2019八大Bots自動化攻擊新趨勢

2018年全球各地各產業對外數據泄露事件頻傳，總計超過17億次的數據外泄使得后續欺詐問題無孔不入。我們必須意識到，攻擊者目前手中持有的數據信息比以往任何時候都多，身份證、手機號、銀行卡號等都可以成為攻擊者的可信武器。據統計，全球中大型網站目前每分鐘遭受超過7,000次賬戶嘗試登錄攻擊，造成每年高達160億美元的線上詐騙損失，并且這一數字在未來5年內有機會超過480億美元。

同時，伴隨著AI技術、自動化工具的應用及平臺化趨勢的加強，無論是老生常談的漏洞利用、DDoS攻擊、內網安全問題，還是新興涌現的身份欺詐、API濫用、物聯網設備安全風險，都在為2019年的動蕩埋下伏筆。我們相信，2019年必將是網絡安全領域的又一個重要年份。

微信圖片_20191221151550.jpg

2019八大Bots自動化攻擊新趨勢

1. 加速漏洞曝光和利用

盡管目前存在大量已知漏洞，但實際上真正被黑客利用的只有大約6%。未來隨著自動化工具（Bots）的強勢發展和應用，這一比例必將大幅提高。借助自動化工具，漏洞利用攻擊將不再是高級黑客組織的“專屬”，而開始向“低成本、高效率”的趨勢發展。網絡罪犯可以在短時間內，以更高效、更隱蔽的方式對大量不同網站進行漏洞掃描和探測，尤其對于0day/Nday漏洞的全網探測，將會更為頻繁和高效。與漏洞快速曝光，和漏洞被快速利用相對應，則顯現出企業的開發和安全運維人員幾乎無法在合理的短時間內完成打補丁，補漏洞的安全應對。

【瑞數觀察：2018年，在對上百個運營商、金融及政府客戶的網站及重要web應用安全監控發現，90%的系統都被經常性的探測漏洞和掃描。對于0day/Nday漏洞，首次探測高峰已經由POC發布后1周，提前到POC發布前3天。】

2. 助力人工智能（AI）這把雙刃劍

2019年，人工智能（AI）仍然會是網絡安全屆的熱點話題之一。過去勞動密集型和成本高昂的攻擊，已經在基于AI的對抗學習，以及自動化工具的應用下找到新的轉型模式。AI有益于數據挖掘和分析的算法和模型，以及由此帶來的智能化服務，也會被黑產利用，借由自動化的助力，形成更為擬人化和精密化的自動化攻擊趨勢，這類機器人模擬真人的行為會更聰明、更大膽，也更難以追蹤和區別于真人的行為。日前，由中國西北大學、北京大學和英國蘭開斯特大學共同開發的一種人工智能，已經可以在短短0.5秒內破解文本CAPTCHA系統，這或許會成為終結驗證碼時代(人機識別重要技術)的標志，也或許會在未來為網絡罪犯提供新的助力。

【瑞數觀察：某擁有約1200萬活躍用戶數的電商客戶，在其為期5天的App營銷活動中，累計發現異常訪問的設備約84萬個，涉及約120萬個賬號，約占總參與賬號的10%，這些設備和賬號通過模擬器、Android偽裝iPhone、iPhone改機工具、單設備多IMEI號的分身軟件等手段從操作行為、設備特征、手機使用行為特征等各方面模擬真人操作，躲避安全防御手段。該客戶保守估計，若黑產的每個賬號假設可套現10元，如果沒有有力的識別和控制手段，那么黑產可非法獲利金額占營銷總投入達1/3以上。】

3. 身份信息不再只屬于自己

每個人都必須承認，頻繁的數據外泄事件后，特別是酒店、商旅、票務等與個人生活、出行息息相關的應用中的身份信息的大規模泄露事件，我們的身份信息遭暴露、被販賣，并且極易受到進一步的攻擊。但對于網絡罪犯而言，假冒合法身份、建立虛假賬號卻變得前所未有得簡單。結合自動化腳本或工具，網絡罪犯可以輕松利用被曝光的包括登錄名/密碼組合在內的個人數據，在短時間內對數百個不同的網站不斷進行登錄驗證，試圖盜用賬號，乃至發起進一步攻擊并從中獲利或者獲取更多的個人身份關聯信息等有價數據。據統計，自2017年11月初至2018年6月底的8個月內，惡意登錄嘗試總計超過300億次此外，這類攻擊方式本身的變化——從海量易察覺攻擊，轉向由專業化自動工具發起的“低頻率多IP源”的隱形逃避檢測的攻擊——也會給企業機構的安全應對帶來更多難題。

【瑞數觀察：某客戶業務的SSO單點登錄系統，在被保護的750萬請求中，撞庫請求比例高達86%，僅14%為正常的用戶登錄行為，其中，撞庫請求一半以上是通過更換代理IP，或Web_Driver、PhantomJS等高級瀏覽器模擬工具，甚至結合云打碼平臺，進行驗證碼繞過。】

4. “內鬼”悄無聲息的利器

實際上，雖然企業多將大量資源集中用于應對來自外部的網絡攻擊，但相當多的安全事件卻是由內網安全風險引發的。企業內部員工無意或蓄意地利用自動化工具及內網合法權限，拖取內部信息，操縱內網交易，進行大規模數據盜取、建立垃圾賬號的事件屢見不鮮。我們有理由相信，在當前的經濟環境中，面對高價值的企業數據，“內鬼”造成的惡性安全事件會越來越多，而Bots充當了“內鬼”們利用其合法身份，模擬合法業務操作進行竊密的利器。

