我最喜欢的网络安全术语之一是“僵尸网络”，它让人联想到各种各样的图像：相互连接的机器人，成群结队的网络工作者同时为一个目标提供动力。有趣的是，这个词所唤起的形象与僵尸网络很相似——至少在迂回的术语中是这样。

僵尸网络在世界各地的计算能力相当大。这种力量经常（也许是始终如一）是恶意软件、勒索软件、垃圾邮件等的来源。但是僵尸网络是如何产生的呢？谁控制他们？我们怎样才能阻止他们？

什么是僵尸网络(a botnet)？

SearchSecurity僵尸网络的定义是“僵尸网络是互联网连接设备的集合，其中可能包括个人电脑、服务器、移动设备和物联网设备，这些设备受到一种常见类型的恶意软件的感染和控制。用户通常不知道僵尸网络感染了他们的系统。”

定义的最后一句话是关键。僵尸网络中的设备通常不是自愿存在的。感染了某些恶意软件变种的设备由远程威胁参与者（又称网络罪犯）控制。恶意软件隐藏设备上的恶意僵尸网络活动，使所有者不知道自己在网络中的角色。你可能会发送垃圾邮件，提供数以千计的附属品——毫无头绪。

因此，我们经常将受感染的僵尸网络设备称为“僵尸”

僵尸网络做什么？

根据僵尸网络运营商的需求，僵尸网络具有几种常见功能：

1. 垃圾邮件：在全球范围内发送大量垃圾邮件。例如，1-9月期间，垃圾邮件在全球电子邮件流量中的平均份额为56.69%。当声名狼藉的McColo主机离线后，安全研究公司FireEye暂时停止了臭名昭著的Srizbi僵尸网络的转型，全球垃圾邮件数量大幅下降（事实上，当它最终下线时，全球垃圾邮件暂时下降了50%左右）。
2. 恶意软件：向易受攻击的机器传送恶意软件和间谍软件。僵尸网络资源是由犯罪分子买卖，以进一步发展其犯罪企业。
3. 数据：捕获密码和其他私有信息。这与上面的联系。
4. 点击欺诈：受感染的设备访问网站，以产生虚假的网络流量和广告印象。
5. 比特币：僵尸网络控制器直接感染的设备来挖掘比特币和其他加密货币，以悄悄地产生利润。
6. DDoS：僵尸网络运营商将受感染设备的电源直接指向特定目标，在分布式拒绝服务攻击中使其脱机。

僵尸网络运营商通常将他们的网络转向这些功能以产生利润。例如，向美国公民发送医疗垃圾邮件的僵尸网络运营商也拥有提供这些商品的仿冒药店。（哦，是的，邮件末尾有实际的产品。布莱恩·克雷布斯的《垃圾邮件之国》是对这个问题的一个极好的研究。）

在过去几年中，主要的僵尸网络已经稍微改变了方向。尽管医疗和其他类似类型的垃圾邮件在很长一段时间内利润丰厚，但一些国家的**打击措施侵蚀了利润。因此，根据赛门铁克2017年7月的情报报告，携带恶意附件的电子邮件数量上升到每359封电子邮件中就有一封。

僵尸网络看起来像什么？

我们知道僵尸网络是由受感染的计算机组成的网络。然而，核心组件和实际僵尸网络架构是有趣的考虑。

建筑学

僵尸网络体系结构主要有两种：

• 客户机-服务器模式：客户机-服务器僵尸网络通常使用聊天客户机（以前是IRC，但现代僵尸网络使用电报和其他加密消息服务）、域或网站与网络通信。操作员向服务器发送一条消息，并将其转发给执行命令的客户机。尽管僵尸网络基础设施从基本到非常复杂都有所不同，但集中精力可以禁用客户机-服务器僵尸网络。
• 点对点（Peer-to-Peer）：点对点（Peer-to-Peer，P2P）僵尸网络试图通过创建一个分散的网络来阻止安全程序和研究人员识别特定的C2服务器。在某些方面，P2P网络比客户机-服务器模型更先进。此外，他们的架构不同于大多数人的设想。与通过IP地址进行通信的互联受感染设备的单一网络不同，运营商更喜欢使用连接到节点的僵尸设备，这些节点依次连接到另一个节点和主通信服务器。其想法是，有太多相互连接但又相互独立的节点，无法同时拆除。

