僵尸网络指的是一组已被恶意软件感染并受恶意行为者控制的计算机。术语僵尸网络是机器人和网络这个词,每个受感染的设备都被称为机器人。僵尸网络可以设计用于完成非法或恶意任务,包括发送垃圾邮件,窃取数据,勒索软件,欺诈性地点击广告或分布式拒绝服务(DDoS)攻击。
虽然一些恶意软件(如勒索软件)会对设备所有者产生直接影响,但DDoS僵尸网络恶意软件可以具有不同级别的可见性; 一些恶意软件旨在完全控制设备,而其他恶意软件作为后台进程默默运行,同时静静地等待来自攻击者或“僵尸牧民”的指令。
自我传播的僵尸网络通过各种不同的渠道招募额外的机器人。感染途径包括利用网站漏洞,特洛伊木马恶意软件以及破解弱认证以获得远程访问。一旦获得访问权限,所有这些感染方法都会导致在目标设备上安装恶意软件,从而允许僵尸网络的操作员进行远程控制。一旦设备被感染,它可能会尝试通过招募周围网络中的其他硬件设备来自我传播僵尸网络恶意软件。
虽然确定特定僵尸网络中僵尸程序的确切数量是不可行的,但对复杂僵尸网络中僵尸程序总数的估计范围从几千到一百多万不等。
为什么要创建僵尸网络?
使用僵尸网络的原因包括从激进主义到国家支持的破坏,许多攻击只是为了获利而进行的。在线招聘僵尸网络服务相对便宜,特别是与他们可能造成的损害程度有关。创建僵尸网络的障碍也足够低,使其成为某些软件开发商的利润丰厚的业务,特别是在监管和执法有限的地理位置。这种组合导致了提供针对雇佣攻击的在线服务的激增。
僵尸网络是如何控制的?
僵尸网络的核心特征是能够从僵尸牧民那里接收更新的指令。与网络中的每个机器人通信的能力允许攻击者交替攻击向量,更改目标IP地址,终止攻击以及其他自定义操作。僵尸网络设计各不相同,但控制结构可分为两大类:
客户端/服务器僵尸网络模型
客户端/服务器模型模仿传统的远程工作站工作流,其中每台机器连接到中央服务器(或少量集中式服务器)以访问信息。在此模型中,每个机器人将连接到命令和控制中心(CnC)资源,如Web域或IRC通道,以便接收指令。通过使用这些集中式存储库为僵尸网络提供新命令,攻击者只需修改每个僵尸网络从命令中心消耗的源材料,以便更新受感染机器的指令。控制僵尸网络的集中式服务器可以是攻击者拥有和操作的设备,也可以是受感染的设备。
已经观察到许多流行的集中式僵尸网络拓扑,包括:
星网络拓扑
多服务器网络拓扑
分层网络拓扑
在任何这些客户端/服务器模型中,每个机器人将连接到命令中心资源,如Web域或IRC通道,以便接收指令。通过使用这些集中式存储库为僵尸网络提供新命令,攻击者只需修改每个僵尸网络从命令中心消耗的源材料,以便更新受感染机器的指令。
从有限数量的集中式源向僵尸网络更新指令的简单性是这些机器的漏洞; 为了使用集中式服务器删除僵尸网络,只需要中断服务器。由于此漏洞,僵尸网络恶意软件的创建者已经发展并转向新模型,该模型不易受到单个或几个故障点的干扰。
点对点僵尸网络模型
为了规避客户端/服务器模型的漏洞,最近使用分散的对等文件共享组件设计了僵尸网络。在僵尸网络中嵌入控制结构消除了使用集中式服务器的僵尸网络中存在的单点故障,使缓解工作更加困难。P2P机器人可以是客户端和命令中心,与其相邻节点携手传播数据。
点对点僵尸网络维护一个可信计算机列表,用户可以通过这些计算机提供和接收通信并更新其恶意软件。通过限制机器人连接的其他机器的数量,每个机器人仅暴露给相邻设备,使得更难跟踪并且更难以缓解。缺乏集中式命令服务器使得对等僵尸网络更容易受到僵尸网络创建者以外的其他人的控制。为了防止失去控制,分散的僵尸网络通常是加密的,因此访问受到限制。
物联网设备如何成为僵尸网络?
