我最喜歡的網絡安全術語之一是“殭屍網絡”,它讓人聯想到各種各樣的圖像:相互連接的機器人,成群結隊的網絡工作者同時為一個目標提供動力。有趣的是,這個詞所喚起的形象與殭屍網絡很相似——至少在迂迴的術語中是這樣。
殭屍網絡在世界各地的計算能力相當大。這種力量經常(也許是始終如一)是惡意軟件、勒索軟件、垃圾郵件等的來源。但是殭屍網絡是如何產生的呢?誰控制他們?我們怎樣才能阻止他們?
SearchSecurity殭屍網絡的定義是“殭屍網絡是互聯網連接設備的集合,其中可能包括個人電腦、服務器、移動設備和物聯網設備,這些設備受到一種常見類型的惡意軟件的感染和控制。用戶通常不知道殭屍網絡感染了他們的系統。”
定義的最後一句話是關鍵。殭屍網絡中的設備通常不是自願存在的。感染了某些惡意軟件變種的設備由遠程威脅參與者(又稱網絡罪犯)控制。惡意軟件隱藏設備上的惡意殭屍網絡活動,使所有者不知道自己在網絡中的角色。你可能會發送垃圾郵件,提供數以千計的附屬品——毫無頭緒。
因此,我們經常將受感染的殭屍網絡設備稱為“殭屍”
根據殭屍網絡運營商的需求,殭屍網絡具有幾種常見功能:
殭屍網絡運營商通常將他們的網絡轉向這些功能以產生利潤。例如,向美國公民發送醫療垃圾郵件的殭屍網絡運營商也擁有提供這些商品的仿冒藥店。(哦,是的,郵件末尾有實際的產品。布萊恩·克雷布斯的《垃圾郵件之國》是對這個問題的一個極好的研究。)
Spam Nation BUY NOW ON AMAZON
在過去幾年中,主要的殭屍網絡已經稍微改變了方向。儘管醫療和其他類似類型的垃圾郵件在很長一段時間內利潤豐厚,但一些國家的**打擊措施侵蝕了利潤。因此,根據賽門鐵克2017年7月的情報報告,攜帶惡意附件的電子郵件數量上升到每359封電子郵件中就有一封。
我們知道殭屍網絡是由受感染的計算機組成的網絡。然而,核心組件和實際殭屍網絡架構是有趣的考慮。
殭屍網絡體系結構主要有兩種:
指揮與控制(有時是書面的C&C或C2)協議有多種形式:
殭屍網絡之謎的最後一塊是被感染的設備(即殭屍)。
殭屍網絡運營商故意掃描並感染易受攻擊的設備,以擴大其操作能力。我們在上面列出了殭屍網絡的主要用途。所有這些功能都需要計算能力。此外,殭屍網絡運營商之間並不總是友好的,他們會將受感染機器的電源轉向彼此。
絕大多數時候,殭屍設備的擁有者都不知道自己在殭屍網絡中的角色。然而,有時殭屍網絡惡意軟件充當其他惡意軟件變種的管道。
這段ESET視頻很好地解釋了殭屍網絡是如何擴展的:
網絡設備正以驚人的速度上線。殭屍網絡不僅在尋找個人電腦或Mac電腦。正如您將在下一節中瞭解到的,物聯網設備同樣容易(如果不是更多的話)受到殭屍網絡惡意軟件變種的影響。尤其是因為他們的安全問題而被發現。
智能**和平板電腦也不安全。在過去幾年中,Android已經出現了幾個殭屍網絡。Android很容易成為攻擊目標:它是開源的,有多個操作系統版本,而且在任何時候都有許多漏洞。別這麼快高興,iOS用戶。有幾個針對蘋果移動設備的惡意軟件變種,儘管通常僅限於有安全漏洞的越獄iPhone。
另一個核心殭屍網絡設備目標是易受攻擊的路由器。運行舊的和不安全的固件的路由器很容易成為殭屍網絡的攻擊目標,而且許多用戶不會意識到他們的互聯網門戶攜帶病毒。類似地,在安裝路由器之後,數量驚人的互聯網用戶無法更改路由器的默認設置。與物聯網設備一樣,這使得惡意軟件能夠以驚人的速度傳播,幾乎不受數千臺設備感染的影響。
拆除殭屍網絡並非易事,原因有很多。有時殭屍網絡架構允許操作員快速重建。在其他時候,殭屍網絡實在是太大了,無法一下子取下。大多數殭屍網絡攻擊都需要安全研究人員、**機構和其他黑客之間的協調,有時需要依靠提示或意外的後門。
安全研究人員面臨的一個主要問題是,模仿者使用相同的惡意軟件啟動操作相對容易。
我將使用GameOver-Zeus(GOZ)殭屍網絡作為一個例子。GOZ是最近最大的殭屍網絡之一,據信在其高峰期有超過一百萬個被感染的設備。殭屍網絡的主要用途是金錢盜竊(分發CryptoLocker勒索軟件)和垃圾郵件,並且使用一種複雜的點對點域生成算法,似乎勢不可擋。
域生成算法允許殭屍網絡預先生成長的域列表,用作殭屍網絡惡意軟件的“集合點”。多個集合點使得阻止擴散幾乎是不可能的,因為只有操作員知道域的列表。
2014年,一個安全研究小組與美國聯邦調查局(FBI)和其他國際機構合作,最終在“託瓦爾行動”(Operation Tovar)中迫使GameOver-Zeus離線。這並不容易。在注意到域名註冊順序後,該小組在行動開始前的六個月內註冊了大約15萬個域名。這是為了阻止任何來自殭屍網絡運營商的未來域名註冊。
接下來,幾個isp對GOZ的代理節點進行操作控制,殭屍網絡操作員使用這些節點在命令和控制服務器與實際殭屍網絡之間進行通信。“託瓦爾行動”的首席FBI調查員埃利奧特·彼得森(Elliot Peterson)說:“我們能夠說服這些機器人,讓他們相信我們是可以交談的,但所有被壞人控制的同齡人、代理和超級節點都是不好交談的,應該被忽略。”
殭屍網絡所有者葉夫根尼·博加喬夫(網名斯拉維克)意識到,一個小時後就實施了拆除行動,並試圖再反擊四五個小時,才“認輸”。
之後,研究人員破解了臭名昭著的CryptoLocker勒索軟件加密,為受害者創造了免費解密工具。
對抗宙斯的措施是廣泛的,但也是必要的。它說明,精巧**的殭屍網絡的巨大威力要求採取全球性的緩解措施,要求“採用傳統執法工具的創新法律和技術策略”,以及“與全球10多個國家的私營行業專家和執法同行建立強有力的工作關係”
但並非所有的殭屍網絡都是一樣的。當一個殭屍網絡達到它的終點時,另一個操作者正在從破壞中學習。
2016年,最大最壞的殭屍網絡是Mirai。在部分拆除之前,基於物聯網的Mirai殭屍網絡以驚人的DDoS攻擊擊中了幾個突出目標。一次這樣的攻擊以620Gbps的速度襲擊了安全研究人員Brian Krebs的博客,最終迫使Krebs的DDoS防護放棄了他作為客戶端的身份。接下來幾天的另一次攻擊以1.2Tbps的速度襲擊了法國雲主機提供商OVH,這是有史以來最大的一次攻擊。下圖顯示了Mirai襲擊了多少個國家。
儘管Mirai還沒有接近成為有史以來最大的殭屍網絡,但它產生了最大的攻擊。奇蹟利用了大量不安全的物聯網設備,使用了62個不安全的默認密碼來收集設備(admin/admin是最重要的,如圖所示)。
安全研究員Marcus Hutchins(又名MalwareTech)解釋說,Mirai強大的部分原因是大多數物聯網設備都坐在那裡,在接到請求之前什麼都不做。這意味著他們幾乎總是在線,而且幾乎總是有網絡資源可以共享。傳統的殭屍網絡運營商會相應地分析它們的峰值功率週期和時間攻擊。物聯網殭屍網絡,沒那麼多。
因此,隨著配置更差的物聯網設備上線,被利用的機會也越來越大。
我們已經瞭解了殭屍網絡的功能,它們是如何成長的,等等。但是如何阻止你的設備成為其中的一部分呢?第一個答案很簡單:更新你的系統。定期更新修補操作系統中易受攻擊的漏洞,進而切斷攻擊的途徑。
第二個是下載和更新防病毒程序,以及反惡意軟件程序。有許多免費的殺毒套件提供了卓越的,低影響的保護。投資於反惡意軟件程序,比如Malwarebytes。惡意網站的高級訂閱將為您提供24.95美元的年度回報,從而為您提供實時惡意軟件保護。我認為,值得投資。
最後,獲取一些額外的瀏覽器安全性。Drive-by漏洞工具包是一個麻煩,但是當您使用uBlock Origin這樣的腳本阻止擴展時,它們很容易避免。
你的電腦是殭屍網絡的一部分嗎?你怎麼知道的?你知道是哪個感染者在使用你的設備嗎?下面讓我們知道你的經歷!
...查以確保**和電腦上安裝的所有應用程式仍能收到更新是什麼時候?如果你和大多數人一樣,你可能從來沒有做過這樣的審計。 ...
...制著一個殭屍網路,估計裡面有超過500000臺電腦。(到底什麼是殭屍網路?) ...
... 一些Mac惡意軟體使你的Mac成為殭屍網路的一部分,殭屍網路是一個全球性的計算機網路,用於各種各樣的事情。如果你的Mac電腦被感染了,它可能會幫助你對網站進行DDoS攻擊,挖掘比特幣,或者其他一些佔用CPU...
... 因此,人們在不知道自己的裝置是殭屍網路的一部分的情況下繼續日常生活是完全正常的。這使得拆除殭屍網路非常困難,因為擁有這些裝置的人沒有意識到他們是殭屍網路的一部分。 ...
... 儘管中國控制著**業供應鏈的很大一部分,但材料和組裝件都是從世界各地採購的。正是因為這個原因,你的蘋果iDevice“在加州設計”。背面刻有“中國組裝”。經濟學家倫納德在1958年的論文《我,鉛筆...
...有相似之處,但用途不同。此外,CobInt是Cobalt集團活動的一部分,Cobalt集團是一個與一長串銀行和金融網路犯罪有聯絡的犯罪組織。 ...