一、什么是僵尸網(wǎng)絡(luò)？

僵尸網(wǎng)絡(luò)（Botnet）是一組遭到惡意軟件感染并被惡意用戶控制的計(jì)算機(jī)集合。這個(gè)術(shù)語(yǔ)由"機(jī)器人（Bot）"和"網(wǎng)絡(luò)（Net）“兩個(gè)詞組合而成，每一臺(tái)受感染的設(shè)備被稱為"機(jī)器人”。僵尸網(wǎng)絡(luò)被濫用來(lái)執(zhí)行非法或惡意的任務(wù)，包括發(fā)送垃圾郵件、竊取數(shù)據(jù)、傳播勒索軟件、進(jìn)行欺詐性廣告點(diǎn)擊，以及實(shí)施分布式拒絕服務(wù)（DDoS）攻擊。

盡管某些惡意軟件，如勒索軟件，會(huì)直接影響設(shè)備的所有者，但DDoS僵尸網(wǎng)絡(luò)的惡意軟件在設(shè)備上的可見(jiàn)性各不相同。有些惡意軟件用于完全控制設(shè)備，而其他惡意軟件則以后臺(tái)進(jìn)程的方式悄悄運(yùn)行，等待攻擊者或"僵尸掌控者"的指令。

自我傳播的僵尸網(wǎng)絡(luò)通過(guò)多種途徑來(lái)招募更多的機(jī)器人。感染路徑包括利用網(wǎng)站漏洞、特洛伊木馬惡意軟件以及破解弱密碼來(lái)獲取遠(yuǎn)程訪問(wèn)權(quán)限。一旦獲得訪問(wèn)權(quán)限，所有這些感染方式都會(huì)在目標(biāo)設(shè)備上安裝惡意軟件，以便僵尸網(wǎng)絡(luò)的操作者進(jìn)行遠(yuǎn)程控制。一旦設(shè)備感染，可能會(huì)試圖通過(guò)向周圍的網(wǎng)絡(luò)招募其他硬件設(shè)備，以傳播僵尸網(wǎng)絡(luò)的惡意軟件。

雖然無(wú)法確定特定僵尸網(wǎng)絡(luò)中機(jī)器人的確切數(shù)量，但根據(jù)估計(jì)，復(fù)雜的僵尸網(wǎng)絡(luò)可以包含從幾千臺(tái)到數(shù)百萬(wàn)臺(tái)不等的機(jī)器人。

二、僵尸網(wǎng)絡(luò)因?yàn)槭裁丛蚨Q生？

使用僵尸網(wǎng)絡(luò)的原因多種多樣，包括激進(jìn)主義和國(guó)家支持的破壞活動(dòng)，以及為了經(jīng)濟(jì)利益而進(jìn)行的攻擊。在線招募僵尸網(wǎng)絡(luò)服務(wù)的成本相對(duì)較低，尤其是考慮到可能造成的損失時(shí)，價(jià)格優(yōu)勢(shì)顯著。此外，創(chuàng)建僵尸網(wǎng)絡(luò)的門檻也很低，因此成為某些軟件開發(fā)人員的盈利方式，尤其在監(jiān)管和執(zhí)法力度有限的地區(qū)得到廣泛應(yīng)用?？傊峁┏鲎庹心挤?wù)的在線平臺(tái)已經(jīng)迅速在全球流行開來(lái)。

三、僵尸網(wǎng)絡(luò)主要用途

僵尸網(wǎng)絡(luò)作為非法活動(dòng)的代理服務(wù)器，不會(huì)暴露犯罪者的身份。通過(guò)使用數(shù)千個(gè)設(shè)備進(jìn)行非法活動(dòng)，犯罪的起源得以隱匿，同時(shí)為網(wǎng)絡(luò)犯罪分子提供了幾乎無(wú)限的計(jì)算能力。這些能力可以用于：

