱼攻击的特征,避免点击恶意链接或提供个人信息。
  • 备份重要数据:定期备份重要数据,以便在发生数据丢失或损坏时能够快速恢复。

故事案例 2:小米 CCTV 摄像头安全漏洞事件

2016 年,Mirai 蠕虫攻击了小米制造的 CCTV摄像机,这些摄像机使用默认的工厂密码,容易受到攻击。攻击者利用漏洞,控制了这些摄像机,窃取了视频数据,甚至可以远程控制摄像头。

  • 教训: 这种事件突显了物联网设备的安全问题。许多物联网设备的安全防护措施不足,容易受到攻击。在购买和使用物联网设备时,必须选择安全可靠的产品,并采取相应的安全措施,例如更改默认密码、启用防火墙、定期更新软件等。
  • 关联信息安全主题:攻击者利用默认密码、缺乏安全配置等漏洞,表明安全配置的缺失是导致安全问题的根本原因。完善的安全配置,包括更改默认密码、启用防火墙、定期更新软件等,是保护物联网设备的关键。

3. 信息安全意识的培养

提升信息安全意识是一项持续的过程。我们需要不断学习新的安全知识,提高自身的风险意识。

结论:

网络安全是一个涉及个人、企业和国家安全的重大问题。了解机器人网络和网络安全威胁,并采取相应的安全措施,是保障自身安全的关键。

信息安全意识的培养是构建坚实安全防线的基石。

昆明亭长朗然科技有限公司重视与客户之间的持久关系,希望通过定期更新的培训内容和服务支持来提升企业安全水平。我们愿意为您提供个性化的解决方案,并且欢迎合作伙伴对我们服务进行反馈和建议。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898