僵尸网络,作为一类极具破坏性的网络攻击手段,是指攻击者借助多台联网设备,在每台设备上植入并运行特定的机器人程序,进而操控这些被感染的设备,对服务器、公司网站、其他设备或个人发起攻击。
僵尸网络攻击的工作原理
僵尸网络,是“机器人网络”的简称,它是一个由单一攻击方(即机器人主宰者)掌控的、被恶意软件感染的计算机网络。而另一个威胁行为者——机器人牧人,则负责将大量设备转化为受其控制的机器人程序(僵尸)。
通常,机器人牧人会先劫持计算机系统网络,搭建起僵尸网络,随后利用它实施各类网络攻击,如诈骗、暴力破解、恶意软件入侵等。机器人主宰者通过远程命令,操控这组被入侵的计算机。在机器人程序编译完成后,牧人会借助命令程序进一步控制它们的行动,以协助机器人主宰者达成隐藏的最终目的。
操控僵尸网络的攻击者,获取被感染设备集群的方式有两种:一是自行搭建;二是从拥有设备访问权限的第三方租用。每一台被恶意软件感染并被接管的终端设备,都被称作僵尸电脑或机器人程序(僵尸)。这些设备会盲目地响应机器人牧人编写的命令,而用户往往对此毫无察觉。
大多数僵尸网络在设计上便于管理和控制。它们允许一台计算机通过牧人操控的指挥控制(简称“C&C”)服务器,接管多台被感染的系统。这些僵尸网络能够执行多种恶意任务,包括控制受害者电脑、窃取数据、通过记录键盘输入或收集照片监视用户活动、发送垃圾邮件,以及实施分布式拒绝服务(DDoS)攻击等。具体而言,僵尸网络的功能实现方式如下:
仅针对单个受害者,基于 IP 地址控制
僵尸网络借助互联网中继聊天(IRC)频道和专用软件客户端进行管理。IRC 频道中包含机器人程序,这些程序由计算机代码块构成,可被编程为在特定场景下执行任务、触发特定事件。搭建和运行这类僵尸网络相对简单,因为它无需任何基础设施。网络犯罪分子可能会利用单机僵尸网络开展非法操作,例如在受害者的电脑上开启后门。
利用 IRC 协议指挥多台机器
目前,IRC 网络已成为机器人主宰者和机器人牧人控制僵尸程序的主要手段。借助 IRC 网络,他们能够快速将全球范围内被感染的计算机系统整合为一个整体。具体方法如下:
使用远程管理工具(RAT)控制多台计算机
远程访问工具(RAT)使威胁行为者能够远程操控一台或多台系统。这类工具属于恶意应用程序,可能会在未经受害者许可或通知的情况下,安装在其设备上。虚假软件更新网站、木马病毒、间谍软件、键盘记录器及其他恶意软件,常常与 RAT 配合使用。这些工具会被部署在僵尸网络中的每一台系统上,让攻击者能够从远程位置控制该系统。
利用 IP 地址发动分布式拒绝服务(DDoS)攻击
僵尸网络通过 IRC 进行管理,支持通过独特命令触发针对目标的 DDoS 攻击。当僵尸程序收到攻击者的指令时,便会攻击受害者的网页服务器、网络或其他相关计算机网络。黑客还可以在多个互联网论坛上出租僵尸网络,供那些想要实施 DDoS 攻击却又不想暴露身份的人使用。
僵尸网络类型
尽管所有僵尸网络的目的都是利用一台或多台计算机远程发动大规模且难以追踪的攻击,但不同类型的僵尸网络在处理攻击目标的方式上存在差异。以下是一些常见的僵尸网络类型:
利用互联网中继聊天的僵尸网络
互联网中继聊天机器人(IRC bot)是一种应用程序,它能够在 IRC 聊天室或频道中自动完成任务和互动,外观上与真实用户无异。虽然 IRC 聊天机器人有合法用途,但该技术也常被用于实施僵尸网络攻击。
