在這篇博文中，我們探討了使用撞庫(kù)攻擊的機(jī)器人攻擊組織的數(shù)量如何增加，以及為什么需要了解它們以更好、更安全地緩解它們。

了解機(jī)器人和僵尸網(wǎng)絡(luò)

當(dāng)我們說(shuō)“機(jī)器人正在執(zhí)行攻擊”時(shí)，機(jī)器人這個(gè)術(shù)語(yǔ)到底是什么意思？“Bot”只是“機(jī)器人”的簡(jiǎn)稱(chēng)，機(jī)器人以執(zhí)行自動(dòng)任務(wù)而著稱(chēng)。這正是機(jī)器人所做的，但這里的任務(wù)是數(shù)字/互聯(lián)網(wǎng)相關(guān)的。機(jī)器人將執(zhí)行程序員可以為其編寫(xiě)腳本并導(dǎo)致該任務(wù)自動(dòng)化的任何活動(dòng)。想看看 PS5 是否補(bǔ)貨？編寫(xiě)一個(gè)腳本來(lái)每小時(shí)檢查一次商店頁(yè)面，瞧！您已經(jīng)創(chuàng)建了一個(gè)“機(jī)器人”。

存在許多示例，其中人們利用腳本技能自動(dòng)執(zhí)行日常任務(wù)，從而以更少的努力提高效率。但就像生活中的一切一樣，不良行為者利用相同的技能來(lái)開(kāi)發(fā)執(zhí)行惡意任務(wù)的機(jī)器人。其中包括 DoS/DDoS 攻擊、目錄模糊測(cè)試、價(jià)格抓取、網(wǎng)站爬蟲(chóng)/蜘蛛，以及許多其他惡意活動(dòng)。由機(jī)器人執(zhí)行的此類(lèi)惡意活動(dòng)之一是撞庫(kù)攻擊，這是每年多個(gè)組織面臨漏洞的主要原因，我們將在以下部分深入探討。

讓我們多談?wù)剻C(jī)器人。執(zhí)行機(jī)器人活動(dòng)的單個(gè)系統(tǒng)可能不足以進(jìn)行成功的攻擊。當(dāng)今的 Web 應(yīng)用程序具有如此高的可擴(kuò)展性，以至于它們可以毫無(wú)問(wèn)題地承受大量流量。將負(fù)載均衡器、CDN 等添加到等式中，事情變得更加安全。

為了產(chǎn)生大量流量，使用了多個(gè)機(jī)器人，使它們成為“機(jī)器人網(wǎng)絡(luò)”或“僵尸網(wǎng)絡(luò)”。這些機(jī)器人由稱(chēng)為“命令和控制 (C&C) 服務(wù)器”的中央系統(tǒng)控制，該系統(tǒng)由機(jī)器人處理程序管理。這些機(jī)器人只是之前被攻擊活動(dòng)利用的受損設(shè)備，通常利用流行的漏洞（有趣的是，這些受損機(jī)器也被稱(chēng)為“僵尸”，因?yàn)樗鼈兪鞘褂眠h(yuǎn)程訪問(wèn)控制的）。在談?wù)摍C(jī)器人攻擊時(shí)，Mirai 僵尸網(wǎng)絡(luò)是一個(gè)非常常用的名稱(chēng)，因?yàn)?Mirai 在 2016 年底通過(guò)大量受損的智能設(shè)備將主要組織作為目標(biāo)。

在全球范圍內(nèi)，僵尸網(wǎng)絡(luò)對(duì)安全專(zhuān)業(yè)人員造成滋擾的例子不勝枚舉。機(jī)器人執(zhí)行的一種此類(lèi)攻擊稱(chēng)為憑據(jù)填充，我們將在下一節(jié)中介紹。

憑據(jù)填充：如何以及為什么

攻擊者暴力破解是安全行業(yè)面臨的一個(gè)由來(lái)已久的問(wèn)題。顧名思義，暴力攻擊包括一種嘗試盡可能多的組合的命中和試驗(yàn)方法，希望至少獲得一個(gè)真正的肯定。

憑據(jù)填充本質(zhì)上是一種與其他任何技術(shù)一樣的蠻力技術(shù)，但具有某些優(yōu)勢(shì)。暴力破解主要有兩種類(lèi)型：純暴力破解和基于字典的暴力破解。純暴力嘗試所有可能的組合，使其成為效率最低的技術(shù)，這是它未被廣泛使用的主要原因。基于字典的攻擊使用可能的密碼列表（除了檢索密碼之外可能還有其他暴力破解的動(dòng)機(jī)），如果列表中存在正確的密碼（也稱(chēng)為“單詞表”）。

