网络安全对抗行为(十):恶意操作的要素之基础设施

admin 2022年8月18日07:57:06安全闲碎评论3 views1169字阅读3分53秒阅读模式

《网络安全知识体系》

对抗行为(十):

恶意操作的要素之基础设施


基础设施

犯罪分子成功运营所需的另一个重要因素是在哪里托管其基础设施。这对于联盟计划(例如,在何处托管欺诈性购物网站)以及僵尸网络运营都很重要。执法部门和互联网服务提供商ISP)正在持续监控服务器以查找恶意活动的证据,如果发生这种情况,则会将其删除活动可以得到证实,这将使犯罪行动处于危险之中。

防弹托管服务提供商。

为了最大限度地提高其运营长期存在的机会,网络犯罪分子诉诸于使用所谓的防弹托管服务提供商。众所周知,这些提供商不遵守执法删除请求。这可以通过位于网络犯罪立法宽松的国家/地区,或者通过服务提供商运营商积极贿赂当地执法部门来实现。防弹托管服务提供商通常向客户收取比常规ISP更多的钱。因此,它们成为非法活动的热点,因为恶意用户因其保证而聚集在那里,但合法用户没有动力使用它们。尽管为网络犯罪分子提供了更高的保证,但防弹托管服务提供商并非不可战胜。特别是,ISP需要相互连接才能路由流量,并且唯一托管恶意内容的ISP可以被其他提供商断开连接而不会产生许多后果。用于合法的互联网流量。

网络安全对抗行为(十):恶意操作的要素之基础设施

命令和控制基础结构。

僵尸网络需要命令和控制(C&C)基础设施,可以指示受感染的计算机连接到,接收订单并报告恶意操作的进度。最初,僵尸网络将使用单个命令和控制服务器,尽管这将是单点故障。即使假设服务器由防弹托管服务提供商托管,因此无法删除,服务器具有唯一IP地址的事实也意味着它很容易被安全公司列入黑名单。

为了缓解这个问题,网络犯罪分子提出了冗余且更难拆除的C&C基础设施。一个例子是多层僵尸网络基础设施,其中机器人被指示连接到中间的C&C服务器,然后负责将信息中继到中央控制服务器。这种基础设施使僵尸网络更具弹性,因为即使一些中继被关闭,中央C&C仍在运行,并且可以添加额外的中继。此外,受感染的计算机永远不会看到中央C&C服务器的IP地址,这使得定位和删除变得更加困难。这种模型的一个变体是点对点僵尸网络,其中具有特别好的连接和公共IP地址的受感染计算机被“选择”充当中继。这种基础设施增加了犯罪分子的可词汇性并降低了操作成本,因为犯罪分子不必花钱安装继电器。然而,僵尸网络基础设施变得容易受到渗透,研究人员可以创建虚假的机器人,被选为中继,从而突然能够监控和修改来自中央C&C的流量。

网络犯罪分子用来使其控制基础设施更具弹性的其他技术是FastFlux,犯罪分子使用与C&C基础设施相关的多个服务器,以及快速轮换它们以使删除更加困难,而DomainFlux,其中与C&C服务器关联的域名也快速轮换。这两种方法都有效地使操作更具弹性,但它们也使犯罪分子的操作成本更高(即,他们必须购买更多服务器和域名)。

原文始发于微信公众号(祺印说信安):网络安全对抗行为(十):恶意操作的要素之基础设施

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月18日07:57:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络安全对抗行为(十):恶意操作的要素之基础设施 http://cn-sec.com/archives/1241394.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: