根據Shadowserver基金會於2025年2月初發布的報告,一個攻擊團體利用約280萬個IP位址,針對全球暴露於網際網路的設備發動大規模暴力破解攻擊。這波攻擊由被殭屍網路劫持的路由器和IoT裝置所發起,而暴力破解鎖定的對象甚至包括Palo Alto Networks、Ivanti和SonicWall等資安設備,對企業網路安全構成重大威脅。
CISSP資安專家賴家民(Sena Lai)指出,殭屍網路成員(被劫持的設備)具有對外連線能力,但它們的IP位址並不能隨意更換。換言之,攻擊者可能反覆使用相同的IP進行各種分散式攻擊。企業若能取得這些攻擊IP的清單,並在邊界進行封鎖,將能有效降低被暴力破解的風險,並預防未來的DDoS威脅。而企業可透過ISAC機制、開放情報資源或商用情資平台取得這類攻擊IP清單,進而屏蔽試圖進行暴力破解的網路連線。
屏蔽惡意IP無疑是最直接且有效的防禦手段,但面對能操縱280萬組IP位址的分散式攻擊,企業所需建立的龐大阻斷清單是絕大多數防火牆或IPS難以承載的。當然,企業仍有其他應對策略:
1. 限制登入嘗試次數:
能降低同一IP連續嘗試登入的機會,但對於擁有大量分散式IP的攻擊者而言,效果有限。
2. MFA(多因素驗證):
能有效防止未經授權的登入,但導入過程費時且成本高昂,短期內難以全面推行。
3. EDR(端點偵測與反應系統):
有能力偵測到系統遭破解後的異常行為,但EDR代理程式不易安裝於IoT裝置,要在攻擊發生時即時應對,顯得力不從心。
PacketX的資安團隊觀察到這波攻擊趨勢與企業的難處,建議企業導入情資驅動式防禦系統GRISM或同類型設備。該系統支援巨量IoC(Indicators of Compromise)匯入,型態可包括IP、Domain、URL、JA3、JA4及IP國別,並具備高效能的IoC連線阻斷能力。GRISM能
以透明(transparent)模式部署於企業WAN或ISP骨幹,無須更動既有網路架構,且內建硬體Bypass模組可確保網路高可用性。
值得一提的是,Shadowserver報告中指出,大量攻擊IP來源來自巴西,這也說明企業應可視營運需求,針對特定國籍的IP進行流量控管,以降低受攻擊的機率。而這正是GRISM系統的核心功能之一。
「分散式暴力破解是一種全球無差別式的攻擊,面對這類型攻擊沒有人是局外人,所有企業都可能成為受害者。在攻擊者不斷擴張殭屍網路,提升分散式攻擊能量的當下,善用威脅情資以強化網路邊界防禦,必是阻止攻擊得逞的關鍵。」PacketX資安團隊顧問總結道。
[BleepingComputer] Massive brute force attack uses 2.8 million IPs to target VPN devices
[Forbes] Critical New Password Warning—Hack Uses 2.8 Million Devices To Attack
[iThome] 大規模暴力破解攻擊專門針對網路邊緣裝置而來,駭客透過280萬個IP位址發動攻勢
聯絡信箱:sales@packetx.biz
熱門新聞
2025-03-07
2025-03-07
2025-03-10
2025-03-07