指挥与控制

指挥与控制（有时是书面的C&C或C2）协议有多种形式：

• Telnet:Telnet僵尸网络相对简单，使用一个脚本扫描IP范围中的默认Telnet和SSH服务器登录，添加易受攻击的设备来添加bot。
• IRC:IRC网络为C2协议提供了极低带宽的通信方式。快速切换通道的能力为僵尸网络运营商提供了一些额外的安全性，但也意味着如果受感染的客户端没有收到更新的通道信息，它们很容易从僵尸网络中被切断。IRC通信相对容易检查和隔离，这意味着许多运营商已经不再使用这种方法。
• 域：一些大型僵尸网络使用域而不是消息传递客户端进行控制。受感染的设备访问提供控制命令列表的特定域，很容易允许动态更改和更新。缺点是对大型僵尸网络的巨大带宽需求，以及关闭可疑控制域的相对容易性。一些运营商使用所谓的防弹主机，在互联网刑法严格的国家管辖范围之外进行运营。
• P2P：P2P协议通常使用非对称加密（一个公钥和一个私钥）来实现数字签名。这意味着，当操作员持有私钥时，其他人很难（基本上不可能）向僵尸网络发出不同的命令。类似地，缺乏一个单一的C2服务器使得攻击和摧毁P2P僵尸网络比它的对手更加困难。
• 其他：多年来，我们看到僵尸网络运营商使用了一些有趣的命令和控制渠道。一下子想到的是社交媒体渠道，比如通过Twitter控制的Android Twitoor僵尸网络，或者Mac.Backdoor.i窗体利用Minecraft服务器列表子Reddit检索其网络的IP地址。Instagram也不安全。2017年，与俄罗斯情报部门关系密切的网络间谍组织图拉（Turla）利用小甜甜布兰妮（Britney Spears）Instagram照片上的评论，存储恶意软件分发C2服务器的位置。

僵尸

僵尸网络之谜的最后一块是被感染的设备（即僵尸）。

僵尸网络运营商故意扫描并感染易受攻击的设备，以扩大其操作能力。我们在上面列出了僵尸网络的主要用途。所有这些功能都需要计算能力。此外，僵尸网络运营商之间并不总是友好的，他们会将受感染机器的电源转向彼此。

绝大多数时候，僵尸设备的拥有者都不知道自己在僵尸网络中的角色。然而，有时僵尸网络恶意软件充当其他恶意软件变种的管道。

这段ESET视频很好地解释了僵尸网络是如何扩展的：

设备类型

网络设备正以惊人的速度上线。僵尸网络不仅在寻找个人电脑或Mac电脑。正如您将在下一节中了解到的，物联网设备同样容易（如果不是更多的话）受到僵尸网络恶意软件变种的影响。尤其是因为他们的安全问题而被发现。

智能**和平板电脑也不安全。在过去几年中，Android已经出现了几个僵尸网络。Android很容易成为攻击目标：它是开源的，有多个操作系统版本，而且在任何时候都有许多漏洞。别这么快高兴，iOS用户。有几个针对苹果移动设备的恶意软件变种，尽管通常仅限于有安全漏洞的越狱iPhone。

另一个核心僵尸网络设备目标是易受攻击的路由器。运行旧的和不安全的固件的路由器很容易成为僵尸网络的攻击目标，而且许多用户不会意识到他们的互联网门户携带病毒。类似地，在安装路由器之后，数量惊人的互联网用户无法更改路由器的默认设置。与物联网设备一样，这使得恶意软件能够以惊人的速度传播，几乎不受数千台设备感染的影响。

拆除僵尸网络

拆除僵尸网络并非易事，原因有很多。有时僵尸网络架构允许操作员快速重建。在其他时候，僵尸网络实在是太大了，无法一下子取下。大多数僵尸网络攻击都需要安全研究人员、**机构和其他黑客之间的协调，有时需要依靠提示或意外的后门。