僵尸网络所有者(即机器人牧人和机器人主宰者)通常通过 IRC 向集群中的各台设备发送指令。这一过程可通过单一频道、公共 IRC 链或独立的 IRC 服务器实现。“命令与控制”(C&C 或 C2)服务器就是包含用于控制僵尸程序的频道的 IRC 服务器。IRC 机器人程序通常由聊天室或频道管理员部署,作为独立托管的独立软件。安装了 IRC 机器人程序的设备,此时可通过 IRC 频道传递的命令进行控制。
自动化僵尸网络
这类僵尸网络能够自主运行,无需人工干预或控制。它们会感染受害者设备并消耗其资源(如本地 CPU 和网络带宽),以便在黑客指令下发动 DDoS 攻击。这类僵尸网络设计得极为隐蔽,即使有杀毒软件保护,也难以检测到其存在。
HTTP 僵尸网络
超文本传输协议(HTTP)僵尸网络是一种基于网络的僵尸网络。机器人牧人通过 HTTP 协议传递指令,而僵尸程序则通过访问服务器获取新的更新和操作指令。借助 HTTP 协议,牧人可以将其活动伪装成普通互联网流量,从而规避桌面防火墙等现有检测方法。
点对点僵尸网络
点对点网络(简称 P2P 网络)是一种计算机网络,在这种网络中,两台或多台计算机通过直接交换共享资源(如内容、存储和 CPU 算力),而非通过管理中心资源的服务器或管理机构。
P2P 僵尸网络比 IRC 或 HTTP 僵尸网络更难搭建,但具有更强的韧性,因为它不依赖集中式服务器。相反,每个僵尸程序既是客户端也是服务器,会生成并向其他僵尸网络设备共享信息。攻击者无需为这种系统架构配置特定服务器,却仍能完全控制被攻破设备的恶意行为。
手动僵尸网络
一些恶意行为者可能更倾向于使用手动僵尸网络,而非完全自主的僵尸网络,因为这类僵尸网络能提供更高级别的控制力。当攻击者发出指令时,这些工具可用于从任何被攻破的机器发起攻击。有些僵尸网络甚至可能从远程仓库接收恶意代码更新。不过,由于需要人工操作,手动僵尸网络可能更容易被发现和追踪。
后门僵尸网络
在计算机、网络或软件程序中,后门是指任何授权用户都能通过该方式绕过标准安全措施,获取高级用户访问权限(也称为根权限)的技术。一旦通过后门进入系统,黑客可能会窃取个人和财务信息、运行其他软件,并控制关联设备。后门僵尸网络利用被攻破的机器攻击其他设备,并将其纳入攻击者可指挥的僵尸程序集群中。
垃圾邮件发送僵尸网络
这类僵尸网络被编程为从全球受感染设备向目标发送数百万甚至数十亿条不受欢迎的垃圾邮件。垃圾邮件僵尸程序会从在线论坛、网站、留言簿及其他可能存在目标电子邮件地址的地方收集邮箱信息。
这类僵尸网络由机器人主宰者控制和指挥,用于远程执行进程。僵尸网络通常通过多种远程代码安装方式部署在被攻破的设备上。为避免被调查人员和执法部门识别,机器人主宰者经常通过代理、洋葱路由器(Tor 网络)以及 Shell 来隐藏身份。为实现远程控制,僵尸程序会通过密码和密钥对指挥控制站进行身份验证。
在某些情况下,僵尸网络由多个机器人主宰者共享和运营。他们通常会窃取僵尸网络的凭证,或控制其他机器人主宰者的僵尸网络。
常见的僵尸网络攻击方法
虽然僵尸网络本身可被视为一种攻击形式,但它更是实施大规模欺诈和网络犯罪的理想工具。以下是常见的僵尸网络攻击示例:
分布式拒绝服务(DDoS)攻击
DDoS 攻击是指僵尸网络向目标应用程序或服务器发送大量请求,导致其崩溃。网络级 DDoS 攻击包括传输控制协议(TCP)连接中的同步泛洪(SYN 泛洪)、用户数据报协议(UDP)泛洪以及域名系统(DNS)放大等技术,其目标是耗尽目标的带宽,阻止有效请求被处理。
与网络级攻击不同,应用层 DDoS 利用 Slowloris 攻击、HTTP 洪水攻击、零日漏洞攻击、R – U – Dead – Yet(RUDY)攻击以及其他针对操作系统、协议或应用程序漏洞使其崩溃的技术。
