我最喜欢的网络安全术语之一是“僵尸网络”,它让人联想到各种各样的图像:相互连接的机器人,成群结队的网络工作者同时为一个目标提供动力。有趣的是,这个词所唤起的形象与僵尸网络很相似——至少在迂回的术语中是这样。
僵尸网络在世界各地的计算能力相当大。这种力量经常(也许是始终如一)是恶意软件、勒索软件、垃圾邮件等的来源。但是僵尸网络是如何产生的呢?谁控制他们?我们怎样才能阻止他们?
SearchSecurity僵尸网络的定义是“僵尸网络是互联网连接设备的集合,其中可能包括个人电脑、服务器、移动设备和物联网设备,这些设备受到一种常见类型的恶意软件的感染和控制。用户通常不知道僵尸网络感染了他们的系统。”
定义的最后一句话是关键。僵尸网络中的设备通常不是自愿存在的。感染了某些恶意软件变种的设备由远程威胁参与者(又称网络罪犯)控制。恶意软件隐藏设备上的恶意僵尸网络活动,使所有者不知道自己在网络中的角色。你可能会发送垃圾邮件,提供数以千计的附属品——毫无头绪。
因此,我们经常将受感染的僵尸网络设备称为“僵尸”
根据僵尸网络运营商的需求,僵尸网络具有几种常见功能:
僵尸网络运营商通常将他们的网络转向这些功能以产生利润。例如,向美国公民发送医疗垃圾邮件的僵尸网络运营商也拥有提供这些商品的仿冒药店。(哦,是的,邮件末尾有实际的产品。布莱恩·克雷布斯的《垃圾邮件之国》是对这个问题的一个极好的研究。)
在过去几年中,主要的僵尸网络已经稍微改变了方向。尽管医疗和其他类似类型的垃圾邮件在很长一段时间内利润丰厚,但一些国家的**打击措施侵蚀了利润。因此,根据赛门铁克2017年7月的情报报告,携带恶意附件的电子邮件数量上升到每359封电子邮件中就有一封。
我们知道僵尸网络是由受感染的计算机组成的网络。然而,核心组件和实际僵尸网络架构是有趣的考虑。
僵尸网络体系结构主要有两种:
指挥与控制(有时是书面的C&C或C2)协议有多种形式:
僵尸网络之谜的最后一块是被感染的设备(即僵尸)。
僵尸网络运营商故意扫描并感染易受攻击的设备,以扩大其操作能力。我们在上面列出了僵尸网络的主要用途。所有这些功能都需要计算能力。此外,僵尸网络运营商之间并不总是友好的,他们会将受感染机器的电源转向彼此。
绝大多数时候,僵尸设备的拥有者都不知道自己在僵尸网络中的角色。然而,有时僵尸网络恶意软件充当其他恶意软件变种的管道。
这段ESET视频很好地解释了僵尸网络是如何扩展的:
网络设备正以惊人的速度上线。僵尸网络不仅在寻找个人电脑或Mac电脑。正如您将在下一节中了解到的,物联网设备同样容易(如果不是更多的话)受到僵尸网络恶意软件变种的影响。尤其是因为他们的安全问题而被发现。
智能**和平板电脑也不安全。在过去几年中,Android已经出现了几个僵尸网络。Android很容易成为攻击目标:它是开源的,有多个操作系统版本,而且在任何时候都有许多漏洞。别这么快高兴,iOS用户。有几个针对苹果移动设备的恶意软件变种,尽管通常仅限于有安全漏洞的越狱iPhone。
另一个核心僵尸网络设备目标是易受攻击的路由器。运行旧的和不安全的固件的路由器很容易成为僵尸网络的攻击目标,而且许多用户不会意识到他们的互联网门户携带病毒。类似地,在安装路由器之后,数量惊人的互联网用户无法更改路由器的默认设置。与物联网设备一样,这使得恶意软件能够以惊人的速度传播,几乎不受数千台设备感染的影响。
拆除僵尸网络并非易事,原因有很多。有时僵尸网络架构允许操作员快速重建。在其他时候,僵尸网络实在是太大了,无法一下子取下。大多数僵尸网络攻击都需要安全研究人员、**机构和其他黑客之间的协调,有时需要依靠提示或意外的后门。
安全研究人员面临的一个主要问题是,模仿者使用相同的恶意软件启动操作相对容易。
我将使用GameOver-Zeus(GOZ)僵尸网络作为一个例子。GOZ是最近最大的僵尸网络之一,据信在其高峰期有超过一百万个被感染的设备。僵尸网络的主要用途是金钱盗窃(分发CryptoLocker勒索软件)和垃圾邮件,并且使用一种复杂的点对点域生成算法,似乎势不可挡。
域生成算法允许僵尸网络预先生成长的域列表,用作僵尸网络恶意软件的“集合点”。多个集合点使得阻止扩散几乎是不可能的,因为只有操作员知道域的列表。
