我最喜歡的網絡安全術語之一是“殭屍網絡”，它讓人聯想到各種各樣的圖像：相互連接的機器人，成群結隊的網絡工作者同時為一個目標提供動力。有趣的是，這個詞所喚起的形象與殭屍網絡很相似——至少在迂迴的術語中是這樣。

殭屍網絡在世界各地的計算能力相當大。這種力量經常（也許是始終如一）是惡意軟件、勒索軟件、垃圾郵件等的來源。但是殭屍網絡是如何產生的呢？誰控制他們？我們怎樣才能阻止他們？

什麼是殭屍網絡(a botnet)？

SearchSecurity殭屍網絡的定義是“殭屍網絡是互聯網連接設備的集合，其中可能包括個人電腦、服務器、移動設備和物聯網設備，這些設備受到一種常見類型的惡意軟件的感染和控制。用戶通常不知道殭屍網絡感染了他們的系統。”

定義的最後一句話是關鍵。殭屍網絡中的設備通常不是自願存在的。感染了某些惡意軟件變種的設備由遠程威脅參與者（又稱網絡罪犯）控制。惡意軟件隱藏設備上的惡意殭屍網絡活動，使所有者不知道自己在網絡中的角色。你可能會發送垃圾郵件，提供數以千計的附屬品——毫無頭緒。

因此，我們經常將受感染的殭屍網絡設備稱為“殭屍”

殭屍網絡做什麼？

根據殭屍網絡運營商的需求，殭屍網絡具有幾種常見功能：

1. 垃圾郵件：在全球範圍內發送大量垃圾郵件。例如，1-9月期間，垃圾郵件在全球電子郵件流量中的平均份額為56.69%。當聲名狼藉的McColo主機離線後，安全研究公司FireEye暫時停止了臭名昭著的Srizbi殭屍網絡的轉型，全球垃圾郵件數量大幅下降（事實上，當它最終下線時，全球垃圾郵件暫時下降了50%左右）。
2. 惡意軟件：向易受攻擊的機器傳送惡意軟件和間諜軟件。殭屍網絡資源是由犯罪分子買賣，以進一步發展其犯罪企業。
3. 數據：捕獲密碼和其他私有信息。這與上面的聯繫。
4. 點擊欺詐：受感染的設備訪問網站，以產生虛假的網絡流量和廣告印象。
5. 比特幣：殭屍網絡控制器直接感染的設備來挖掘比特幣和其他加密貨幣，以悄悄地產生利潤。
6. DDoS：殭屍網絡運營商將受感染設備的電源直接指向特定目標，在分佈式拒絕服務攻擊中使其脫機。

殭屍網絡運營商通常將他們的網絡轉向這些功能以產生利潤。例如，向美國公民發送醫療垃圾郵件的殭屍網絡運營商也擁有提供這些商品的仿冒藥店。（哦，是的，郵件末尾有實際的產品。布萊恩·克雷布斯的《垃圾郵件之國》是對這個問題的一個極好的研究。）

Spam Nation BUY NOW ON AMAZON

在過去幾年中，主要的殭屍網絡已經稍微改變了方向。儘管醫療和其他類似類型的垃圾郵件在很長一段時間內利潤豐厚，但一些國家的**打擊措施侵蝕了利潤。因此，根據賽門鐵克2017年7月的情報報告，攜帶惡意附件的電子郵件數量上升到每359封電子郵件中就有一封。

殭屍網絡看起來像什麼？

我們知道殭屍網絡是由受感染的計算機組成的網絡。然而，核心組件和實際殭屍網絡架構是有趣的考慮。

建築學

殭屍網絡體系結構主要有兩種：

• 客戶機-服務器模式：客戶機-服務器殭屍網絡通常使用聊天客戶機（以前是IRC，但現代殭屍網絡使用電報和其他加密消息服務）、域或網站與網絡通信。操作員向服務器發送一條消息，並將其轉發給執行命令的客戶機。儘管殭屍網絡基礎設施從基本到非常複雜都有所不同，但集中精力可以禁用客戶機-服務器殭屍網絡。
• 點對點（Peer-to-Peer）：點對點（Peer-to-Peer，P2P）殭屍網絡試圖通過創建一個分散的網絡來阻止安全程序和研究人員識別特定的C2服務器。在某些方面，P2P網絡比客戶機-服務器模型更先進。此外，他們的架構不同於大多數人的設想。與通過IP地址進行通信的互聯受感染設備的單一網絡不同，運營商更喜歡使用連接到節點的殭屍設備，這些節點依次連接到另一個節點和主通信服務器。其想法是，有太多相互連接但又相互獨立的節點，無法同時拆除。

