《网络安全知识体系》
对抗行为(十):
恶意操作的要素之基础设施
基础设施
犯罪分子成功运营所需的另一个重要因素是在哪里托管其基础设施。这对于联盟计划(例如,在何处托管欺诈性购物网站)以及僵尸网络运营都很重要。执法部门和互联网服务提供商(ISP)正在持续监控服务器以查找恶意活动的证据,如果发生这种情况,则会将其删除活动可以得到证实,这将使犯罪行动处于危险之中。
为了最大限度地提高其运营长期存在的机会,网络犯罪分子诉诸于使用所谓的防弹托管服务提供商。众所周知,这些提供商不遵守执法删除请求。这可以通过位于网络犯罪立法宽松的国家/地区,或者通过服务提供商运营商积极贿赂当地执法部门来实现。防弹托管服务提供商通常向客户收取比常规ISP更多的钱。因此,它们成为非法活动的热点,因为恶意用户因其保证而聚集在那里,但合法用户没有动力使用它们。尽管为网络犯罪分子提供了更高的保证,但防弹托管服务提供商并非不可战胜。特别是,ISP需要相互连接才能路由流量,并且唯一托管恶意内容的ISP可以被其他提供商断开连接而不会产生许多后果。用于合法的互联网流量。
僵尸网络需要命令和控制(C&C)基础设施,可以指示受感染的计算机连接到,接收订单并报告恶意操作的进度。最初,僵尸网络将使用单个命令和控制服务器,尽管这将是单点故障。即使假设服务器由防弹托管服务提供商托管,因此无法删除,服务器具有唯一IP地址的事实也意味着它很容易被安全公司列入黑名单。
为了缓解这个问题,网络犯罪分子提出了冗余且更难拆除的C&C基础设施。一个例子是多层僵尸网络基础设施,其中机器人被指示连接到中间的C&C服务器,然后负责将信息中继到中央控制服务器。这种基础设施使僵尸网络更具弹性,因为即使一些中继被关闭,中央C&C仍在运行,并且可以添加额外的中继。此外,受感染的计算机永远不会看到中央C&C服务器的IP地址,这使得定位和删除变得更加困难。这种模型的一个变体是点对点僵尸网络,其中具有特别好的连接和公共IP地址的受感染计算机被“选择”充当中继。这种基础设施增加了犯罪分子的可词汇性并降低了操作成本,因为犯罪分子不必花钱安装继电器。然而,僵尸网络基础设施变得容易受到渗透,研究人员可以创建虚假的机器人,被选为中继,从而突然能够监控和修改来自中央C&C的流量。
网络犯罪分子用来使其控制基础设施更具弹性的其他技术是FastFlux,犯罪分子使用与C&C基础设施相关的多个服务器,以及快速轮换它们以使删除更加困难,而DomainFlux,其中与C&C服务器关联的域名也快速轮换。这两种方法都有效地使操作更具弹性,但它们也使犯罪分子的操作成本更高(即,他们必须购买更多服务器和域名)。
原文始发于微信公众号(祺印说信安):网络安全对抗行为(十):恶意操作的要素之基础设施
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论