【瑞數觀察：某省級運營商客戶的內網業務系統，有8000多個企業及合作伙伴賬號，發現近2000個業務賬號有工具化的業務操作、數據查詢等行為，這些采取外掛方式進行的業務訪問常常通過VPN方式接入訪問，從IP上難以識別和控制，具有隱蔽性，是有高風險和違規的行為。】

5. API濫用的推手

API安全性早已躋身OWASP十大排行榜，并且仍有極大可能蟬聯。據調查，目前每個企業平均管理363種不同的API，其中69%的企業會將這些API開放給公眾和他們的合作伙伴。盡管開放API、統一API接口等模式承擔著拓寬企業技術和服務生態系統的責任，但這同時也為攻擊者利用自動化工具大量調用API提供了更簡單、更高效的途徑，甚至能被用于暴力攻擊、非法第三方App、網絡釣魚和代碼注入等一系列威脅，并借由統一平臺產生倍數級的破壞。對于API接口濫用行為的監測發現需求將愈加凸顯。

【瑞數觀察：某省級運營商的一個互聯網業務，有300-500個API接口；某省級政府的60多個網站應用中，涉及各類API接口竟達到上萬個，而這些龐大的API接口都存在這API濫用的巨大風險。】

6. DDoS攻擊更大規模、更快速度

盡管DDoS攻擊是一個非常古老的安全威脅，但它從未停止。2018年12月間，由黑客組織“匿名者（Anonymous）“發起的代號為”Oplcarus2018”的DDoS攻擊行動，波及全球各國金融機構；企業仍然很難保護他們的在線資源免受攻擊。更令人不安的是，2019年，隨著自動化攻擊工具的廣泛散播和大量物聯網設備成為攻擊跳板，DDoS攻擊的體量規模和蔓延速度都會上升到一個新的水平。

【瑞數觀察：以某大銀行遭遇的DDoS攻擊為例，在30分鐘之內遭到近500萬次的應用層DDoS攻擊；抗D設備因無法處理SSL/TLS流量，幾乎毫無防護效果；WAF設備雖能阻擋部分攻擊，但由于攻擊來源極為分散，防護效果并不顯著。當Bots發起的DDoS攻擊，從網路層轉向加密的應用層流量時，為企業網站的安全防護帶來了巨大挑戰】

7. 智能家電成為藏在每個人家中的安全隱患

2018年下半年，數千臺MikroTik路由器遭到攻擊，悄然變成挖掘數字加密貨幣的礦工。但這只是一個開始。ACIConsumerGram分析顯示83%的路由器設備均存在安全漏洞問題，因此我們相信，在新的一年中，越來越多的家庭路由器將會被攻擊者利用，提供如捕獲敏感數據、安裝惡意程序、DDoS攻擊、挖礦等服務。隨著物聯網設備的多樣化，網絡罪犯者還會利用被感染的路由器，將攻擊范圍延伸至所有與其相關聯的IoT設備，形成跨平臺攻擊，被感染的IoT設備甚至可被當作向內網發動竊密、挖礦劫持等進一步攻擊的跳板。這類破壞比計算機本身受到攻擊更難修復。此外，設備一旦被感染，用戶往往難以察覺。

【瑞數觀察：某部署于外網的物聯網設備，部署后的第一天即遭到100余次的掃描探測，第二天遭到上千次的密碼猜測及漏洞攻擊，該設備于上線40小時后被Bot攻陷并被植入惡意代碼。此外，瑞數也觀察到跨平臺的攻擊正在高速增長，Bot通過內網的電腦或手機，攻擊在內網的物聯網設備；使得不再只有部署在外網的物聯網設備會受到攻擊，在內網的物聯網設備也正在成為黑客的攻擊熱點】

8. 安全對抗升級促使攻擊手段進化

隨著自動化攻擊與安全防護之間對抗的不斷升級，提供各類對抗服務的黑灰產組織也越來越多，各類服務例如代理IP服務、圖形驗證碼識別、短信驗證碼代收、群控設備池、賬號提供商等等，可以輕易獲取。大部分傳統Bots防護手段被輕松穿透，與此同時又催生了更具擬人特點的全新Bots攻擊，這些惡意Bots會通過使用模擬器、偽造瀏覽器環境、UA、分布式IP等給系統安全帶來極大威脅。

【瑞數觀察：對多家信息公開查詢類系統用戶日志分析，發現單一爬蟲組織每天可以使用的IP超過100萬，單一IP在使用數十次后即丟棄；圖形驗證碼識別時間少于0.5秒】

瑞數安全專家建議：

部署針對Bots自動化威脅的防御新技術

將Bots管理納入到企業應用和業務威脅管理架構中，部署能針對自動化威脅進行防護的新技術，結合多重變幻的動態安全防護、威脅態勢感知及人工智能技術，防止漏洞利用、擬人化攻擊等多類應用安全問題，構建集中于商業邏輯、用戶、數據和應用的可信安全架構。

加強Bots管理

Bots的出現，一方面為企業提供了便利的服務，例如搜索引擎、應用可用性和性監測服務、信息內容監控服務等。另一方面也會有一些組織、機構、個人，借助互聯網、手機、物聯網等形成的Bots，對數據資產進行惡意抓取，給企業安全、信譽造成潛在威脅。大量游走在Good和Bad之間的Bots不容忽視，通過Bots識別、提高成本、可視化展示等多維度對各類Bots進行管理。