指揮與控制

指揮與控制（有時是書面的C&C或C2）協議有多種形式：

• Telnet:Telnet殭屍網絡相對簡單，使用一個腳本掃描IP範圍中的默認Telnet和SSH服務器登錄，添加易受攻擊的設備來添加bot。
• IRC:IRC網絡為C2協議提供了極低帶寬的通信方式。快速切換通道的能力為殭屍網絡運營商提供了一些額外的安全性，但也意味著如果受感染的客戶端沒有收到更新的通道信息，它們很容易從殭屍網絡中被切斷。IRC通信相對容易檢查和隔離，這意味著許多運營商已經不再使用這種方法。
• 域：一些大型殭屍網絡使用域而不是消息傳遞客戶端進行控制。受感染的設備訪問提供控制命令列表的特定域，很容易允許動態更改和更新。缺點是對大型殭屍網絡的巨大帶寬需求，以及關閉可疑控制域的相對容易性。一些運營商使用所謂的防彈主機，在互聯網刑法嚴格的國家管轄範圍之外進行運營。
• P2P：P2P協議通常使用非對稱加密（一個公鑰和一個私鑰）來實現數字簽名。這意味著，當操作員持有私鑰時，其他人很難（基本上不可能）向殭屍網絡發出不同的命令。類似地，缺乏一個單一的C2服務器使得攻擊和摧毀P2P殭屍網絡比它的對手更加困難。
• 其他：多年來，我們看到殭屍網絡運營商使用了一些有趣的命令和控制渠道。一下子想到的是社交媒體渠道，比如通過Twitter控制的Android Twitoor殭屍網絡，或者Mac.Backdoor.i窗體利用Minecraft服務器列表子Reddit檢索其網絡的IP地址。Instagram也不安全。2017年，與俄羅斯情報部門關係密切的網絡間諜組織圖拉（Turla）利用小甜甜布蘭妮（Britney Spears）Instagram照片上的評論，存儲惡意軟件分發C2服務器的位置。

殭屍

殭屍網絡之謎的最後一塊是被感染的設備（即殭屍）。

殭屍網絡運營商故意掃描並感染易受攻擊的設備，以擴大其操作能力。我們在上面列出了殭屍網絡的主要用途。所有這些功能都需要計算能力。此外，殭屍網絡運營商之間並不總是友好的，他們會將受感染機器的電源轉向彼此。

絕大多數時候，殭屍設備的擁有者都不知道自己在殭屍網絡中的角色。然而，有時殭屍網絡惡意軟件充當其他惡意軟件變種的管道。

這段ESET視頻很好地解釋了殭屍網絡是如何擴展的：

設備類型

網絡設備正以驚人的速度上線。殭屍網絡不僅在尋找個人電腦或Mac電腦。正如您將在下一節中瞭解到的，物聯網設備同樣容易（如果不是更多的話）受到殭屍網絡惡意軟件變種的影響。尤其是因為他們的安全問題而被發現。

智能**和平板電腦也不安全。在過去幾年中，Android已經出現了幾個殭屍網絡。Android很容易成為攻擊目標：它是開源的，有多個操作系統版本，而且在任何時候都有許多漏洞。別這麼快高興，iOS用戶。有幾個針對蘋果移動設備的惡意軟件變種，儘管通常僅限於有安全漏洞的越獄iPhone。

另一個核心殭屍網絡設備目標是易受攻擊的路由器。運行舊的和不安全的固件的路由器很容易成為殭屍網絡的攻擊目標，而且許多用戶不會意識到他們的互聯網門戶攜帶病毒。類似地，在安裝路由器之後，數量驚人的互聯網用戶無法更改路由器的默認設置。與物聯網設備一樣，這使得惡意軟件能夠以驚人的速度傳播，幾乎不受數千臺設備感染的影響。

拆除殭屍網絡

拆除殭屍網絡並非易事，原因有很多。有時殭屍網絡架構允許操作員快速重建。在其他時候，殭屍網絡實在是太大了，無法一下子取下。大多數殭屍網絡攻擊都需要安全研究人員、**機構和其他黑客之間的協調，有時需要依靠提示或意外的後門。

