什么是僵尸网络？

僵尸网络使网络犯罪分子能够大规模传播恶意软件并发起DDoS攻击。

僵尸网络由许多“僵尸”计算机组成，可用于发动分布式拒绝服务（DDoS）攻击。以下是您需要了解的关键信息。

僵尸网络——定义

僵尸网络是由攻击者入侵的互联网连接设备集合，用于执行DDoS攻击和其他“群组任务”。其核心概念是：每台成为僵尸网络成员的计算机都变为“僵尸”计算机——成为一个由相同机器人组成的大型网络中的无意识组成部分。

“恶意软件感染计算机后，会向僵尸网络操作者报告该设备已准备就绪，可盲目执行指令，”Shared Assessments北美指导委员会主席Nasser Fattah解释道。“这一切都在用户不知情的情况下发生。目标是进一步扩展僵尸网络，以自动化和加速大规模攻击。”

僵尸网络——架构

僵尸网络是通过互联网操作的分布式计算机系统示例。运营僵尸网络的个人或团队（称为“控制器”或“牧羊人”）必须为其军队招募尽可能多的“僵尸”，然后协调其活动以获利。构成和维护僵尸网络的架构包含多个组件：

僵尸网络恶意软件

网络犯罪分子通过恶意软件控制目标计算机。恶意软件可通过多种途径感染计算机——从钓鱼攻击、水坑攻击到利用未修补的安全漏洞。恶意代码使攻击者能够在所有者毫无察觉的情况下强制受感染计算机执行操作。“恶意软件本身通常不试图窃取数据或造成损害，”安全供应商Forcepoint副总裁Jim Fulton说明。“相反，它试图保持隐蔽，使僵尸网络软件能够继续 unnoticed 工作。”

僵尸网络无人机

设备被攻击者控制后，即成为“无人机”——相当于僵尸网络军队中的“步兵”或“僵尸”，但具有一定程度的自主性，在某些情况下甚至具备人工智能。“僵尸网络无人机可以智能地招募其他计算机和设备，使其更难被发现和阻止，”Schellman高级评估师Andy Rogers表示。“它会寻找易受攻击的主机，并在用户不知情的情况下将其纳入僵尸网络。”

任何类型的互联网连接设备都可转变为僵尸网络无人机，从PC、智能手机到物联网设备。后者（如联网安全摄像头或电缆调制解调器）可能对攻击者特别有吸引力，LookingGlass Cyber威胁情报高级总监Dave Marcus解释：“对于这类设备，人们往往忘记它们的存在，因为一旦开启就不再关注。此外，许多人不愿更新路由器和交换机，担心操作错误。这两种情况都可能导致设备未打补丁而保持 vulnerable。”

然而，关键点在于存在大量此类僵尸网络无人机且它们看起来合法，PerimeterX联合创始人兼CTO Ido Safruti指出：“通过感染合法设备 with malware，僵尸网络操作者获得使用私有IP地址的资源（看起来像合法用户），以及免费的计算资源来执行任务。”

僵尸网络命令与控制

最后一部分是控制僵尸网络的机制。早期的僵尸网络通常由中央服务器控制。然而，这使得通过关闭该中央节点来关闭整个网络变得相对容易。现代僵尸网络采用点对点模型，命令在无人机之间传递，一旦它们通过互联网识别出各自的恶意软件签名。僵尸牧羊人之间以及机器人之间的通信可通过各种协议进行。老式的聊天协议Internet-Relay-Chat（IRC）仍常用，因为它相对轻量且易于在机器人上安装而不消耗大量资源。但也使用一系列其他协议，包括Telnet和普通HTTP，这使得流量检测更加困难。一些僵尸网络使用特别有创意的方法进行协调，并在Twitter或GitHub等公共网站上发布命令。

就像僵尸网络本身一样，其架构的各个组件也是分布式的。“犯罪黑客是专家，大多数团体与其他团体松散合作，”YouAttest首席执行官Garret Grajek认为。“在网络犯罪世界中，可能有一个团体利用新的未公开漏洞，另一个创建僵尸网络的有效载荷，还有一个控制命令与控制中心。”

僵尸网络——攻击类型与示例

分布式拒绝服务（DDoS）攻击可能是通过僵尸网络发起的最著名和最流行的攻击类型。在这些攻击中，数百或数千台受感染计算机试图用请求淹没服务器或其他在线资源，使其停止服务。没有僵尸网络这是不可能的。此外，DDoS攻击易于启动，因为几乎每个可被入侵的设备都具有互联网连接和至少基本的Web浏览器。

但攻击者利用僵尸网络还有许多其他可能性。攻击者的目标可能决定要感染哪些类型的设备，Marcus解释：“如果我想将我的僵尸网络用于比特币挖矿，我可能会瞄准世界特定地区的IP地址，因为这些机器通常更强大——它们有GPU和CPU，用户不一定会注意到后台正在挖矿。”