1. 提交廣告欺詐?？梢岳脭?shù)千臺(tái)電腦重復(fù)點(diǎn)擊廣告，為利用廣告點(diǎn)擊賺錢的欺詐者提供充足的利潤(rùn)。
2. 下載并分發(fā)非法材料，如兒童色情內(nèi)容，或一般垃圾郵件人在線。公司將付出巨額的資金，盡可能廣泛地傳播廣告。租用僵尸網(wǎng)絡(luò)或雇用一個(gè)可以訪問(wèn)的業(yè)務(wù)是實(shí)現(xiàn)此目的的最簡(jiǎn)單的方法。
3. 挖掘比特幣可以通過(guò)將工作量分散在數(shù)千機(jī)器人上來(lái)使其變得更富有。
4. 竊取您的私人數(shù)據(jù)，包括通過(guò)使用鍵盤記錄器來(lái)竊取密碼和信用卡信息。
5. 提交僵尸網(wǎng)絡(luò) DDoS 攻擊和重載，弄崩潰一個(gè)在線服務(wù)，如Twitter或Spotify。
6. 發(fā)送垃圾郵件，以騙取新的受害者的信用卡信息和私人信息。
7. 通過(guò)電子郵件附件將勒索軟件ransomware傳播給新的受害者。
8. 每個(gè)計(jì)算機(jī)都可以算作一個(gè)獨(dú)一無(wú)二的投票，以僵尸網(wǎng)絡(luò)進(jìn)行投票欺詐可以極大地影響結(jié)果。
9. 強(qiáng)力攻擊企業(yè)服務(wù)器，找出一個(gè)密碼，并訪問(wèn)一個(gè)主要的業(yè)務(wù)網(wǎng)絡(luò)。

宙斯僵尸網(wǎng)絡(luò)，由 360 萬(wàn)機(jī)器人組成，可能與您的設(shè)備接觸。Zbot 和其他惡意軟件源自 Facebook 等受歡迎的感染渠道。互聯(lián)網(wǎng)設(shè)備易受攻擊，先前的攻擊已癱瘓了多個(gè)服務(wù)。黑客可以在 15 分鐘內(nèi)創(chuàng)建僵尸網(wǎng)絡(luò)，影響甚至包括您的冰箱和家用電腦。每個(gè)人都可能受到影響，因此即使不知情的情況下，你的計(jì)算機(jī)參與非法活動(dòng)也需要負(fù)責(zé)任。

四、僵尸網(wǎng)絡(luò)如何工作？

像任何惡意軟件感染一樣，bot 感染有特定的階段，進(jìn)入系統(tǒng)，與 botmaster 進(jìn)行通信并執(zhí)行任務(wù)。對(duì)他們的最好解釋如下：

4.1 感染

botmaster 發(fā)送惡意軟件來(lái)感染計(jì)算機(jī)。這些可以通過(guò)驅(qū)動(dòng)下載，可疑電子郵件附件或社交媒體帖子中的鏈接進(jìn)入您的計(jì)算機(jī)。bot 惡意軟件將利用您軟件中的漏洞，通過(guò)你過(guò)時(shí)的插件或過(guò)時(shí)的操作系統(tǒng)尋找后門訪問(wèn)。然后，它就在你的系統(tǒng)中生根了。

4.2 連接

在你的系統(tǒng)中，惡意軟件將使用互聯(lián)網(wǎng)與命令和控制服務(wù)器（C2）進(jìn)行連接。你的計(jì)算機(jī)將在此階段保持閑置，bot 休眠，除了定期檢查 botmaster 的指示外。由于系統(tǒng)的影響如此之小，你卻完全不了解這一切。

4.3 控制

僵尸網(wǎng)絡(luò)作為一個(gè)整體可能會(huì)在等待執(zhí)行任務(wù)時(shí)休息一段時(shí)間。一旦 botmaster 有一個(gè)僵尸網(wǎng)絡(luò)的目標(biāo)，他/她就會(huì)通過(guò)命令和控制服務(wù)器向bots 發(fā)送指令。在這個(gè)階段，僵尸網(wǎng)絡(luò)引導(dǎo)程序喚醒并開始執(zhí)行惡意活動(dòng)，例如發(fā)送垃圾郵件或參與 DDoS 攻擊。

4.4 滾雪球復(fù)制

同時(shí)，botmaster 將專注于招募越來(lái)越多的電腦來(lái)擴(kuò)展僵尸網(wǎng)絡(luò)。由于這些電腦似乎沒(méi)有做任何事情，僵尸網(wǎng)絡(luò)可能會(huì)包含成千上萬(wàn)的僵尸電腦，而不會(huì)引起任何懷疑。

五、如何控制僵尸網(wǎng)絡(luò)？

僵尸網(wǎng)絡(luò)的核心特征是能夠接收僵尸牧人（bot herder）發(fā)出的更新指令。由于能夠與網(wǎng)絡(luò)中每個(gè)機(jī)器人進(jìn)行通訊，攻擊者可改變攻擊手段、更改目標(biāo)IP 地址、終止攻擊或進(jìn)行其他自定義行動(dòng)。

僵尸網(wǎng)絡(luò)設(shè)計(jì)各不相同，但控制結(jié)構(gòu)可分為兩大類：

5.1 客戶端/服務(wù)器僵尸網(wǎng)絡(luò)模型

客戶端/服務(wù)器模型模擬傳統(tǒng)遠(yuǎn)程工作站的工作流程，其中每臺(tái)機(jī)器都連接到集中式服務(wù)器（或少數(shù)集中式服務(wù)器），以便訪問(wèn)信息。在這種模型中，每個(gè)機(jī)器人將連接到命令和控制中心（CnC）資源（例如 Web 域或 IRC 通道），以便接收指令。通過(guò)使用這些集中式存儲(chǔ)庫(kù)向僵尸網(wǎng)絡(luò)傳達(dá)新命令，攻擊者只需修改每個(gè)僵尸網(wǎng)絡(luò)從命令中心獲取的原始資源，即可向受感染機(jī)器傳達(dá)最新指令。控制僵尸網(wǎng)絡(luò)的集中式服務(wù)器可以是攻擊者自有及操控的設(shè)備，也可以是一臺(tái)受感染的設(shè)備。

目前已發(fā)現(xiàn)大量流傳甚廣的集中式僵尸網(wǎng)絡(luò)拓?fù)?，包括?/p>

5.1.1 星形網(wǎng)絡(luò)拓?fù)?/h5>

5.1.2 多服務(wù)器網(wǎng)絡(luò)拓?fù)?/h5>

5.1.3 分層網(wǎng)絡(luò)拓?fù)?/h5>

在以上各類客戶端/服務(wù)器模型中，每個(gè)機(jī)器人均連接命令中心資源（如 Web 域或 IRC 通道）以接收指令。鑒于使用這些集中式存儲(chǔ)庫(kù)向僵尸網(wǎng)絡(luò)傳達(dá)新命令，攻擊者只需從一個(gè)命令中心修改各個(gè)僵尸網(wǎng)絡(luò)占用的原始資源，即可向受感染機(jī)器傳達(dá)最新指令。

同時(shí)，利用有限數(shù)量的集中來(lái)源即可向僵尸網(wǎng)絡(luò)發(fā)送最新指令，這種簡(jiǎn)便性成為此類機(jī)器的又一漏洞；若要移除使用集中式服務(wù)器的僵尸網(wǎng)絡(luò)，只需中斷這臺(tái)服務(wù)器便可。在這一漏洞的驅(qū)使下，僵尸網(wǎng)絡(luò)惡意軟件創(chuàng)建者不斷發(fā)展，探索出一種不易受到單一或少量故障點(diǎn)干擾的新模型。

5.2 點(diǎn)對(duì)點(diǎn)僵尸網(wǎng)絡(luò)模型

為規(guī)避客戶端/服務(wù)器模型漏洞，最近惡意用戶一直使用分散式對(duì)等文件共享組件設(shè)計(jì)僵尸網(wǎng)絡(luò)。在僵尸網(wǎng)絡(luò)中嵌入控制結(jié)構(gòu)，消除采用集中式服務(wù)器的僵尸網(wǎng)絡(luò)的單點(diǎn)故障，緩解攻擊的難度隨之提高。P2P 機(jī)器人可以同時(shí)是客戶端和命令中心，協(xié)同相鄰節(jié)點(diǎn)傳播數(shù)據(jù)。

