深度报告解读 | Bots自动化攻击的六大警示 – 作者:riversecurity

日前,作为国内专注Bots自动化攻击防御的厂商,瑞数信息重磅发布了《2020 Bots自动化威胁报告》。根据瑞数信息多年来在金融、政务、电信、电商等行业的数百例防护案例及第三方公开数据,报告从攻击态势、攻击载体、攻击技术手段等角度对Bots自动化攻击进行解析,为企业深入了解Bots威胁及提升相应的安全防御能力提供了参考。

警示一:政府、金融、运营商、互联网行业成为Bots攻击重灾区

报告显示,政府、金融、运营商和互联网行业是Bots自动化攻击的重灾区,政府行业以超过65%的Bots请求占比位居第一,紧随其后的金融、运营商、互联网行业的平均占比都超过了60%。

图片[1]-深度报告解读 | Bots自动化攻击的六大警示 – 作者:riversecurity-安全小百科

从Bots攻击来源来看,Bots攻击来源最多的省份是江苏,河南、浙江,广东紧随其后。这和当地的IDC、ISP提供商的营销策略不无关系。而来自境外的攻击中,美国以超过75%的占比高居榜首。

图片[2]-深度报告解读 | Bots自动化攻击的六大警示 – 作者:riversecurity-安全小百科

图片[3]-深度报告解读 | Bots自动化攻击的六大警示 – 作者:riversecurity-安全小百科

警示二:难以直接封杀的IP秒拨

作为互联网空间最基础的身份标识,IP一直是黑产和企业争夺对抗最激烈的攻防点。随着黑产技术的快速升级和攻防节奏的加快,秒拨IP资源成为了当下主流的黑产IP资源,被广泛用于批量注册、登录、投票、刷量等短时间内需要大量IP资源的风险场景,而且由于其难以识别的特性,也已经对当前的互联网安全造成了巨大危害。

报告指出,虽然来自IDC机房的IP依然是攻击的主力,但随着对抗的升级,在一些高级别对抗中,IP地址已经在向更为隐蔽、难以直接封杀的家庭IP、基站IP转移。相比传统的IDC代理技术,这些IP地址隐藏在真实的用户中,使得IP信誉检测的效果大打折扣,基于IP的拦截也会投鼠忌器。

图片[4]-深度报告解读 | Bots自动化攻击的六大警示 – 作者:riversecurity-安全小百科

警示三:更隐蔽的Bots身份声明

为提高攻击效率,Bots攻击者不断在尝试利用各种各样的手段来绕过检测措施,比如通过修改User-Agent来隐藏自己真实的身份信息。

通过对Bots的UA进行分析,可以发现Windows是半数以上Bots的首选操作系统(52.3%),而Chrome则是它们最喜欢使用的“马甲”。

图片[5]-深度报告解读 | Bots自动化攻击的六大警示 – 作者:riversecurity-安全小百科图片[6]-深度报告解读 | Bots自动化攻击的六大警示 – 作者:riversecurity-安全小百科

警示四:高歌猛进的APBs

随着各种Bots对抗技术的涌现,很多场景下简单的脚本工具已经没有用武之地,为了绕过各种防护手段,Bots也正由简单脚本向高级持续性机器人(APBs)不断演进。根据观察,APBs产生的流量在总Bots流量中的占比已经达到23.16%,随着对抗的升级,这一比例还会继续上升。

图片[7]-深度报告解读 | Bots自动化攻击的六大警示 – 作者:riversecurity-安全小百科

相对于普通Bots,APBs具备多种多样的“反反自动化攻击”能力,自动更换IP、特征隐藏、拟人化操作、验证码识别等技术已然成为标配。在一些对抗比较激烈的场景,例如薅羊毛、爬虫、抢报名等,APBs已经大规模应用。

图片[8]-深度报告解读 | Bots自动化攻击的六大警示 – 作者:riversecurity-安全小百科APBs进化路线

为了绕过客户端的检测,并对网页中JS等程序进行执行,攻击者会通过自动化框架来完全模拟真实浏览器。据瑞数信息监测统计,目前应用最广泛的是WebDriver类框架,Headless Chrome、PhantomJS、NodeJS等也在大量应用。

图片[9]-深度报告解读 | Bots自动化攻击的六大警示 – 作者:riversecurity-安全小百科

同时,通过瑞数信息动态安全Botgate对客户端真实环境的验证发现,Chrome内核仍然是APBs的首选。

图片[10]-深度报告解读 | Bots自动化攻击的六大警示 – 作者:riversecurity-安全小百科

警示五:更高的0day/Nday漏洞探测利用效率

漏洞的快速曝光和利用给企业带来了极大的威胁。漏洞公布之后,随之而来的漏洞探测会迅速在互联网上批量尝试,几乎所有漏洞利用会在1天之内就被广泛传播。而作为发现后即可立即被利用的安全漏洞,0day漏洞往往具有更大的突发性和破坏性。

随着开源和商业漏洞利用工具的发展,0day/Nday漏洞利用工具的获取难度在持续降低,但工具发布更新的频率却在迅速提升。尤其对于一些重量级的0day漏洞,首次探测高峰已经由POC披露后1周,提前到POC披露之前,这也让企业更加难以有效应对。

图片[11]-深度报告解读 | Bots自动化攻击的六大警示 – 作者:riversecurity-安全小百科

警示六:移动端攻击的崛起

随着企业越来越多的业务系统向移动端迁移,黑客的攻击重心也必须向移动端转移,各类改机工具、破解框架、模拟器、群控、云控、IMEI伪造、GPS伪造等攻击手段层出不穷。

报告显示,移动平台的Bots最大来源城市为成都,南方城市总体较北方城市发起了更多移动端Bots攻击。

图片[12]-深度报告解读 | Bots自动化攻击的六大警示 – 作者:riversecurity-安全小百科

就移动端的攻击载体而言,Bots攻击呈现出对经济成本、系统破解难易度等方面的依赖。市场占有率更高、价格更低廉、破解难度更低的Android系统明显比iOS得到更多Bots攻击者的偏爱。

图片[13]-深度报告解读 | Bots自动化攻击的六大警示 – 作者:riversecurity-安全小百科移动端Bots攻击来源平台分布图片[14]-深度报告解读 | Bots自动化攻击的六大警示 – 作者:riversecurity-安全小百科移动端Bots攻击来源手机品牌分布

目前,Bots自动化攻击正在日益成为攻击者最青睐的攻击形式,免费、简单、高效,是攻击者越来越偏爱自动化的主要原因。黑客论坛或网站上发布的免费自动化脚本工具,以及破坏力极强但却不需要攻击者拥有深厚代码功底的自动化攻击工具都可以为攻击者所用,发起越来越复杂且成功率更高的自动化攻击。

在未来的攻防对抗中,企业也将会面临越来越多的自动化攻击。因此企业在应用及业务安全的防御策略上,除了加强基础风控的建设,也应当将Bots管理纳入其中,借助动态安全防护、AI人工智能、威胁态势感知等新技术,高效防御各类数字时代的新兴威胁。

 

来源:freebuf.com 2020-07-06 16:47:54 by: riversecurity

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论