2014年,一个安全研究小组与美国联邦调查局(FBI)和其他国际机构合作,最终在“托瓦尔行动”(Operation Tovar)中迫使GameOver-Zeus离线。这并不容易。在注意到域名注册顺序后,该小组在行动开始前的六个月内注册了大约15万个域名。这是为了阻止任何来自僵尸网络运营商的未来域名注册。
接下来,几个isp对GOZ的代理节点进行操作控制,僵尸网络操作员使用这些节点在命令和控制服务器与实际僵尸网络之间进行通信。“托瓦尔行动”的首席FBI调查员埃利奥特·彼得森(Elliot Peterson)说:“我们能够说服这些机器人,让他们相信我们是可以交谈的,但所有被坏人控制的同龄人、代理和超级节点都是不好交谈的,应该被忽略。”
僵尸网络所有者叶夫根尼·博加乔夫(网名斯拉维克)意识到,一个小时后就实施了拆除行动,并试图再反击四五个小时,才“认输”。
之后,研究人员破解了臭名昭著的CryptoLocker勒索软件加密,为受害者创造了免费解密工具。
对抗宙斯的措施是广泛的,但也是必要的。它说明,精巧**的僵尸网络的巨大威力要求采取全球性的缓解措施,要求“采用传统执法工具的创新法律和技术策略”,以及“与全球10多个国家的私营行业专家和执法同行建立强有力的工作关系”
但并非所有的僵尸网络都是一样的。当一个僵尸网络达到它的终点时,另一个操作者正在从破坏中学习。
2016年,最大最坏的僵尸网络是Mirai。在部分拆除之前,基于物联网的Mirai僵尸网络以惊人的DDoS攻击击中了几个突出目标。一次这样的攻击以620Gbps的速度袭击了安全研究人员Brian Krebs的博客,最终迫使Krebs的DDoS防护放弃了他作为客户端的身份。接下来几天的另一次攻击以1.2Tbps的速度袭击了法国云主机提供商OVH,这是有史以来最大的一次攻击。下图显示了Mirai袭击了多少个国家。
尽管Mirai还没有接近成为有史以来最大的僵尸网络,但它产生了最大的攻击。奇迹利用了大量不安全的物联网设备,使用了62个不安全的默认密码来收集设备(admin/admin是最重要的,如图所示)。
安全研究员Marcus Hutchins(又名MalwareTech)解释说,Mirai强大的部分原因是大多数物联网设备都坐在那里,在接到请求之前什么都不做。这意味着他们几乎总是在线,而且几乎总是有网络资源可以共享。传统的僵尸网络运营商会相应地分析它们的峰值功率周期和时间攻击。物联网僵尸网络,没那么多。
因此,随着配置更差的物联网设备上线,被利用的机会也越来越大。
我们已经了解了僵尸网络的功能,它们是如何成长的,等等。但是如何阻止你的设备成为其中的一部分呢?第一个答案很简单:更新你的系统。定期更新修补操作系统中易受攻击的漏洞,进而切断攻击的途径。
第二个是下载和更新防病毒程序,以及反恶意软件程序。有许多免费的杀毒套件提供了卓越的,低影响的保护。投资于反恶意软件程序,比如Malwarebytes。恶意网站的高级订阅将为您提供24.95美元的年度回报,从而为您提供实时恶意软件保护。我认为,值得投资。
最后,获取一些额外的浏览器安全性。Drive-by漏洞工具包是一个麻烦,但是当您使用uBlock Origin这样的脚本阻止扩展时,它们很容易避免。
你的电脑是僵尸网络的一部分吗?你怎么知道的?你知道是哪个感染者在使用你的设备吗?下面让我们知道你的经历!
...查以确保**和电脑上安装的所有应用程序仍能收到更新是什么时候?如果你和大多数人一样,你可能从来没有做过这样的审计。 ...
... 因此,人们在不知道自己的设备是僵尸网络的一部分的情况下继续日常生活是完全正常的。这使得拆除僵尸网络非常困难,因为拥有这些设备的人没有意识到他们是僵尸网络的一部分。 ...
...增强。一个充分组织和全球化的僵尸网络将摧毁互联网的一部分,而不仅仅是单个网站,这就是它们所拥有的力量。尽管威力巨大,最大的DDoS攻击并没有使用传统的僵尸网络结构。 ...
...他们的需要。现在又出现了另一种Mirai变体。 相关报道:什么是僵尸网络? 如何保护自己不受米莱的伤害 Mirai和其他僵尸网络一样,利用已知的漏洞攻击设备并对其进行破坏。它还尝试使用已知的默认登录凭据进入设备并接管...
...rootkit、键盘记录程序、间谍软件等等。但是这些术语是什么意思呢? 这些术语不仅仅是极客们使用的。他们甚至进入了关于最新网络安全问题和技术恐慌的主流新闻报道。了解它们将帮助你了解你所听到的危险。 恶意软件 “...