點(diǎn)對(duì)點(diǎn)僵尸網(wǎng)絡(luò)會(huì)維護(hù)受信任的計(jì)算機(jī)列表，僵尸網(wǎng)絡(luò)可根據(jù)列表往來(lái)通信并更新其惡意軟件。限制機(jī)器人連接的其他機(jī)器數(shù)量，使每個(gè)機(jī)器人僅對(duì)相鄰設(shè)備公開，這使得跟蹤和緩解難度相應(yīng)增高。由于缺乏集中式命令服務(wù)器，點(diǎn)對(duì)點(diǎn)僵尸網(wǎng)絡(luò)更容易受到僵尸網(wǎng)絡(luò)創(chuàng)建者以外的其他用戶的控制。為防止失控，分散式僵尸網(wǎng)絡(luò)通常經(jīng)過(guò)加密以限制訪問(wèn)。

六、IoT 設(shè)備如何變身為僵尸網(wǎng)絡(luò)？

雖然無(wú)人會(huì)使用后院觀鳥器的無(wú)線 CCTV 攝像頭進(jìn)行在線銀行業(yè)務(wù)，但這并不意味著這些設(shè)備不能發(fā)出必要的網(wǎng)絡(luò)請(qǐng)求。物聯(lián)網(wǎng)（IoT）設(shè)備的強(qiáng)大功能，結(jié)合薄弱的安全性和不當(dāng)?shù)呐渲?，為僵尸網(wǎng)絡(luò)惡意軟件吸納新的機(jī)器人提供了機(jī)會(huì)。隨著物聯(lián)網(wǎng)設(shè)備的不斷增加，DDoS攻擊也在升級(jí)，因?yàn)楹芏嘣O(shè)備容易受到攻擊，配置不當(dāng)。

如果物聯(lián)網(wǎng)設(shè)備的漏洞嵌入在固件中，更新變得更加困難。為減少風(fēng)險(xiǎn)，應(yīng)定期更新使用過(guò)時(shí)固件的 IoT 設(shè)備，因?yàn)槟J(rèn)憑證通常不會(huì)改變。由于許多廉價(jià)硬件制造商不注重設(shè)備安全性，因此僵尸網(wǎng)絡(luò)惡意軟件利用物聯(lián)網(wǎng)設(shè)備的漏洞仍然存在，這一安全風(fēng)險(xiǎn)尚未消除。

七、如何禁用現(xiàn)有的僵尸網(wǎng)絡(luò)？

7.1 禁用僵尸網(wǎng)絡(luò)的控制中心

如果可以識(shí)別控制中心，禁用按照命令和控制模式設(shè)計(jì)的僵尸網(wǎng)絡(luò)也會(huì)變得更加輕松。切斷故障點(diǎn)的頭節(jié)點(diǎn)可以使整個(gè)僵尸網(wǎng)絡(luò)進(jìn)入離線狀態(tài)。因此，系統(tǒng)管理員和執(zhí)法人員可集中精力關(guān)閉這些僵尸網(wǎng)絡(luò)的控制中心。如果命令中心所在的國(guó)家/地區(qū)執(zhí)法力度較弱或不愿做出干預(yù)，實(shí)施難度將進(jìn)一步加大。

7.2 避免個(gè)人設(shè)備感染

對(duì)于個(gè)人計(jì)算機(jī)，若要重新獲得對(duì)計(jì)算機(jī)的控制權(quán)，可以采用以下策略：運(yùn)行防病毒軟件、使用安全備份重新安裝軟件，或者在重新格式化系統(tǒng)后使用初始狀態(tài)的計(jì)算機(jī)重新啟動(dòng)。對(duì)于 IoT 設(shè)備，則可采用以下策略：刷新固件、恢復(fù)出廠設(shè)置或以其他方式格式化設(shè)備。如果這些方案不可行，設(shè)備制造商或系統(tǒng)管理員有可能提供其他策略。

