负责系统安全安排的专业人士对“僵尸网络”一词非常了解。“僵尸网络”通常用于描述被劫持的计算机/系统链,如果要构建一个可恢复且强大的系统,就应该充分理解“僵尸网络”一词,因为错误的使用会导致巨大的混乱。
僵尸网络定义
从字面定义来看,僵尸网络是指被感染或劫持的计算机组成的网络,用于发送垃圾邮件、分发恶意软件和发起 DDoS 攻击等。激活僵尸网络不需要设备所有者的许可。
僵尸网络本身不会对网络造成危害,而且可以用于诸如聊天室管理和跟踪在线游戏期间积累的点数等重要任务。僵尸网络的控制方称为 bot-h erder,网络中涉及的每台机器称为 bot。
组建僵尸网络的主要目的是让单调乏味的任务变得比以往更加轻松。最好的例子就是聊天室管理,它负责清除违反政策的人。僵尸网络会跟踪聊天期间使用的语言,否则这对于人类来说是一项过于繁重的工作。
然而,一些聪明人想出了其他的滥用方法,利用它在另一个系统内无缝执行代码的能力。由于这些特性,黑客或攻击者成功地利用它窃取密码并跟踪特定设备上的击键。
僵尸网络如何运作?
这个过程有多个阶段。僵尸网络在充分使用时可以进行大规模攻击。黑客需要用辅助机器或设备来支持僵尸网络,以增强僵尸网络的能力。要更深入地了解僵尸网络的运作方式,必须了解关键术语。
Bot Herder 是引导网络中连接的损坏设备所必需的。它通过远程命令发挥作用,并引导设备执行某些操作。
Bot 或僵尸计算机是指用于创建僵尸网络的受感染系统/设备。Bot 是没有意识的设备,会按照 Bot 牧人的命令或指引行事。
僵尸网络构建阶段
弄清楚僵尸网络功能的下一步是了解构建过程。该过程涉及三个步骤:
- 第一阶段——准备和展示
在此阶段,不法分子会找出可以引入用户设备的漏洞。
漏洞搜寻发生在网站、人类行为和应用程序中。通过这样做,黑客准备了一个设置,以引诱目标在知情或不知情的情况下暴露于恶意软件。
最常见的是,黑客发现网站和软件中的漏洞。
此外,恶意软件还通过电子邮件或随机消息传播。
2.第二阶段——通过恶意软件感染用户
僵尸网络的下一步行动是激活恶意软件,使最终用户受到感染并危及安全。感染设备的过程通常通过木马病毒或社会工程方法进行。
有些攻击者采用更激进的方法,并部署驱动下载技术来感染设备。攻击者使用所有这些方法,用僵尸网络恶意软件破坏目标设备。
3.第三阶段——控制目标设备
僵尸网络工作方法的最后阶段是控制每台设备。黑客将僵尸网络中涉及的受感染机器系统化,并设计一种远程管理它们的方法。一般来说,通过庞大的僵尸网络,大约有数千台设备在此过程中受到控制。一旦成功完成该阶段,恶意行为者就能够获得对目标设备或计算机的管理员访问权限。
僵尸网络的成功激活使黑客能够读取或写入系统中存储的数据,获取任何个人信息,共享目标设备的数据,监视目标设备上发生的所有活动,并搜索其他隐藏的漏洞。
僵尸网络攻击的类型
- 分布式拒绝服务
DDoS 或分布式拒绝服务攻击涉及干扰服务器的正常流量,导致实际或目标受众无法访问网站。这种攻击通过使用各种损坏的系统作为创建干扰流量的来源来获得其有效性。所涉及的损坏设备可能是计算机、PC、物联网设备和许多其他数据驱动的设备。
从另一个角度来看,DDoS 攻击看起来就像是故意造成的交通堵塞,使得最终用户无法到达目的地。
- 网络钓鱼
网络钓鱼是最常见的僵尸网络攻击之一,它涉及将坏人或黑客伪装成可靠来源,以诱使受害者分享密码和银行凭证等关键信息。利用这些详细信息,坏人可以窃取数据和金钱。攻击通过多种方式完成,例如电子邮件网络钓鱼、语音钓鱼和短信钓鱼。针对大量受众的网络钓鱼攻击通常通过鱼叉式和鲸鱼式网络钓鱼进行
