你可能听说过僵尸网络DDOS攻击这个词,2016年底Mirai僵尸网络DDOS攻击的出现将这个词牢牢地固定在网络安全领域了。
但是,尽管这个词可能很熟悉,但你可能并不熟悉僵尸网络的实际情况。你也可能不知道它们是网络犯罪分子的一项非常新颖的创新,僵尸网络正在更多的用于各种网络攻击活动。
什么是僵尸(Bot)网络?
僵尸网络是一种由互联网连接的设备组成的网络,称为漫游器,它们被恶意软件感染并将其作为一个整体进行控制,控制过程通常在设备所有者不知情的情况下进行。
它们有时被称为“僵尸军队”,可用于网络犯罪分子的各种活动,包括发送垃圾邮件和进行分布式拒绝服务(DDoS)攻击。
任何连接互联网的设备都可以添加到僵尸网络中,包括笔记本电脑、台式电脑、智能手机、DVR播放器、无线路由器以及其他物联网(IoT)设备。
僵尸网络由命令和控制(C&C)服务器控制。C&C服务器是受黑客或黑客组织控制的计算机,可以向僵尸网络中的僵尸程序发送命令,并且还可以接收僵尸程序收集的信息。僵尸网络的控制器被称为Bot Botder或Bot master。
IoT(物联网)的出现意味着现在有更多的设备可以被添加到僵尸网络中。而且,值得注意的是,现在很多物联网设备的安全性不足,并且大多是依赖于默认密码和难以更新的固件。这意味着僵尸网络的规模可以在未来很容易发展壮大。
僵尸网络的控制方式
僵尸网络可以由僵尸主控制器以几种不同的方式进行控制。
传统上,僵尸网络可能是由一台C&C服务器控制的。在这种情况下,Bot设备会回到一个预定的位置并等待来自服务器的命令。Bot控制者将命令发送到服务器,然后服务器将命令转发到Bot网络,然后收集的结果或信息由Bot设备发送回该中央服务器。
但是,拥有一台集中式服务器使得僵尸网络更易受到攻击和破坏企图的影响。出于这个原因,许多僵尸网络的控制者现在大多使用对等(P2P)模型。
在P2P僵尸网络中,互连的僵尸设备共享信息,而无需向中央服务器报告,即被感染的僵尸设备既发送命令又接收命令。这些僵尸设备然后探测随机IP地址以联系其他受感染的设备。一旦联系,Bot设备会回复诸如其软件版本和已知设备的列表等信息。如果联系的Bot具有较新的软件版本,则另一Bot将自动将其自身更新为该版本。这种方法允许僵尸网络增长并保持更新,而不需要联系中央服务器,这使得执法机构或其他机构更难以取缔僵尸网络。
僵尸网络用于做什么?
僵尸网络最常见的两种用途是发送垃圾邮件活动,并进行分布式拒绝服务(DDoS)攻击。
Bot设备也可以用来发送电子邮件恶意软件,而且不同类型的恶意软件可能有不同的目标,包括从受感染的计算机收集信息。其中可能包括密码、信用卡信息以及可以在黑市上销售的任何其他信息。如果企业网络中的设备变成Bot设备,那么敏感的公司信息也可能有被盗的风险。
Bot设备通常也用于点击欺诈,访问网站创建虚假流量并为Bot设备的所有者创造收益,它们也常常被用于比特币挖掘。
臭名昭著的6个僵尸网络
历史上出现了许多僵尸网络,但其中有一些僵尸网络比其他僵尸网络更有影响力,这里有六个非常著名的僵尸网络:
Bagle
Bagle是世界上第一个僵尸网络之一,它被用来进行大规模的垃圾邮件活动。它出现在2004年,它主要是微软Windows电脑设备组成的。Bagle是一种感染超过20万台电脑的蠕虫,据估计,该病毒发出的垃圾邮件占全球垃圾邮件总数的10%以上。
Conficker
Conficker是一个臭名昭著的计算机蠕虫,最早出现在2008年底,并一直是困扰着网络安全人员。
Conficker的第一个版本于2008年11月出现,它很快通过网络共享和受感染的USB驱动器传播。据统计,它已经感染了多达1100万台电脑。这使得Conficker成为一个巨大的僵尸网络,如果攻击者想要利用它进行攻击的话,它可能会通过巨大的DDoS攻击造成很大的损害。然而,它并没有发出任何攻击,甚至现在Conficker背后的作者的真实意图仍然是一个谜,它从来没有明确它归于任何群体。
