自動化帶動暗黑網路經濟
自動化是網路犯罪分子從事犯罪重要步驟之一,網路犯罪分子在黑市暗網上提供自動化功能的服務交易,逐漸形成地下網路經濟,除了更快達成機器自動學習的目的,也加速網路攻擊前的重要跳板與成形。
AutoSploit 是一個可以大規模自動收集目標並遠端滲透的工具,利用遠端主機,透過進階搜索引擎(如:Shodan或Zoomeye)來收集特定目標,輸入特定入侵候選列表。一旦駭客選擇了攻擊設備,AutoSploit就會利用Metasploit等滲透工具,將目標與相關漏洞進行自動配對,直到找到入侵口,進而在有漏動的設備上觸發攻擊,然後使用代理伺服器進行回報,防止流量追溯。
SWARM蜂群網路的興起
因為許多攻擊工具是開放源始碼,即使是技術能力有限的人,也幾乎可以透過黑市上販售的完全自動化工具,從事定位和發起攻擊。自動化的使用將對現在或未來的網路犯罪產生極大影響,而且投資報籌率也是攻擊技術發展的關鍵因素,透過機器學習和專門的Swarmbots的組合、分佈式、分散式與自主式資源幫助網路犯罪分子增加發動攻擊機會,增加獲利能力。
作為一個企業化的運作,網路犯罪集團使用和資源投資的方式與合法企業的做法相同。他們購買、建構或重用現有漏洞,這些類似企業化的的決策,例如人力、技能、財務和工具,來決定他們要發起進攻的類型,製作風險評估與 ROI 的決策。
例如,如果他們沒有發現任何新的程式漏洞來從事零日攻擊(或稱零日漏洞或零時差漏洞),他們可能會研究開發新的攻擊方式,不過,直接在黑市暗網上購買一個攻擊方法可能更節省成本。一個網路犯罪集團要在所有攻擊鏈上都表現出色不是件容易的事情,這就是為什麼今天網路犯罪分子傾向於專注某個特定領域,編寫自己的工具或管理數據,然後在開放源始碼市場上的進行交易與資源整合。
像AutoSploit這樣的自動化工具插入受損設備,攻擊將成為系統的一部分。因為使用人力來控制大型網路在反應時間方面效率極低,所以自動化能減少監視的時間與開銷,大符降低成本,特別是當攻擊目標分佈於不同作業系統與混和的不同設備上,需要單獨的機制來啟動漏洞利用、提供有效載荷、exfiltrating數據,以及對檢測的反應。
結論
網路犯罪分子有兩種選擇,首先是降低開發殭屍網路的成本,另一個是開發更強大的殭屍網路。雖然第一種選擇可能看起來更容易,也更有可能,但需要考慮黑市暗網中存在專業工具的數量,這意味著某些群體可能已經開始將分散式殭屍網路作為業務販售。
可以肯定的是,我們必須對下一步的發展保持開放態度。攻擊者總是能找到創造性的方式來入侵實施攻擊。但是透過仔細的跟踪和分析,了解網路攻擊者所依賴的經濟模型,我們可以繼續對他們發展的方向做出有根據的預測。透過這樣做,我們可以主動為自己提早預測相關的保護計劃。
關於Fortinet (www.fortinet.com)
Fortinet (NASDAQ: FTNT)保護全球大型企業、服務供應商和政府組織。Fortinet賦予客戶完善的智能型安全防護,即使現今受攻擊面不斷地擴大;同時提供強大的能力滿足無邊界網路持續增加的效能需求,不論是現在或未來。唯有Fortinet的安全織網(Security Fabric)架構能擁有毫不妥協的安全防護,因應最嚴苛的安全挑戰,無論是在網路、應用程式,或是雲端和行動環境中。Fortinet的安全設備目前出貨量全球排名第一,超過35萬個客戶信任Fortinet來保護他們的企業。更多有關Fortinet的資訊,請瀏覽:www.fortinet.com/tw、m.fortinet.com.tw、Fortinet Blog,或是FortiGuard Labs。