安全研究人员面临的一个主要问题是，模仿者使用相同的恶意软件启动操作相对容易。

盖默奥弗宙斯

我将使用GameOver-Zeus（GOZ）僵尸网络作为一个例子。GOZ是最近最大的僵尸网络之一，据信在其高峰期有超过一百万个被感染的设备。僵尸网络的主要用途是金钱盗窃（分发CryptoLocker勒索软件）和垃圾邮件，并且使用一种复杂的点对点域生成算法，似乎势不可挡。

域生成算法允许僵尸网络预先生成长的域列表，用作僵尸网络恶意软件的“集合点”。多个集合点使得阻止扩散几乎是不可能的，因为只有操作员知道域的列表。

2014年，一个安全研究小组与美国联邦调查局（FBI）和其他国际机构合作，最终在“托瓦尔行动”（Operation Tovar）中迫使GameOver-Zeus离线。这并不容易。在注意到域名注册顺序后，该小组在行动开始前的六个月内注册了大约15万个域名。这是为了阻止任何来自僵尸网络运营商的未来域名注册。

接下来，几个isp对GOZ的代理节点进行操作控制，僵尸网络操作员使用这些节点在命令和控制服务器与实际僵尸网络之间进行通信。“托瓦尔行动”的首席FBI调查员埃利奥特·彼得森（Elliot Peterson）说：“我们能够说服这些机器人，让他们相信我们是可以交谈的，但所有被坏人控制的同龄人、代理和超级节点都是不好交谈的，应该被忽略。”

僵尸网络所有者叶夫根尼·博加乔夫（网名斯拉维克）意识到，一个小时后就实施了拆除行动，并试图再反击四五个小时，才“认输”。

之后，研究人员破解了臭名昭著的CryptoLocker勒索软件加密，为受害者创造了免费解密工具。

物联网僵尸网络是不同的

对抗宙斯的措施是广泛的，但也是必要的。它说明，精巧**的僵尸网络的巨大威力要求采取全球性的缓解措施，要求“采用传统执法工具的创新法律和技术策略”，以及“与全球10多个国家的私营行业专家和执法同行建立强有力的工作关系”

但并非所有的僵尸网络都是一样的。当一个僵尸网络达到它的终点时，另一个操作者正在从破坏中学习。

2016年，最大最坏的僵尸网络是Mirai。在部分拆除之前，基于物联网的Mirai僵尸网络以惊人的DDoS攻击击中了几个突出目标。一次这样的攻击以620Gbps的速度袭击了安全研究人员Brian Krebs的博客，最终迫使Krebs的DDoS防护放弃了他作为客户端的身份。接下来几天的另一次攻击以1.2Tbps的速度袭击了法国云主机提供商OVH，这是有史以来最大的一次攻击。下图显示了Mirai袭击了多少个国家。

尽管Mirai还没有接近成为有史以来最大的僵尸网络，但它产生了最大的攻击。奇迹利用了大量不安全的物联网设备，使用了62个不安全的默认密码来收集设备（admin/admin是最重要的，如图所示）。

安全研究员Marcus Hutchins（又名MalwareTech）解释说，Mirai强大的部分原因是大多数物联网设备都坐在那里，在接到请求之前什么都不做。这意味着他们几乎总是在线，而且几乎总是有网络资源可以共享。传统的僵尸网络运营商会相应地分析它们的峰值功率周期和时间攻击。物联网僵尸网络，没那么多。

因此，随着配置更差的物联网设备上线，被利用的机会也越来越大。

保持安全

我们已经了解了僵尸网络的功能，它们是如何成长的，等等。但是如何阻止你的设备成为其中的一部分呢？第一个答案很简单：更新你的系统。定期更新修补操作系统中易受攻击的漏洞，进而切断攻击的途径。

第二个是下载和更新防病毒程序，以及反恶意软件程序。有许多免费的杀毒套件提供了卓越的，低影响的保护。投资于反恶意软件程序，比如Malwarebytes。恶意网站的高级订阅将为您提供24.95美元的年度回报，从而为您提供实时恶意软件保护。我认为，值得投资。

最后，获取一些额外的浏览器安全性。Drive-by漏洞工具包是一个麻烦，但是当您使用uBlock Origin这样的脚本阻止扩展时，它们很容易避免。

你的电脑是僵尸网络的一部分吗？你怎么知道的？你知道是哪个感染者在使用你的设备吗？下面让我们知道你的经历！