什么是僵尸网络?
僵尸网络是感染恶意软件的计算机网络,由僵尸牧民控制。僵尸牧民是操作僵尸网络基础设施并使用受感染计算机发起旨在使目标网络崩溃、注入恶意软件、获取凭据或执行 CPU 密集型任务的攻击的人。僵尸网络中的每个单独的设备都称为机器人。
僵尸网络如何控制?
僵尸牧民通过以下两种结构之一控制他们的僵尸网络:在僵尸牧民和每台计算机之间进行直接通信的集中式模型,以及在所有受感染的僵尸网络设备之间具有多条链接的分散式系统。
集中式客户端-服务器模型
第一代僵尸网络在客户端-服务器架构上运行,其中一个命令和控制 (C&C) 服务器运行整个僵尸网络。由于其简单性,使用集中式模型优于 P2P 模型的缺点是它容易受到单点故障的影响。
两种最常见的 C&C 通信渠道是 IRC 和 HTTP:
IRC(互联网中继聊天)僵尸网络
IRC 僵尸网络是最早的僵尸网络类型之一,并通过预配置的 IRC 服务器和通道进行远程控制。机器人连接到 IRC 服务器并等待机器人牧民的命令。
HTTP 僵尸网络
HTTP 僵尸网络是一个基于 Web 的僵尸网络,僵尸牧民通过它使用 HTTP 协议发送命令。机器人将定期访问服务器以获取更新和新命令。使用 HTTP 协议允许牧民将他们的活动掩盖为正常的网络流量。
去中心化的点对点模型
新一代的僵尸网络是点对点的,僵尸程序彼此共享命令和信息,而不与 C&C 服务器直接联系。
P2P 僵尸网络比 IRC 或 HTTP 僵尸网络更难实施,但也更有弹性,因为它们不依赖于一个集中式服务器。相反,每个僵尸程序都作为客户端和服务器独立工作,以协调的方式在僵尸网络中的设备之间更新和共享信息。
僵尸网络如何运作?
创建僵尸网络的阶段可以简化为以下步骤:
3.启用
在第 1 阶段,黑客将在网站、应用程序或用户行为中发现漏洞,从而使用户暴露于恶意软件。机器人牧民打算让用户不知道他们的暴露和最终的恶意软件感染。他们可能会利用软件或网站中的安全问题,通过电子邮件、偷渡式下载或特洛伊木马下载来传递恶意软件。
在第 2 阶段,受害者的设备感染了可以控制其设备的恶意软件。最初的恶意软件感染允许黑客使用网络下载、漏洞利用工具包、弹出广告和电子邮件附件等技术创建僵尸设备。如果是集中式僵尸网络,牧民会将受感染的设备引导至 C&C 服务器。如果它是 P2P 僵尸网络,则会开始对等传播,并且僵尸设备会寻求与其他受感染设备的连接。
在第 3 阶段,当 bot herder 感染了足够数量的 bot 时,他们可以发动攻击。僵尸设备随后将从 C&C 频道下载最新更新以接收其订单。然后,该机器人继续执行其命令并从事恶意活动。僵尸牧民可以继续远程管理和发展他们的僵尸网络以进行各种恶意活动。僵尸网络不针对特定个人,因为僵尸牧民的目标是感染尽可能多的设备,以便他们进行恶意攻击。
僵尸网络攻击的类型
一旦对手控制了僵尸网络,恶意的可能性就会很大。僵尸网络可用于进行多种类型的攻击,包括:
1. 网络钓鱼
僵尸网络可用于通过网络钓鱼电子邮件分发恶意软件。由于僵尸网络是自动化的并且由许多机器人组成,因此关闭网络钓鱼活动就像玩打地鼠游戏。
2.分布式拒绝服务(DDoS)攻击
在DDoS 攻击期间,僵尸网络向目标服务器或应用程序发送大量请求,导致其崩溃。网络层 DDoS 攻击使用SYN 泛洪、UDP 泛洪、DNS 放大和其他旨在消耗目标带宽并阻止合法请求得到服务的技术。应用层 DDoS 攻击使用HTTP 泛洪、Slowloris或RUDY 攻击、零日攻击和其他针对操作系统、应用程序或协议中的漏洞的攻击,以使特定应用程序崩溃。
许多人会记得大规模的 Mirai 僵尸网络 DDoS 攻击。Mirai 是一个物联网僵尸网络,由数十万个受感染的物联网设备组成,它在2016年关闭了 OVH、DYN 和 Krebs on Security 等服务。
3. 垃圾邮件程序
垃圾邮件机器人从网站、论坛、留言簿、聊天室和其他任何用户输入电子邮件地址的地方收集电子邮件。获取后,这些电子邮件将用于创建帐户和发送垃圾邮件。超过 80% 的垃圾邮件被认为来自僵尸网络。
4. 如何防范僵尸网络
为防止设备成为僵尸网络的一部分,建议组织考虑以下建议:
定期的安全意识培训计划,教导用户/员工识别恶意链接。
始终保持软件更新,以减少僵尸网络攻击利用系统弱点的机会。
如果密码被泄露,请使用双重身份验证来防止僵尸网络恶意软件侵入设备和帐户。
更新所有设备的密码,尤其是连接设备到设备或互联网的设备上的隐私和安全选项。
保持最新并定期扫描网络的优质防病毒解决方案。
在网络中部署入侵检测系统 (IDS)。
一种端点保护解决方案,包括 rootkit 检测功能,可以检测和阻止恶意网络流量。
原文始发于微信公众号(祺印说信安):什么是僵尸网络?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论