憑據(jù)填充是一種基于字典的攻擊形式——除了字典是從第三方服務(wù)竊?。ɑ蛴袝r(shí)購(gòu)買(mǎi)）的密碼列表。這些密碼或憑據(jù)可以從成功的數(shù)據(jù)庫(kù)泄露、密碼轉(zhuǎn)儲(chǔ)中收集，或者從暗網(wǎng)論壇購(gòu)買(mǎi)！無(wú)論來(lái)源如何，攻擊者都依賴(lài)于使憑據(jù)填充成為噩夢(mèng)的人為弱點(diǎn)：密碼重用。如今，大多數(shù)互聯(lián)網(wǎng)用戶(hù)都有一個(gè)密碼，可用于多個(gè)帳戶(hù)和服務(wù)。如果這些服務(wù)中的任何一項(xiàng)遭到破壞，則可能意味著其他帳戶(hù)可能受到威脅！這使得憑據(jù)填充成為一個(gè)大問(wèn)題，這就是它取代傳統(tǒng)字典攻擊的原因。

緩解措施

并非每次攻擊都可以阻止，但總有機(jī)會(huì)阻止大多數(shù)攻擊。讓我們來(lái)看看一些可能表明機(jī)器人正在敲門(mén)而不是合法用戶(hù)的指標(biāo)：

• 登錄時(shí)間異常：用戶(hù)通常在早上登錄的一項(xiàng)服務(wù)是否在午夜時(shí)分受到重?fù)?？您可能只是撞?kù)攻擊的目標(biāo)。確保監(jiān)控任何非預(yù)期的登錄活動(dòng)。
• 流量模式：如果您看到流量從多個(gè) IP 涌入，每個(gè) IP 發(fā)出相同（或幾乎相同）數(shù)量的請(qǐng)求，則可能指向腳本機(jī)器人活動(dòng)。這些機(jī)器人的配置方式是它們發(fā)送一定數(shù)量的請(qǐng)求，以免觸發(fā)任何警報(bào)，但有時(shí)會(huì)出現(xiàn)像拇指酸痛一樣突出的流量模式，表明存在惡意。
• 請(qǐng)求異常：收到具有 Chrome 49 用戶(hù)代理指紋的登錄請(qǐng)求？可能是非人類(lèi)互動(dòng)的跡象。大多數(shù)實(shí)際用戶(hù)都在使用最新版本的瀏覽器（可以是任何瀏覽器），如果不是最新的，至少也是相當(dāng)新的版本。來(lái)自過(guò)時(shí)或停產(chǎn)瀏覽器版本的請(qǐng)求表明存在可疑之處。同樣，可以發(fā)現(xiàn)更多差異：缺少 HTTP 標(biāo)頭、異常的 HTTP 版本等。
• 高速率活動(dòng)：機(jī)器人可以在一秒鐘內(nèi)發(fā)送多個(gè)請(qǐng)求，因?yàn)樗鼈兺ㄟ^(guò)其憑據(jù)詞表。普通用戶(hù)可能會(huì)發(fā)送 1 次或 2 次登錄請(qǐng)求，這也不會(huì)在一秒鐘內(nèi)發(fā)生?？焖龠B續(xù)出現(xiàn)多個(gè)請(qǐng)求是暴力破解的明顯跡象。

這些觀察結(jié)果可能是成功攻擊和成功阻止攻擊之間的決定性因素。整理數(shù)據(jù)、分析數(shù)據(jù)并根據(jù)對(duì)您的基礎(chǔ)設(shè)施和庫(kù)存的流量行為部署緩解措施是抵御這些攻擊的必要過(guò)程。這并不是在防止機(jī)器人攻擊時(shí)要考慮的詳盡參數(shù)列表，因?yàn)槟冀K可以微調(diào)您的緩解方法以使其更加精細(xì)，同時(shí)減少誤報(bào)/誤報(bào)的數(shù)量。

結(jié)論：不斷進(jìn)化的機(jī)器人

TrickBot對(duì) RDP 實(shí)例執(zhí)行憑證填充造成了嚴(yán)重破壞。Chimera組織破壞了多個(gè)帳戶(hù)、暴力破解遠(yuǎn)程帳戶(hù)，以及在過(guò)去（甚至今天）執(zhí)行撞庫(kù)攻擊的更多實(shí)例。這些機(jī)器人永遠(yuǎn)在進(jìn)化。

昨天用來(lái)阻止攻擊的規(guī)則明天可能就過(guò)時(shí)了。從單一的終端命令到模仿人類(lèi)用戶(hù)，機(jī)器人在復(fù)雜性和功能方面已經(jīng)取得了長(zhǎng)足的進(jìn)步，但我們可以使用的工具也是如此。軟件智能與熟練的人類(lèi)智能相結(jié)合，無(wú)論機(jī)器人如何自我改造，都會(huì)有辦法阻止它們。

機(jī)器人攻擊正在增加，需要不斷分析其作案手法及其變化方式。我們希望本文能實(shí)現(xiàn)其目的，提供針對(duì)機(jī)器人程序和相關(guān)攻擊（尤其是撞庫(kù)）的見(jiàn)解，并在此過(guò)程中拓寬您的安全視野！