嗅探和键盘记录僵尸网络攻击
键盘记录攻击是最传统的网络威胁类型之一。它会读取并记录键盘输入,还能识别密码模式,帮助攻击者快速获取密码。恶意软件、U 盘以及软硬件漏洞,都是键盘记录器入侵的途径。同样,嗅探能帮助威胁行为者非法提取信息,但它不监控按键,而是通过数据包嗅探器捕获网络流量。安装在计算机上的僵尸网络可进行嗅探和键盘记录,获取大量用户数据。
僵尸网络驱动的网络钓鱼
僵尸网络可通过钓鱼邮件传播恶意软件。网络钓鱼是一种社会工程学攻击,通常用于获取用户信息(如登录凭证和信用卡信息)。当攻击者冒充可信实体,诱使受害者打开电子邮件、即时消息或短信时,就会发起此类攻击。接收者会被欺骗点击恶意链接,进而导致恶意软件安装、系统冻结、勒索软件攻击或敏感信息泄露。当僵尸网络发起钓鱼攻击时,追踪攻击来源会变得极具挑战性。
大规模垃圾邮件攻击
僵尸网络是大多数互联网垃圾邮件攻击的源头,包括电子邮件垃圾邮件、评论区垃圾邮件、表单垃圾邮件等。垃圾邮件攻击常被用于传播恶意软件和实施钓鱼攻击,有些僵尸网络每天能发送数百亿条垃圾邮件。基于僵尸网络的垃圾邮件攻击的一个典型例子是虚假在线评论:骗子接管用户设备,批量发布垃圾在线评论,而实际上他们并未使用过相关服务或产品。
通过僵尸网络实施的数据泄露
有些僵尸网络专门设计用于窃取敏感和重要信息,如金融信息、信用卡数据等。
例如,ZeuS 僵尸网络的主要目的是窃取众多电商、银行和社交媒体网站的账户信息。2007 年发生的 ZeuS 僵尸网络攻击,被认为是历史上最臭名昭著的网络攻击之一。它最初旨在通过垃圾邮件或钓鱼邮件获取终端用户的银行信息。攻击者利用通过僵尸网络传播的特洛伊木马应用程序感染设备。
僵尸网络可专门针对高价值服务和数字资产,实施此类数据泄露攻击。
加密货币挖矿与交易劫持
近年来,这已成为一种常见的网络犯罪:僵尸网络被控制用于挖掘加密货币,为攻击者谋取经济利益。在此类攻击中,僵尸网络利用设备资源挖掘加密货币,且不通知用户。加密货币会被迅速转移给威胁行为者,而用户则需承担挖矿产生的成本(如算力消耗、电费等)。例如,Sysrv 就是一个被用于挖掘加密货币的僵尸网络,有些攻击还可能劫持加密货币交易,这类攻击被称为加密交易劫持僵尸网络攻击。
暴力破解攻击
暴力破解攻击基于猜测,但几乎不需要人力投入。网络犯罪分子利用僵尸网络反复攻击一组目标设备,不断猜测用户凭证,最终实现对目标系统的未授权访问。这里采用的是“尝试错误”方法,这是一种简单但成功率较高的程序。根据卡巴斯基 2021 年事件响应分析报告,暴力破解攻击的比例从 2020 年的 13%上升至 2021 年的 31.6%。
防止僵尸网络攻击的几个措施
随着大量僵尸网络在互联网上肆虐,网络安全至关重要。僵尸网络不断变异,利用各类漏洞和安全缺陷,这意味着一个僵尸网络集群可能与另一个存在显著差异。阻止和防范僵尸网络攻击,需要复杂的检测工具和主动防御措施:
保持软件系统更新
僵尸网络可能会利用应用程序或软件中的漏洞,而其中许多漏洞本可通过常规安全更新或补丁修复解决。因此,养成定期更新软件和操作系统的习惯十分必要。人们不希望仅仅因为未能更新应用环境,就感染恶意软件或遭遇其他网络安全威胁。因此,IT 团队应主动制定基础设施补丁更新计划。
监控网络异常活动
日常要多留意网络的运行状态,一旦发现异常情况就要及时关注。如果能清楚掌握网络平时的流量情况和正常运行模式,那么检测异常的效果也会明显提升。条件允许的话,网络监控最好能 24 小时不间断进行,同时部署相关的分析和数据收集工具,这样就能及时识别出僵尸网络攻击这类异常活动。而网络流量分析工具,通过实时更新网络性能和用户行为日志,就能很好地帮助我们实现这一目标。