八、如何保護(hù)設(shè)備，防止其加入僵尸網(wǎng)絡(luò)？

8.1 創(chuàng)建安全密碼

對(duì)于很多易受攻擊的設(shè)備，減少遭受僵尸網(wǎng)絡(luò)攻擊的危險(xiǎn)，可能只需要更改管理憑據(jù)，以避免使用默認(rèn)用戶名和密碼。創(chuàng)建安全密碼可增加暴力破解的難度，創(chuàng)建了高度安全的密碼，則暴力破解幾乎不再可能。例如，感染 Mirai 惡意軟件的設(shè)備將掃描 IP 地址，查找響應(yīng)設(shè)備。一旦設(shè)備對(duì) Ping 請(qǐng)求做出響應(yīng)，機(jī)器人將嘗試使用一個(gè)預(yù)設(shè)默認(rèn)憑證列表登錄找到的設(shè)備。如果更改了默認(rèn)密碼并且采用了安全密碼，機(jī)器人將放棄并繼續(xù)尋找更容易攻擊的設(shè)備。

8.2 僅允許通過(guò)可信方式執(zhí)行第三方代碼

如果采用手機(jī)的軟件執(zhí)行模式，則僅允許的應(yīng)用可以運(yùn)行，賦予更多控制來(lái)終止被認(rèn)定為惡意的軟件（包括僵尸網(wǎng)絡(luò)）。只有管理軟件（如內(nèi)核）被利用才會(huì)導(dǎo)致設(shè)備被利用。這取決于首先具有安全內(nèi)核，而大多數(shù) IoT 設(shè)備并沒(méi)有安全內(nèi)核，此方法更適用于運(yùn)行第三方軟件的機(jī)器。

8.3 定期擦除/還原系統(tǒng)

在過(guò)了設(shè)定的時(shí)間后還原為已知良好狀態(tài)，從而刪除系統(tǒng)收集的各種垃圾，包括僵尸網(wǎng)絡(luò)軟件。如果用作預(yù)防措施，此策略可確保即使惡意軟件靜默運(yùn)行也會(huì)遭到丟棄。

8.4 實(shí)施良好的入口和出口過(guò)濾實(shí)踐

其他更高級(jí)的策略包括在網(wǎng)絡(luò)路由器和防火墻執(zhí)行過(guò)濾。安全網(wǎng)絡(luò)設(shè)計(jì)的一個(gè)原則是分層：在公共可訪問(wèn)資源周圍的限制最小，同時(shí)對(duì)您認(rèn)為敏感的內(nèi)容加強(qiáng)安全保護(hù)。此外，對(duì)跨越邊界的任何內(nèi)容進(jìn)行仔細(xì)檢查：包括網(wǎng)絡(luò)流量、U 盤等。采用高質(zhì)量過(guò)濾的做法后，更有可能在 DDoS 惡意軟件及其傳播方法和通訊進(jìn)入或離開網(wǎng)絡(luò)前將其攔截。