安全研究人員面臨的一個主要問題是，模仿者使用相同的惡意軟件啟動操作相對容易。

蓋默奧弗宙斯

我將使用GameOver-Zeus（GOZ）殭屍網絡作為一個例子。GOZ是最近最大的殭屍網絡之一，據信在其高峰期有超過一百萬個被感染的設備。殭屍網絡的主要用途是金錢盜竊（分發CryptoLocker勒索軟件）和垃圾郵件，並且使用一種複雜的點對點域生成算法，似乎勢不可擋。

域生成算法允許殭屍網絡預先生成長的域列表，用作殭屍網絡惡意軟件的“集合點”。多個集合點使得阻止擴散幾乎是不可能的，因為只有操作員知道域的列表。

2014年，一個安全研究小組與美國聯邦調查局（FBI）和其他國際機構合作，最終在“託瓦爾行動”（Operation Tovar）中迫使GameOver-Zeus離線。這並不容易。在注意到域名註冊順序後，該小組在行動開始前的六個月內註冊了大約15萬個域名。這是為了阻止任何來自殭屍網絡運營商的未來域名註冊。

接下來，幾個isp對GOZ的代理節點進行操作控制，殭屍網絡操作員使用這些節點在命令和控制服務器與實際殭屍網絡之間進行通信。“託瓦爾行動”的首席FBI調查員埃利奧特·彼得森（Elliot Peterson）說：“我們能夠說服這些機器人，讓他們相信我們是可以交談的，但所有被壞人控制的同齡人、代理和超級節點都是不好交談的，應該被忽略。”

殭屍網絡所有者葉夫根尼·博加喬夫（網名斯拉維克）意識到，一個小時後就實施了拆除行動，並試圖再反擊四五個小時，才“認輸”。

之後，研究人員破解了臭名昭著的CryptoLocker勒索軟件加密，為受害者創造了免費解密工具。

物聯網殭屍網絡是不同的

對抗宙斯的措施是廣泛的，但也是必要的。它說明，精巧**的殭屍網絡的巨大威力要求採取全球性的緩解措施，要求“採用傳統執法工具的創新法律和技術策略”，以及“與全球10多個國家的私營行業專家和執法同行建立強有力的工作關係”

但並非所有的殭屍網絡都是一樣的。當一個殭屍網絡達到它的終點時，另一個操作者正在從破壞中學習。

2016年，最大最壞的殭屍網絡是Mirai。在部分拆除之前，基於物聯網的Mirai殭屍網絡以驚人的DDoS攻擊擊中了幾個突出目標。一次這樣的攻擊以620Gbps的速度襲擊了安全研究人員Brian Krebs的博客，最終迫使Krebs的DDoS防護放棄了他作為客戶端的身份。接下來幾天的另一次攻擊以1.2Tbps的速度襲擊了法國雲主機提供商OVH，這是有史以來最大的一次攻擊。下圖顯示了Mirai襲擊了多少個國家。

儘管Mirai還沒有接近成為有史以來最大的殭屍網絡，但它產生了最大的攻擊。奇蹟利用了大量不安全的物聯網設備，使用了62個不安全的默認密碼來收集設備（admin/admin是最重要的，如圖所示）。

安全研究員Marcus Hutchins（又名MalwareTech）解釋說，Mirai強大的部分原因是大多數物聯網設備都坐在那裡，在接到請求之前什麼都不做。這意味著他們幾乎總是在線，而且幾乎總是有網絡資源可以共享。傳統的殭屍網絡運營商會相應地分析它們的峰值功率週期和時間攻擊。物聯網殭屍網絡，沒那麼多。

因此，隨著配置更差的物聯網設備上線，被利用的機會也越來越大。

保持安全

我們已經瞭解了殭屍網絡的功能，它們是如何成長的，等等。但是如何阻止你的設備成為其中的一部分呢？第一個答案很簡單：更新你的系統。定期更新修補操作系統中易受攻擊的漏洞，進而切斷攻擊的途徑。

第二個是下載和更新防病毒程序，以及反惡意軟件程序。有許多免費的殺毒套件提供了卓越的，低影響的保護。投資於反惡意軟件程序，比如Malwarebytes。惡意網站的高級訂閱將為您提供24.95美元的年度回報，從而為您提供實時惡意軟件保護。我認為，值得投資。

最後，獲取一些額外的瀏覽器安全性。Drive-by漏洞工具包是一個麻煩，但是當您使用uBlock Origin這樣的腳本阻止擴展時，它們很容易避免。

你的電腦是殭屍網絡的一部分嗎？你怎麼知道的？你知道是哪個感染者在使用你的設備嗎？下面讓我們知道你的經歷！