调查登录失败尝试
账户接管(ATO)攻击,是企业网络面临的最严重安全风险之一。僵尸网络常常被用来测试大量被盗的用户名和密码,目的就是非法登录用户账户。我们可以先统计登录失败尝试的平均次数,以此作为基准,IT 团队就能据此设置预警机制。一旦登录失败次数突然大幅增加,就能及时察觉到可能存在僵尸网络攻击。不过要注意,这类预警机制,可能无法检测到那些来自多个不同 IP 地址的“低速”攻击。
部署专门开发的僵尸网络检测解决方案
想要保护网站和服务器不被僵尸网络攻击,最有效的办法就是投入资金,选用全面的反僵尸网络或僵尸网络缓解服务,这类服务能实时识别僵尸网络。比如 DataDome 的人工智能驱动解决方案,它可以实时分析网络行为,识别出异常流量,在僵尸网络活动触达网页服务器之前就将其拦截。采用这种方式,还能有效提升服务器的初始响应速度。
优质的僵尸网络检测解决方案,会从数百个网站收集相关信息,每天处理数十亿次网络请求,并且借助强大的机器学习技术不断优化自身算法。正因为如此,它才能在僵尸网络感染系统之前,精准检测出已知和未知的各类僵尸网络。
利用网络入侵检测系统(NIDS)
网络入侵检测系统(NIDS)的主要作用,就是发现网络攻击、病毒、拒绝服务(DoS)攻击,以及针对计算机网络或设备本身的端口扫描行为。NIDS 平台会持续监控网络流量,通过识别进站数据包中的异常模式,来检测是否存在恶意活动。
一旦发现恶意活动或违规行为,系统通常会将相关情况报告给管理员,或者通过安全信息与事件管理(SIEM)系统进行集中收集。在实际应用中,NIDS 被广泛用于监控网络中进出网络及联网设备的流量,它具备先进的实时入侵检测能力,由独立设备、硬件传感器和软件组件等相互配合组成。
仅从信誉良好的渠道下载,避免 P2P 下载
诱导目标下载恶意内容,是发起僵尸网络攻击最常用的手段之一。为了降低被僵尸网络攻击的风险,大家要避免从未经认证或未知来源下载文件附件。如果是专业场景下的通信,最好给 PDF 文件设置密码保护,防止它成为僵尸网络攻击的载体。
除此之外,点对点(P2P)下载也存在不小的安全风险,很容易被机器人牧人劫持。因此,企业网络必须明确禁止 P2P 下载,个人使用网络时,也尽量不要使用这种下载方式。
实施双因素认证和更强的凭证保护
使用强度高的密码,能有效降低被僵尸网络攻击的概率。双因素认证(2FA)可以进一步提升设备安全性,防止僵尸网络恶意软件接近设备。它能确保用户通过多个渠道,验证下载内容和电子邮件通信的安全性,只要僵尸网络获取不到这两套认证信息,就无法秘密开展恶意活动。
另外,添加新设备时及时更改登录凭证,也是一项非常关键的安全措施。当我们把新设备(比如摄像头、路由器或物联网设备)连接到网络时,一定要修改默认登录信息。如果一直使用默认密码,会给僵尸网络攻击留下可乘之机,让暴力破解攻击变得更加容易。
要点总结
僵尸网络对终端设备和网络安全环境构成了严重的安全威胁。由于攻击者会利用大量系统发起攻击,所以很难追溯到攻击的具体来源。而且即便第一次攻击失败,攻击者也还有足够的资源发起下一次攻击。防御僵尸网络的关键,在于关注软件和系统的漏洞,因为这正是机器人牧人最初接管设备的突破口。只要我们始终保持警惕,就能有效保护终端设备不被僵尸网络攻击,并且在攻击发生的早期采取纠正措施,避免造成严重损失。
原创文章,作者:余初云,如若转载,请注明出处:https://blog.jidcy.com/jsjc/2590.html