文末送書《云計(jì)算安全——機(jī)器學(xué)習(xí)與大數(shù)據(jù)挖掘應(yīng)用實(shí)踐》

今天博主推薦的是：國(guó)內(nèi)首本“數(shù)據(jù)要素安全流通”主題的著作 --《數(shù)據(jù)要素安全流通》

• 參與方式：關(guān)注博主，評(píng)論區(qū)留言即可參與

• 送出數(shù)量：暫定送出 1~2 本給粉絲

• 京東官方購(gòu)買鏈接：https://item.jd.com/13075223.html

本書簡(jiǎn)要介紹了人工智能、云計(jì)算、大數(shù)據(jù)挖掘等基礎(chǔ)知識(shí)，重點(diǎn)闡述了人工智能和大數(shù)據(jù)挖掘技術(shù)應(yīng)用在云計(jì)算安全領(lǐng)域，用于解決云計(jì)算場(chǎng)景所面臨的系列信息安全難題，如傳統(tǒng)的網(wǎng)絡(luò)信息安全防護(hù)措施無(wú)法直接部署到云計(jì)算場(chǎng)景、云內(nèi)病毒感染成指數(shù)級(jí)擴(kuò)散、針對(duì)云基礎(chǔ)設(shè)施的高級(jí)威脅攻擊難以被及時(shí)發(fā)現(xiàn)等。另外，詳細(xì)闡述了人工智能的機(jī)器學(xué)習(xí)算法在解決云網(wǎng)絡(luò)微隔離、云主機(jī)防惡意代碼、云東西向流量全息解析和云安全運(yùn)維自動(dòng)化等方面的應(yīng) 用，并用實(shí)際實(shí)現(xiàn)原型來(lái)深入探討實(shí)踐過(guò)程中所遇到的難題及解決思路。

內(nèi)容簡(jiǎn)介

本書既有理論研究，又有實(shí)踐探討，共分為6章，講解了云計(jì)算安全中人工智能與大數(shù)據(jù)挖掘技術(shù)的應(yīng)用實(shí)踐。

• 第1章從概念、發(fā)展、標(biāo)準(zhǔn)等角度宏觀地介紹了云計(jì)算安全；
• 第2章從云計(jì)算安全需求的角度闡釋云計(jì)算安全的核心目標(biāo)、公有云場(chǎng)景下的安全需求和私有云場(chǎng)景下的安全需求；
• 第3章全面、系統(tǒng)地介紹了公有云安全技術(shù)體系和私有云安全技術(shù)體系；
• 第4章詳細(xì)介紹了人工智能技術(shù)在云計(jì)算安全領(lǐng)域的應(yīng)用實(shí)踐；
• 第5章詳細(xì)介紹了大數(shù)據(jù)挖掘技術(shù)在云計(jì)算安全領(lǐng)域的應(yīng)用實(shí)踐；
• 第6章介紹了人工智能和大數(shù)據(jù)挖掘技術(shù)的綜合應(yīng)用，提出云數(shù)據(jù)中心安全防護(hù)框架，并詳細(xì)介紹了云數(shù)據(jù)中心安全態(tài)勢(shì)感知系統(tǒng)。

本書是人工智能與大數(shù)據(jù)挖掘技術(shù)在云計(jì)算安全領(lǐng)域的應(yīng)用實(shí)踐參考書，適用于人工智能、大數(shù)據(jù)挖掘、云計(jì)算、網(wǎng)絡(luò)信息安全相關(guān)領(lǐng)域的從業(yè)人員。

關(guān)于作者

王智民，男，清華大學(xué)物理學(xué)碩士，經(jīng)管學(xué)院MBA。曾任職華為、華三、聯(lián)想等企業(yè)，現(xiàn)就職于北京六方云科技有限公司，聯(lián)合創(chuàng)始人，CTO。2003年進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域從事產(chǎn)品研發(fā)與技術(shù)管理至今，在工控安全、云安全、人工智能安全等領(lǐng)域有多年的深入研究和產(chǎn)品研發(fā)經(jīng)驗(yàn)，申請(qǐng)30多個(gè)相關(guān)發(fā)明專利，參與多個(gè)國(guó)家標(biāo)準(zhǔn)撰寫。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-712697.html

[ 本文作者 ]   bluetata
[ 原文鏈接 ]   https://bluetata.blog.csdn.net/article/details/133608132
[ 最后更新 ]   10/10/2023 1:47
[ 版權(quán)聲明 ]   如果您在非 CSDN 網(wǎng)站內(nèi)看到這一行，
說(shuō)明網(wǎng)絡(luò)爬蟲可能在本人還沒(méi)有完整發(fā)布的時(shí)候就抓走了我的文章，
可能導(dǎo)致內(nèi)容不完整，請(qǐng)去上述的原文鏈接查看原文。

到了這里，關(guān)于【云計(jì)算網(wǎng)絡(luò)安全】僵尸網(wǎng)絡(luò)詳解：工作原理、控制和保護(hù)方法的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！