拉斯维加斯—在3月的RSA安全会议上,Bishop Fox的安全研究人员详细介绍了如何利用免费的云资源构建僵尸网络。在会议上,在这里的黑帽会议上美国主教福克斯再访该主题更详细,并与一个特定的目的──从能够建立自己的云僵尸网络阻止他人。
在接受eWEEK采访时,Bishop Fox的高级安全助理Rob Ragan解释说,他的团队现在已经根据他用来构建自己的云僵尸网络的技术开发了一个防御框架。
云僵尸网络的想法相对简单。云的主要目的是能够按时使用可扩展的基础架构。为了吸引新用户,许多云提供商提供了免费试用帐户和服务,Ragan和他的团队能够利用跨多个供应商的这种免费试用来构建可以用作僵尸网络的云。
Ragan不仅一步一步地手动创建新帐户,还构建了有助于快速创建新帐户的自动化工具。对于许多云提供商而言,创建帐户只需要一个电子邮件地址。
一些提供商使用了反自动化工具,例如使用CAPTCHA阻止自动创建帐户。但是,在某些情况下,拉根发现可以绕过云供应商的反自动化工具。
他说,拉根研究的三分之二的服务仅使用电子邮件验证作为一种身份证明形式来授予试用帐户。利用他的团队的工具,Ragan能够创建无限数量的唯一电子邮件地址,这表明这种形式的验证不会阻止创建云僵尸网络。
为了帮助组织识别其反自动化缺陷,拉根和他的团队开发了他所谓的“反自动化”框架。他说,该框架将包括一系列帮助企业识别风险的工具。
拉根说:“有一些技术可以绕过电子邮件验证,也有一些技术可以绕过验证码。” “还有其他方法可以自动执行和绕过电话和SMS验证。”
拉根补充说,存在一些颠覆信用卡验证的机制,一些云供应商也使用这种机制。
拉根说:“我们希望有一个框架,该框架是用于访问反自动化技术安全性的工具和技术的单一存储库。”
该代码将设置为在Bishop Fox Github网站上公开提供,其想法是让其开放以进行增强和贡献。
总体而言,Ragan希望组织意识到攻击者可以用来绕过反自动化技术的技术。他说:“攻击者总是会找到使流程自动化的方法,但是企业必须确保攻击者很难降低他们的动机,” “这样做的目的是使攻击者自动化利用大量免费帐户的过程所花费的成本超过其价值。
