荷兰警方与国家网络安全中心(NCSC)最近针对一个庞大的僵尸网络基础设施执行了协同打击。此次行动查封了位于荷兰境内的200多台服务器。这些服务器是一个在全球范围内奴役了1700万台设备的网络的后端。这次拆除行动的规模,对每一位依赖传统IP信誉进行边界防御的首席信息安全官(CISO)都是一个警告。
在过去的二十年里,我见过许多僵尸网络,但这个特定网络的性质有所不同。它是合法服务与恶意意图共存于同一架构空间的增长趋势的一部分。报告将该基础设施与住宅代理提供商 Asocks 联系起来。Asocks 与 HUMAN Satori 团队发现的 PROXYLIB 战役之间的联系,说明了威胁模型的明显转变。攻击者不再需要构建自己的定制交付系统,他们只需通过商业订阅即可购买数百万个干净的住宅 IP 的访问权。
住宅代理僵尸网络的运作机制
要了解风险,必须了解这1700万台设备是如何加入网络的。在 PROXYLIB 战役中,恶意软件通常通过 LumiApps 等代理软件 SDK 进入安卓(Android)设备。这些 SDK 经常嵌入在看似无害的应用程序中。用户一旦安装该应用,设备就变成了 Asocks 网络中的一个节点。用户的带宽被出售给第三方。虽然用户可能认为这是一种赚取几分钱或访问免费应用的方式,但现实是他们的设备现在正在为恶意流量提供便利。
Asocks 平台宣传访问这些设备的费用低至每月 5 美元。这种极低的准入门槛改变了攻击的经济学。根据我审计企业网络的经验,我看到了大量的撞库攻击(Credential Stuffing)和抓取(Scraping)尝试。当这些尝试源自数据中心时,很容易被拦截。但当它们源自1700万个独特的住宅设备时,传统的 WAF 规则就成了负担。住宅设备默认具有较高的信誉,因为它们看起来像合法的客户。
挑战住宅信任的假设
当今网络安全中最危险的假设是,来自住宅 ISP 的流量本质上比来自数据中心或 VPN 的流量更安全。多年来,安全厂商一直在推销“住宅”等于“人类”的理念。这次拆除行动证明,1700万台住宅设备是犯罪基础设施的一部分。我认为我们必须反转我们的信任模型。当住宅 IP 地址以自动化方式运行周期时,它现在就是一个高风险信号。
大多数传统安全架构使用基于 IP 的速率限制。如果一个 IP 发送了过多的请求,系统就会拦截它。然而,拥有1700万台设备的资源池,攻击者可以为每一个请求轮换 IP。没有任何一个 IP 会达到速率限制阈值。攻击对于基础监控工具来说是隐形的。这种访问不对称性允许攻击者在进行大规模行动时保持隐蔽。如果你的防御策略依赖于识别“坏”IP,那么你正在打一场已经输掉的战争。
对企业架构的影响
荷兰拆除 200 台服务器提供了暂时的缓解,但潜在的漏洞仍然存在。这些设备仍在野外。恶意软件仍存在于数百万台平板电脑、智能手机和物联网(IoT)设备中。这对你的架构意味着,边界不再是过滤器——它是一个筛子。
我们必须转向行为验证模型。系统不应询问“这个请求来自哪里?”,而必须询问“这个请求在做什么?”。这需要对应用层行为进行深度检测。如果一个住宅 IP 访问 API 的频率或序列与典型的人类行为不符,系统必须触发挑战,例如工作量证明(Proof-of-Work)或复杂的验证码(CAPTCHA)。
微隔离(Microsegmentation)是内部防御唯一可行的路径。如果网络中的设备成为像 PROXYLIB 这样的僵尸网络的一部分,其主要目标通常是横向移动或数据外泄。在许多企业环境中,访客 Wi-Fi 上受感染的智能手机可以直接访问内部服务器 VLAN。我曾进行过渗透测试,其中一个受损的物联网打印机就提供了转储域控制器所需的立足点。你必须将网络上的每台设备都视为 1700 万强僵尸网络中的潜在节点。
物联网和未打补丁边缘设备的隐藏风险
NCSC 指出,僵尸网络通常通过未打补丁的边缘设备和弱密码获得访问权限。这是许多组织仍然忽视的基本卫生问题。路由器和物联网设备是最薄弱的环节,因为它们通常缺乏托管工作站上的遥测数据。笔记本电脑有 EDR 代理,而智能温控器没有。
在我担任 CISO 期间,我发现安全工作中最难的部分不是复杂的零日漏洞利用。而是成千上万个在网络上缓慢积累的小型、非托管设备。每一个都是潜在的代理节点。当荷兰当局拆除 Asocks 后端时,他们并没有修复易受攻击的设备。他们只是移除了命令与控制(C2)机制。新的威胁行为者不可避免地会扫描这些相同的漏洞来构建下一个网络。
未来12个月的行动计划
在这种环境下的生存取决于比攻击者轮换其基础设施的速度更快。我建议 CISO 和 CTO 在明年采取以下步骤,以应对大规模代理僵尸网络带来的系统性风险。
- 审计对外 IP 信誉规则: 审查你的 WAF 和机器人缓解设置。如果你将住宅 IP 范围列入了白名单,或者对它们的审查较松,请立即删除这些规则。无论源 IP 信誉如何,都要实施“始终验证”的方法。
- 实施应用层指纹识别: 部署能够根据执行模式而非 IP 地址识别自动化浏览器和机器人的工具。寻找 TLS 握手和 HTTP 标头中的不一致性。
- 强制执行严格的微隔离: 将物联网和访客设备与生产环境隔离。采用零信任架构,每个内部连接都需要显式的身份验证和授权。受损的智能手机绝不能有能力扫描内部网络。
- 扫描企业资产中的代理软件: 使用 EDR 和 MDM 工具扫描已知的代理软件 SDK 和提供带宽共享“被动收入”的应用。制定明确禁止在任何访问企业数据的设备上安装这些应用的策略。
- 轮换边缘凭据并更新固件: 对所有边缘设备进行全面审计,包括远程员工使用的家庭办公室路由器。确保它们运行最新的固件,并将默认密码更改为复杂的唯一字符串。
- 监控出站流量的代理模式: 寻找指向已知代理提供商域名或后端基础设施的异常出站连接。低功耗物联网设备产生的大量出站流量是受损的明确指标。
基础设施韧性的新现实
荷兰当局通过拆除这个特定的僵尸网络为全球社区做出了贡献。然而,我们必须将其视为长期消耗战中的一次战役。涉及的 1700 万台设备代表了一个巨大的攻击面,它们在下一次战役中仍然脆弱。
架构是唯一的永久解决方案。你无法修补世界上每一台设备,也无法阻止每一次恶意软件感染。但是,你可以设计你的系统,使局部的受损不会导致灾难。通过关注行为而非信誉、关注隔离而非边界,你可以构建一个即使在充满 1700 万节点僵尸网络的世界中也能保持韧性的网络。
来源:
- Dutch National Cyber Security Center (NCSC)
- Politie (Dutch National Police)
- HUMAN Satori Threat Intelligence Team
- NL Times
免责声明:本文仅供参考和教育目的,不替代专业的网络安全审计或事件响应服务。