- 暴力攻击
暴力攻击占总安全漏洞的 5% 以上,它基于猜测。威胁者不断猜测用户凭据,直到获得正确凭据并获得对目标系统的不必要访问权限。命中和尝试方法在这里起作用。这是一个简单的过程,成功率更高。还有一些暴力攻击工具可用于此任务。
僵尸网络控制模型
为了保证僵尸网络有效运作,完成预期目标,攻击者需要持续控制僵尸网络,通常采用两种模型来完成这一任务。
模型1-集中式或客户端-服务器模型
集中式僵尸网络利用此模型的基本网络基础设施与遭受攻击的设备建立通信网络。它的功能非常强大,因为命令和控制服务器可以生成强大的通信。
然而,由于这些服务器很容易被发现并且可以毫不费力地停用,一旦 C&C 服务器瘫痪或遭到黑客攻击,机器人牧民将无法与机器人进行通信。
模型二:去中心化或点对点模型
这是一种高级模型,涉及建立通信,同时涉及此网络中连接的所有节点或对等节点。在这种类型的僵尸网络控制模型中,所有受感染的节点都被命令在网络中进行通信,而无需请求特定且专用的 C&C 服务器(或身份验证)。
采用P2P模式的僵尸网络比采用客户端到服务器模式的僵尸网络更强大,而且不易被干扰,这个优势使得P2P模式在当今更加流行。
僵尸网络示例
- Mirai 僵尸网络攻击
你可能听说过。毕竟,Mirai 是迄今为止最强大的僵尸网络之一。
2016 年首次发现的僵尸网络攻击,在高端 DDoS 攻击下影响了许多基于 Linux 的网络摄像头和路由器。该攻击感染了用于扫描物联网设备所消耗的互联网的机器。我们在这次攻击中瞄准了未更改默认密码的用户。
当 Mirai 的原始代码在网上发布后,情况变得更加糟糕,其他黑客有机会通过相应修改来创建更强大的恶意软件。
- Zeus 僵尸网络攻击
这次攻击发生在 2007 年,是历史上最臭名昭著的攻击之一。它最初的目的是利用垃圾邮件或网络钓鱼电子邮件获取最终用户的银行详细信息。
此次攻击涉及使用木马程序感染设备。自其出现以来,已出现多种变体。CrytoLockerransomwar e 就是其中一个例子。根据 Damballa 在 2009 年的估计,僵尸网络感染了 360 万台主机。
僵尸网络有何用途?
根据攻击者的意图,僵尸网络可以被广泛用于实现与金钱或数据盗窃相关的目的。僵尸网络最常见的用途如下。
- 欺诈或盗窃金钱
攻击者可以利用僵尸网络直接或间接地窃取资金。钓鱼电子邮件或为银行创建虚假网站是实现此目标的主要方法。他们可以翻译付款或交易详细信息并利用它们来窃取资金。
- 数据窃取
用户数据在市场上具有巨大的价值,黑客利用僵尸网络窃取个人数据或侵入企业数据库。他们随后将用户数据出售给第三方以赚取金钱。此类僵尸网络处于潜伏状态并窃取个人信息。
- 加密货币挖掘
加密货币已经非常流行,攻击者可以借助僵尸网络挖掘加密货币。这个过程被称为加密劫持。
- 进行垃圾邮件和网络钓鱼诈骗
利用僵尸网络,不法分子可以大规模地发送垃圾邮件和网络钓鱼诈骗,因为他们可以一次性将受感染的电子邮件分发给数百万个目标。有专门为这项工作设计的垃圾邮件僵尸网络。
无论使用何种方法,动机都是一样的,窃取金钱或数据。然而,一些攻击者使用僵尸网络只是因为他们可以。他们使用僵尸网络来展示他们的能力并向世界证明他们的卓越。我们目睹了许多安全漏洞,坏人窃取企业数据并将其免费暴露在暗网上。
如何追踪僵尸网络?