攻击的受害者会感受到控制僵尸网络者的犯罪能量——但根据攻击者的意图，机器人所有者本身不应注意到他们的计算机在做什么。“发生什么 simply 取决于操作者愿意承担多少风险。使用功能强大的恶意软件（执行许多不同操作）会增加被发现的可能性，因为所有者可能会注意到计算机性能问题。”

如今，虽然与僵尸网络相关的DDoS攻击尤其引人关注——但第一个僵尸网络实际上是为了传播垃圾邮件而创建的。Khan C. Smith在2001年建立了一支机器人军队来扩展他的垃圾邮件帝国，并赚了数百万美元。直到最终被互联网服务提供商EarthLink（成功）起诉索赔2500万美元。

近年来最重要的僵尸网络之一基于Mirai恶意软件，并在2016年短暂瘫痪了大部分互联网。Mirai由新泽西州一名大学生编写，源于流行视频游戏Minecraft服务器主机之间的纠纷。该僵尸网络专门针对联网电视摄像头——证明了物联网设备在此背景下的重要性。

然而，还有无数其他僵尸网络示例，Immersive Labs网络威胁研究总监Kevin Breen知道：“更大的僵尸网络如TrickBot使用像Emotet这样的恶意软件，这些软件在安装时更依赖社会工程学。这些僵尸网络通常更具弹性，并用于安装额外的恶意软件，如银行木马和勒索软件。近年来，执法部门多次尝试摧毁大型犯罪僵尸网络（取得了一些成功）。但这些似乎随着时间的推移不断恢复。”

购买僵尸网络——如何操作

许多网络犯罪分子构建僵尸网络不是为了个人使用，而是为了出售。这些交易或多或少是秘密进行的。然而，通过简单的Google搜索相对容易找到被委婉称为“Stresser”或“Booter”的服务：“这些SaaS解决方案可以轻松预订（例如通过Paypal）——原本用于测试自己网络的弹性。但一些服务提供商将其服务卖给任何人——不验证客户或目标，”Fattah知道。

安全专家Breen也认为，任何想下载僵尸网络软件的人都会找到它：“搜索正确的术语会很快进入相关论坛，那里除了相应服务外，还经常提供源代码和泄露的僵尸网络。此类产品通常被著名的‘脚本小子’使用，例如推动加密矿工的传播。”而真正的专业人士在暗网中操作，可能更难找到：“专业暗网市场通常经过审核且仅限邀请访问，”Nuspire网络威胁分析师Josh Smith知道。“但一旦获得访问权限，后续流程设计得异常客户友好——包括卖家声誉系统。”

“许多此类服务提供简单界面，可将僵尸网络对准IP或URL，然后通过按钮启动攻击。用户可以直接从浏览器瘫痪网站和服务器，并通过加密货币支付保持匿名，”Rogers解释。“更复杂的威胁行为者如勒索软件团伙可能与TrickBot等大型僵尸网络操作者直接合作，以启动大规模鱼叉式网络钓鱼活动，”Kroll网络风险副董事总经理Laurie Iacono认为。“一旦计算机被感染，恶意软件会收集信息，帮助勒索软件渗透网络。”

此类僵尸网络服务的成本相对可控，StrikeReady首席产品官Anurag Gurtu透露：“访问僵尸网络每小时可能花费高达10美元。”用户得到他们所支付的：“如果您想要世界特定地区的特定机器人，价格会上涨，”Marcus认为。“世界某些地区有质量更好的计算机。例如，基于美国和欧盟境内机器和IP地址的僵尸网络价格显著不同，因为美国的计算机更强大。”

防止僵尸网络攻击

防范僵尸网络可以采取两种不同形式：

防止您自己的设备变成机器人，或
抵御通过僵尸网络发起的攻击。

在这两种情况下，很少有防御选项不是 already 适当安全策略的一部分：

黑客经常通过网络钓鱼电子邮件传播的恶意软件将设备转变为僵尸计算机。因此，全面培训员工识别网络钓鱼至关重要。
安全不足的物联网设备也经常被纳入僵尸网络。因此，确保此类设备不使用制造商设置的默认密码。
如果网络犯罪分子成功将恶意软件植入您的计算机，您需要最新的防病毒解决方案来检测它们。
如果您成为DDoS攻击的受害者，可以过滤恶意流量或通过内容分发网络（CDN）扩展您的容量。

此外，还有一些僵尸网络特定技术可用于保护自己。例如，Breen建议关注可疑流量：“流量分析听起来复杂，但可以揭示僵尸网络命令与控制流量。”

“我们使用多种工具来阻止僵尸网络，”Lumen Black Lotus Labs威胁情报总监Mark Dehus阐述。“例如，一旦发现新的恶意软件样本，我们可以通过逆向工程了解其向命令与控制服务器报告的方法。这样我们可以模拟一个机器人，连接可疑服务器，验证它们，并监控它们向机器人发送的命令。与僵尸网络及其操作者的斗争是漫长的，但我们希望能扭转局面。”