想了解整體威脅環境可以從各種來源來收集資料。其中一種有用的做法是檢視命令和控制(C&C)伺服器的各種活動,像是用在殭屍網路、針對性攻擊,或是用在攻擊更廣泛目標的一般使用者。
我們可以結合各種威脅情報來源,包括了趨勢科技的主動式雲端截毒技術,進而一窺C&C伺服器的活動。(這些都可以在全球殭屍網路地圖上即時顯示)。以下的發現呈現出我們在整個2014年所收集的資料。我們可以看到C&C伺服器位置、端點位置,以及使用這些伺服器的惡意軟體家族。
那我們可以從這些數字中學到什麼?以及IT專業人士能夠幫忙減輕這類威脅嗎?
惡意軟體使用更多方法來確保伺服器通訊暢通
我們評量了最常用的惡意軟體家族,根據和這些惡意軟體家族相關的命令和控制伺服器數量來加以衡量。在所有的C&C伺服器活動中,以下是最常見的惡意軟體家族:
- CRILOCK
- RODECAP
- ZEUS
- FAKEAV
- BLADABINDI
而在APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊中,這是最常見的惡意軟體家族:
- DARKCOMET
- XTREME
- NJRAT
- GHOSTRAT
- START
從這些數字中可以看出一些趨勢:
- 像CRILOCK這樣利用網域生成演算法(DGA)的惡意軟體家族是很好的代表,凸顯出它們的普及程度。儘管其行為有所差異(加密勒索軟體或資料竊取),但是DGA很受歡迎,因為攻擊者只需要額外的少許精力就可以讓封鎖惡意網域變得更加困難。
- 受駭網站也是常見的C&C伺服器。ZeuS/ZBOT和RODECAP都會利用受駭網站作為C&C伺服器,而且它們兩個惡意軟體家族都會廣泛地利用此種特殊做法。
- 同樣地,免費網路代管服務供應商和動態IP重新導向服務也常被一些惡意軟體家族利用,像是NJRAT和DarkComet。
- 許多最初被用在針對性攻擊的遠端存取工具(RAT)現在也用在各種網路犯罪攻擊中。這顯示出這些遠端存取工具的供應量增加,以及註冊和設立C&C網域的低進入門檻。
綜合起來,這些發展顯示出攻擊者如何採用更多技術來試圖混淆其控制下的C&C伺服器。好讓對這些攻擊的鑑識分析變得更加困難,使得進行偵測和找出源頭產生問題。
伺服器所在位置
攻擊者企圖去混淆攻擊,讓透過C&C伺服器來找出攻擊幕後黑手變得十分困難。結果就是,想要只靠C&C伺服器位置來找出源頭並不可靠。必須獲得進一步的威脅情報才能夠真正做出結論。
我們對C&C伺服器位置的調查結果也反映了這一點:大多數C&C伺服器並非位在被視為網路犯罪避風港的國家。相反地,它們反映了廣泛的網路狀況:擁有豐富基礎設施去代管任何類型服務的國家深受網路犯罪份子歡迎。
表1、C&C伺服器位置(所有C&C活動)
表2、C&C伺服器位置(只包括針對性攻擊)
受駭伺服器的影響
受駭伺服器的所有者應該要了解到自己的系統被濫用為命令和控制伺服器對自己的網路可能造成的影響。其中包括了:
可能對伺服器/組織造成的資料竊取
伺服器可能含有或有權去存取珍貴的公司資料,這對攻擊者來說很有價值。一個被攻擊者控制的伺服器會讓資料輕易地被竊走。
此外,受駭伺服器可能被攻擊者作為跳板來進行橫向移動。攻擊者控制下的伺服器是進入網路的珍貴立足點;可能導致更慘重的大規模資料外洩。
干擾正常服務
在伺服器上出現C&C軟體可能會影響到正常的應用程式,因為其會用光正常程式所需的CPU和記憶體資源。可能讓服務出現延遲、停滯或完全停擺。
濫用未來資源
不了解網路內部C&C活動狀況的管理者可能會投入資源來加以改善,這這並無法達到幫助公司業務的要求。結果是幫助了攻擊者而非公司本身(因為攻擊者將獲得更好的資源來進行自己的攻擊活動)。
偵測C&C通訊的重要性
C&C基礎設施是犯罪準備用攻擊包的重要部分,因為攻擊者需要在自己和受害者的網路間建立專屬連線。這也代表著它是打破感染鏈的關鍵機會。趨勢科技將C&C通訊偵測功能整合到我們今日大多數的解決方案中,包括OfficeScan、Deep Security、Deep Discovery、郵件和閘道解決方案,因為C&C系統可能位在網路內的任何地方。這一層附加防護可以讓我們的客戶去識別新感染源,迅速解決可能的入侵外洩事件。
總結
網路犯罪分子和其他惡意份子都在混淆C&C伺服器位置上有了顯著的進步。這也代表想要只靠C&C伺服器位置來找出攻擊幕後黑手是有問題的;必須要有額外的威脅情報(如果有的話)才能做出正確的歸因。
隱藏C&C伺服器位置的能力從我們的資料中可見一斑。伺服器位置大致都符合支援大量伺服器,網路基礎設施發達的國家。
@原文出處:Investigating and Detecting Command and Control Servers