据估计,清理Conficker的成本高达90亿美元,令人惊讶的是,尽管事实上它已经发布了近十年,但感染Conficker的计算机依然存在。
ZeroAccess
ZeroAccess僵尸网络是目前已知的最大的僵尸网络之一,它出现于2013年,是一只拥有近200万台电脑的军队僵尸网络。由于使用了P2P +C&C服务器的模式,这是一个很难对付的僵尸网络,但赛门铁克的研究人员在2013年对僵尸网络进行了调查,结果发现其中有近50万台Bot设备拥有sandbox(浏览器沙箱)。
ZeroAccess主要用于点击欺诈和比特币挖掘,考虑到该僵尸网络的规模,有人认为它在其活动高峰期为其背后的控制者带来了大量财富。
Gameover Zeus
Gameover Zeus是一个巨大的僵尸网络,主要用于窃取人们的银行信息。该僵尸网络拥有高达100万台计算机设备。据估计,僵尸网络已经被用来窃取超过1亿美元。
Gameover Zeus是Trojan.ZBot恶意软件的一个变体,并且现在它仍然很活跃。Gameover Zeus是原始恶意软件的复杂变体,它可以通过劫持数千名受害者的网上银行会话来促成大规模金融诈骗。与当前很多电子邮件恶意软件活动一样,它通常通过发送邮件形式发送。一旦受感染的用户访问了他们的银行网站,恶意软件会拦截会话,获取受害者的信息并窃取他们的钱。
虽然Gameover Zeus在2014年进行了删除,但Zeus恶意软件的许多变种目前仍处于活跃状态。
Necurs
Necurs是现在最活跃的最著名的僵尸网络之一。它是2016年恶意电子邮件的最大分销商之一,而且它还大规模的推广Locky勒索软件的活动。但是,它在2016年12月24日神秘地停止了运行,并且在近三个月内保持不活动。在此期间,赛门铁克(一家网络安全机构)检测到的恶意电子邮件的速度大幅下降。
3月20日恢复活动,赛门铁克仅在当天就阻止了近200万条恶意电子邮件。然而,自从它回归以来,Necurs公司一直没有专注于发送恶意电子邮件活动,而是一直发送“pump and dump(拉高出货)”股票垃圾邮件活动。它在12月份消失之前就开始发放这些类型的活动,并且在它回归之后加大力度继续做这件事。
发送股票垃圾邮件目的是通过鼓励受害者购买同一公司的股票来太高邮件发送者手中的股票价格。一旦股票价格被受害者购买股票推高,垃圾邮件发送者就会卖掉所有的股票。这导致股票价格急剧下跌,并且使受害者不太可能将手中的股票抛售。
Mirai
大多数人可能对Mirai很熟悉,Mirai在2016年的最后几个月肆虐了全球各地的网络,使用一系列物联网设备对全球各种目标发动DDoS攻击。
9月份Mirai的DDoS攻击的最初目标是主机提供商OVH以及安全专家Brian Krebs的网站。这些都是大规模的DDoS攻击,这在当时是有史以来最大规模的攻击,分别达到1 Tbps和620 Gbps。在9月底,Mirai在其在线黑客社区HackForums上发布升级,三周后,它又针对DNS提供商Dyn发动了大规模DDoS攻击以阻止用户访问几个知名网站,包括Netflix、Twitter和PayPal。
11月下旬,Mirai网络的一个变种在德国利用德国家庭的路由器中的一个漏洞进行互联网访问,导致近100万家庭互联网用户受到攻击;同样的漏洞也影响了爱尔兰家庭互联网用户的路由器。
Mirai僵尸网络主要由受感染的路由器和安全摄像头组成,这一事件凸显了物联网设备在安全方面是非常松懈的。
综述:
僵尸网络已经存在了很长一段时间,随着技术的不断发展,僵尸网络已经发展壮大。物联网设备的增长以及与互联网相关的设备数量的增加,僵尸网络发展的故事可能远未结束。