DynaShield Active Protection ForceShield DNS Changer Botnet 殭屍網路 DAP

DAP技術混淆駭客目標 動態保護網站交易主機

2017-06-28
成立於2013年的新創公司ForceShield,為了補足多數傳統防禦機制無法辨識的機器人與DNS中間人攻擊,自主研發DAP(DynaShield Active Protection),運用動態安全保護機制,藉由破壞攻擊活動執行程序,來防範網站交易、行動App遭受未知型攻擊威脅。

成立於2013年的新創公司ForceShield,為了補足多數傳統防禦機制無法辨識的機器人與DNS中間人攻擊,自主研發DAP(DynaShield Active Protection),運用動態安全保護機制,藉由破壞攻擊活動執行程序,來防範網站交易、行動App遭受未知型攻擊威脅。

隨著連網裝置逐年倍增,可被駭客組織滲透控制的殭屍電腦數量亦隨之增長,從2016年國際間發生的DDoS攻擊,殭屍大軍流量已達到Tb等級,即可略見一斑。駭客組織發動攻擊活動,僅需遠端遙控殭屍電腦來發動,且不僅為DDoS攻擊,亦可藉此自動掃描公開網站的漏洞,來執行各種手法的滲透攻擊,像是SQL Injecting、跨站腳本程式攻擊(XSS)等,進而擴散到企業內網,或是作為攻擊的跳板。

企業為了保護公開網站應用服務免於遭受惡意入侵威脅,常見採用網路應用程式防火牆(WAF)建立防禦,但ForceShield技術長林育民觀察,利用殭屍電腦來執行自動化攻擊已成為主流,目前幾乎有90%流量來自機器人所發動。當然,自動化攻擊手法並非今日才出現,長期以來,駭客通常會先透過自動化工具掃描所有公開網路上的應用系統漏洞,發現標的後再以手動方式執行攻擊指令;如今設計精良的輔助工具相當多,即可藉此遠端控制攻擊行為,顯然已非透過阻擋規則、特徵碼等傳統方法可抵擋。

模擬合法操作模式侵害網站商務交易

▲ ForceShield技術長林育民指出,如今網路流量中充斥大量機器人程式在尋找網頁漏洞,ForceShield自主研發DAP,可基於反向代理架構,運用動態安全保護機制,破壞惡意機器人程序的執行。
攻擊模式轉型採用自動化工具之後,手法變得相當多元,往往難以指出攻擊特徵之處。林育民舉例,近年來的攻擊手法中,相當盛行模擬合法操作模式,利用的是應用服務本身的業務邏輯,來進行損害商務交易。

電子商務業者經常遭遇到,顧客為了搶購或訂票,註冊大量帳號來執行,這種模式雖常見但不致於影響收益;但另一種是藉此佔用庫存,以零成本方式即可破壞產品銷售。通常電子商務平台設計的交易模式,只要商品被點選訂購會連動庫存量減少,因此有心人士只要註冊大量帳號登入後點選訂購,但遲遲不結帳,該商品即自動呈現已完售狀態,導致正常的顧客因此無法訂購。

由於電子商務平台產品品項相當多,為了有能力快速反應市場、滿足顧客需求,後台管理會增設資料分析機制,一旦偵測到商品庫存為零,系統會觸發向供應商下訂單的執行程序,但實際上,前台銷售量只是被惡意霸佔,根本沒有賣出去,最後導致庫存量變得更多。

上述手法或許可根據存取頻率等操作模式來限制,但實際上,現代的攻擊者更聰明,針對追蹤IP位址的機制,會透過租用殭屍電腦來發動以便迴避,費用相當低,甚至根本不用自己控制殭屍網路。此外,操作行為皆為合法,保護措施根本無法分辨正常與異常,也就難以執行攔阻。

攻擊機器人結合中間人蒐集個人隱私獲利

自從去年爆發控制物聯網設備組成殭屍網路發動大規模DDoS攻擊,林育民發現,之後開始陸續出現幾起中間人攻擊,手法是改變無線路由器的設定值。

他進一步說明,消費者普遍欠缺對於安全保護的意識,家用路由器架設後通常未變更登入的帳號與密碼,或是設定為簡單的密碼,如此情況下,駭客根本不需要先探測家用路由器的廠牌,再利用漏洞來滲透,只要基於攻擊工具設定執行猜密碼程序,即可輕易取得家用路由器的控制權,改變DNS Record設定值,同樣可達到DNS Changer(網域名稱系統綁架病毒)竄改網域名稱的效果。也就是把Record指向惡意DNS服務,一旦偵測到使用者發出的連線請求目的位址為網路銀行,隨即導向詢問上層的惡意DNS服務,藉此回覆假冒的網銀IP位址,來騙取帳戶資料。

以前大多是惡意軟體滲透感染主機後,再執行中間人攻擊;現在則轉向滲透入侵家用路由器,修改DNS指向位址到惡意的DNS網站,發動中間人攻擊。手法變化更刁鑽,使用者根本難以察覺與防範。

自動化攻擊機器人為了取得更多利益,變得愈來愈聰明,把機器人結合中間人,來擴展更多惡意行為。若是針對銀行交易行為,利用非約定帳戶轉帳的金額有限,現在較刁鑽的作法是竊取大量帳號與密碼,撰寫自動嘗試登入的程式,登入成功後雖然無法直接轉帳,但是可以爬走交易記錄,蒐集用戶的隱私資料,再轉賣給詐騙集團。

從後端網站到前端App 建立雙向保護

既然攻擊手法已轉變,防禦機制理應也因應調整,才能有效攔阻。而ForceShield DAP動態保護技術,正可加強以往防禦體系力有未逮之處。林育民說明,自動化機器人攻擊手法變化再多,畢竟也是人所撰寫而成的程式,勢必須依照程式運行方式逐步執行。因此,只要破壞機器人其中一項環節,即可讓整起行為無法判斷下一步動作。

ForceShield DAP得以讓網站程式碼動態改變,且無規則可循,讓自動化攻擊工具根本無法猜到網站的邏輯,藉此即可阻擋大部分的攻擊行為。至於正常用戶訪問請求,不需要再增添外掛程式,即可檢查瀏覽器唯一的指紋,以驗證真實狀態,畢竟攻擊工具亦具有假冒正常瀏覽器的執行能力,來迴避偵測,因此ForceShield DAP會進一步查探瀏覽器行為,例如前端是否有鍵盤輸入、滑鼠的點選等生物行為特徵,輔助判斷。

「就架構而言,ForceShield DAP是建置在網站前方的反向代理設備,扮演的角色與部署位置就如同WAF,但是WAF較著重於特徵碼比對分析,或行為規則偵測,欠缺辨識新形態未知攻擊的能力。ForceShield DAP即可協助補強。」林育民說。

此外,針對行動App的保護,ForceShield DAP的設計機制並非採以加殼方式防止被逆向工程拆解,若App是採用HTML 5、WebView來開發設計,即可先透過Javascript檢查驗證;若為原生的App,則需要透過SDK相互整合。

如此一來,即可達到端到端的動態檢查,防止App連線到假冒的伺服器,伺服器亦可防止未經授權的第三方App連線登入,保障雙向安全性。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!