僵尸网络的早期检测在危害管理中起着至关重要的作用,因为它可以尽可能地减少损害。然而,追踪僵尸网络的存在是一项艰巨的任务,因为这种恶意软件不会消耗明显的处理能力。这使得很难确定您的系统上是否存在僵尸网络。
尽管如此,还是有一些方法可以完成这项工作:
- 如果您发现带宽消耗突然增加,而互联网速度突然下降,请考虑您的设备中是否存在僵尸网络。每当僵尸网络处于活动状态时,它都会消耗带宽来发送垃圾邮件或执行 DDoS 攻击。这会导致带宽消耗过多,速度大幅下降。
- 僵尸网络的存在还会导致系统文件发生不必要的或意外的更改。如果您感觉某个帐户的配置或文件的访问偏好在未经任何干预的情况下发生了改变,那么这是因为僵尸网络。
- 只要恶意软件攻击发生,僵尸网络就会强制运行特定程序。因此,如果您在关闭特定程序时遇到任何问题,那么僵尸网络可能是原因之一。
- 僵尸网络的存在会感染系统的操作系统,并会阻碍操作系统的更新。
- 如果您注意到任务管理器中有任何未识别的进程,则表明存在僵尸网络。
- 借助防病毒软件,人们可以轻松追踪僵尸网络。他们可以轻松、毫不费力地扫描僵尸网络和许多其他恶意软件的存在。一些高端防病毒软件甚至配有专门的僵尸网络检查器。
如何保护您的计算机免受僵尸网络的攻击?
如果处理不当,僵尸网络攻击的破坏力可能太大。下面提到的方法可以阻止僵尸网络攻击。
- 更新操作系统
确保所用系统具有更新的软件。每次软件更新后,用户都会获得增强的安全补丁,可以解决已知漏洞。这是远离僵尸网络恶意软件攻击的更简单的方法。
- 从可信赖的资源下载
引入僵尸网络攻击的最常见方法是引诱目标。寻求增强安全性的人必须下载来自不受信任或未知来源的附件。对于专业通信,最好对 PDF 进行密码保护,以免它们成为僵尸网络攻击的手段。
- 无法访问可疑链接
就像来自未知来源的附件会制造麻烦一样,奇怪的链接也可能是钓鱼攻击。所以,不要接受任何奇怪的链接。
- 关注网站安全
没有安全墙和强大加密的网站可能成为僵尸网络的枢纽。详细了解网站安全标准,并与可疑网站保持安全距离。
- 远离 P2P 下载
P2P 下载服务风险很大,因为其中包含许多恶意附件。如果可能,请不要使用 P2P 下载。
- 引入新设备时更改登录详细信息
每次安装新设备(如网络摄像头、路由器或任何 IoT 设备)时,请确保更改登录凭据。使用默认密码使僵尸网络或 IoT 僵尸网络攻击比以往更加容易。
- 使用防火墙保护
使用防火墙是防范僵尸网络和其他恶意软件的有效方法,因为它可以自动阻止不安全的连接。
- 强密码和 2FA
使用强密码是一种明智的策略,可以尽可能降低任何类型的恶意软件攻击的可能性。2FA 或双因素身份验证将使僵尸网络恶意软件远离您的设备并使其更安全。
- 部署防病毒软件
可靠的防病毒软件会在僵尸网络恶意软件的初期发现其存在,并在其对系统造成任何危害之前将其清除。
- 可靠的安全工具
借助Wallarm等知名安全工具消除僵尸网络,最终用户可以增强系统的整体安全性,在早期发现僵尸网络的存在,并制定保护性安全策略。