在3月的RSA安全大会上,来自Bishop Fox的安全研究人员详细介绍了如何利用免费云资源来构建僵尸网络。在这几天的黑帽大会中,Bishop Fox又重新回到这个话题,并带来更多详细信息,他们希望能够阻止别人建立自己的云僵尸网络。
Bishop Fox公司高级安全助理Rob Ragan介绍说,他的团队现在已经基于他用来构建自己的云僵尸网络使用的技术开发了一个防御框架。
这个云僵尸网络的概念比较简单,云计算的主要目的是能够在计量的基础上使用可扩展的基础设施。很多云服务提供商提供免费的试用账号和服务来吸引新的用户,而Ragan和他的团队能够利用这样的免费试用服务跨多个供应商构建云服务来作为僵尸网络。
Ragan并不是手动逐个逐个创建新账户,而是构建自动化工具来帮助快速创建新账户。对于很多云服务提供商来说,电子邮件地址就可以创建一个账户。
一些供应商已经部署了反自动化工具,例如使用CAPTCHA来防止自动创建账户。然而在某些情况下,Ragan发现他们可以绕过云服务提供商的反自动化工具。
Ragan看到三分之二的服务仅使用电子邮件作为身份验证来授权使用试用账户。通过其团队的工具,Ragan能够创建无限数量的电子邮件地址,这表明这种身份验证形式并无法阻止云僵尸网络的创建。
为了帮助企业发现其反自动化的缺点,Ragan及其团队已经部署了他所谓的“反反自动化”框架,该框架包括一个工具集来帮助企业识别风险。
“我们有技术可以用来绕过电子邮件验证,也有技术可以绕过CAPTCHA,”他表示,“还有办法可以自动化和绕过电话及短信验证。”
Ragan补充说,还有绕过信用卡验证的机制,有些云服务提供商也在使用这种机制。
Ragan表示:“我们想要有一个框架,作为工具和技术的单一存储库,来评估反自动化技术的安全性。”
该代码将会公开公布在Bishop Fox Github网站,其目的是让更多人参与进来,对其进行改善和做出贡献。
总体而言,Ragan希望企业能够意识到攻击者可以部署技术来绕过反自动化。“攻击者总是能够找到方法来自动化过程,但企业能够提高攻击者的攻击困难度,来减少他们的攻击,”他表示,“我们的想法是提高攻击者的攻击成本,让他们没有那么容易可以自动化获取免费账号的过程。”