没有人通过他们放在后院观看喂鸟器的无线闭路电视摄像机进行网上银行业务,但这并不意味着该设备无法提供必要的网络请求。物联网设备的强大功能加上弱配置或配置不当的安全性,为僵尸网络恶意软件招募新机器人进入集体创造了机会。物联网设备的增长导致了DDoS攻击的新局面,因为许多设备配置不当且容易受到攻击。
如果物联网设备的漏洞被硬编码到固件中,则更新会更加困难。为降低风险,应更新具有过期固件的物联网设备,因为默认凭据通常在初始安装设备时保持不变。许多折扣硬件制造商没有受到激励,以使他们的设备更安全,使僵尸网络恶意软件对物联网设备造成的漏洞仍然是一个未解决的安全风险。
现有的僵尸网络是如何禁用的?
禁用僵尸网络的控制中心:
一旦可以识别控制中心,就可以更容易地禁用使用命令和控制模式设计的僵尸网络。在故障点切断头部可以使整个僵尸网络脱机。因此,系统管理员和执法官员专注于关闭这些僵尸网络的控制中心。如果指挥中心在执法能力较差或不愿干预的国家开展业务,这一过程就更加困难。
消除个别设备上的感染:
对于个人计算机,重新获得对计算机的控制权的策略包括运行防病毒软件,从安全备份重新安装软件,或在重新格式化系统后从干净的计算机重新启动。对于物联网设备,策略可能包括闪存固件,运行恢复出厂设置或以其他方式格式化设备。如果这些选项不可行,则可以从设备制造商或系统管理员处获得其他策略。
如何保护设备免于成为僵尸网络的一部分?
创建安全密码:
对于许多易受攻击的设备,减少僵尸网络漏洞的暴露可以像将管理凭据更改为默认用户名和密码之外的其他内容一样简单。创建安全密码会使暴力破解变得困难,创建一个非常安全的密码使得暴力破解几乎不可能。例如,感染Mirai恶意软件的设备将扫描寻找响应设备的IP地址。一旦设备响应ping请求,机器人将尝试使用预设的默认凭证列表登录到找到的设备。如果已更改默认密码并且已实施安全密码,则机器人将放弃并继续前进,寻找更易受攻击的设备。
仅允许受信任的第三方代码执行:
如果您采用软件执行的手机模型,则只能运行列入白名单的应用程序,授予更多控制权来杀死被视为恶意软件的软件,包括僵尸网络。仅利用管理程序软件(即内核)可能导致对设备的利用。这取决于首先拥有安全内核,大多数物联网设备都没有,并且更适用于运行第三方软件的机器。
定期系统擦除/恢复:
在设定的时间后恢复到已知良好状态将删除系统收集的任何垃圾,包括僵尸网络软件。当用作预防措施时,此策略可确保即使是静默运行的恶意软件也会被丢弃。
实施良好的入口和出口过滤实践:
其他更高级的策略包括网络路由器和防火墙的过滤实践。安全网络设计的原则是分层:您对可公开访问的资源的限制最少,同时不断增强您认为敏感的内容的安全性。 此外,必须仔细检查跨越这些边界的任何内容:网络流量,USB驱动器等。质量过滤实践增加了在进入或离开网络之前捕获DDoS恶意软件及其传播和通信方法的可能性。
如果您目前处于攻击状态,可以采取措施摆脱压力。如果您已经使用Cloudflare,则可以按照以下步骤缓解攻击。我们在Cloudflare实施的DDoS保护是多方面的,以减轻许多可能的攻击媒介。了解有关Cloudflare DDoS保护的更多信息。