根據 Shadowserver 基金會於 2025 年 2 月初發布的報告,一個攻擊團體利用約 280 萬個 IP 位址,針對全球暴露於網際網路的設備發動大規模暴力破解攻擊。這波攻擊由被殭屍網路劫持的路由器和 IoT 裝置所發起,而暴力破解鎖定的對象甚至包括 Palo Alto Networks、Ivanti 和 SonicWall 等資安設備,對企業網路安全構成重大威脅。目前這波攻擊行動仍在持續進行,且規模有擴大的趨勢。
CISSP 資安專家賴家民指出,由被劫持設備所組成的殭屍網路具有對外連線能力,但它們的 IP 位址並不會隨意更換。換言之,攻擊者可能反覆使用相同的 IP 進行各種分散式攻擊。企業若能取得這些攻擊 IP 清單,並在邊界進行封鎖,將能有效降低邊緣裝置被暴力破解的風險、減少內部資源損耗,並預防未來的 DDoS 威脅。企業可透過 ISAC 機制(資安資訊分享與分析中心)、開放情報資源或商用情資平台取得這類攻擊 IP 清單,進而阻擋試圖進行暴力破解的網路連線。
阻擋惡意 IP 無疑是最直接、有效的防禦手段,但面對能操縱 280 萬組 IP 位址的分散式攻擊,企業所需建立的龐大阻斷清單是絕大多數防火牆或 IPS 難以承載的。當然,企業仍有其他因應方式,但須同步評估導入時間、成本及應對效率:
1. 限制登入嘗試次數:
能降低同一 IP 連續嘗試登入的機會,但對於擁有大量分散式 IP 的攻擊者而言,效果有限。
2. MFA(多因素驗證):
能有效防止未經授權的登入,但導入過程費時且成本高昂,短期內難以在企業全面推行。
3. EDR(端點偵測與反應系統):
有能力偵測到系統遭破解後的異常行為,但 EDR 代理程式不易安裝於 IoT 裝置,若要在攻擊發生時即時應對,可能會顯得力不從心。
PacketX 資安團隊觀察到這波攻擊趨勢與企業的難處,建議企業導入情資驅動式防禦系統 GRISM 或同類型設備。該系統支援巨量 IoC(Indicators of Compromise)匯入,型態可包括 IP、Domain、URL、JA3、JA4 及 IP 國別,並具備高效能的 IoC 連線阻斷能力。GRISM 能以透明模式(Transparent)部署於企業 WAN 或 ISP 骨幹,無須更動既有網路架構,且內建硬體 Bypass 模組可確保網路高可用性。
值得一提的是,Shadowserver 報告中指出,超過三分之一的攻擊 IP 位置來自巴西,因此企業也可視自身營運需求,針對特定國籍 IP 進行流量控管或封鎖,以降低受攻擊的機率,而這也正是 PacketX GRISM 系統的核心功能之一。
PacketX 資安顧問強調:「分散式暴力破解是一種全球無差別式的攻擊,面對這類型攻擊沒有人是局外人,所有企業都可能成為受害者。在攻擊者不斷擴張殭屍網路、強化分散式攻擊能力的當下,善用威脅情資,將是成功阻止攻擊的關鍵。」
關於 PacketX GRISM 網路可視化平台
PacketX 網路可視化平台 GRISM 是可同時服務多種網路安全設備的資料擷取導引系統:利用聚合、過濾,封包處理與分配技巧,讓各網路安全設備只取得其所要分析的資料。
此系統還能辨識低風險流量,避免將其導入網路安全設備;亦可根據外部情資阻斷特定的威脅來源。網路安全設備將因此大幅降載並得以聚焦更進階的威脅攻擊。換言之,PacketX GRISM 系統既是網路安全機制的基礎建設,也是網路安全的第一道防線。