僵尸網絡指的是一組已被惡意軟件感染并受惡意行為者控制的計算機喜鼓。術語僵尸網絡是機器人和網絡這個詞,每個受感染的設備都被稱為機器人衔肢。僵尸網絡可以設計用于完成非法或惡意任務庄岖,包括發(fā)送垃圾郵件,竊取數(shù)據(jù)角骤,勒索軟件隅忿,欺詐性地點擊廣告或分布式拒絕服務(DDoS)攻擊。
雖然一些惡意軟件(如勒索軟件)會對設備所有者產生直接影響邦尊,但DDoS僵尸網絡惡意軟件可以具有不同級別的可見性;?一些惡意軟件旨在完全控制設備背桐,而其他惡意軟件作為后臺進程默默運行,同時靜靜地等待來自攻擊者或“僵尸牧民”的指令蝉揍。
自我傳播的僵尸網絡通過各種不同的渠道招募額外的機器人链峭。感染途徑包括利用網站漏洞,特洛伊木馬惡意軟件以及破解弱認證以獲得遠程訪問又沾。一旦獲得訪問權限熏版,所有這些感染方法都會導致在目標設備上安裝惡意軟件,從而允許僵尸網絡的操作員進行遠程控制捍掺。一旦設備被感染撼短,它可能會嘗試通過招募周圍網絡中的其他硬件設備來自我傳播僵尸網絡惡意軟件。
雖然確定特定僵尸網絡中僵尸程序的確切數(shù)量是不可行的挺勿,但對復雜僵尸網絡中僵尸程序總數(shù)的估計范圍從幾千到一百多萬不等曲横。
為什么要創(chuàng)建僵尸網絡?
使用僵尸網絡的原因包括從激進主義到國家支持的破壞不瓶,許多攻擊只是為了獲利而進行的禾嫉。在線招聘僵尸網絡服務相對便宜,特別是與他們可能造成的損害程度有關蚊丐。創(chuàng)建僵尸網絡的障礙也足夠低熙参,使其成為某些軟件開發(fā)商的利潤豐厚的業(yè)務,特別是在監(jiān)管和執(zhí)法有限的地理位置麦备。這種組合導致了提供針對雇傭攻擊的在線服務的激增孽椰。
僵尸網絡是如何控制的?
僵尸網絡的核心特征是能夠從僵尸牧民那里接收更新的指令凛篙。與網絡中的每個機器人通信的能力允許攻擊者交替攻擊向量黍匾,更改目標IP地址,終止攻擊以及其他自定義操作呛梆。僵尸網絡設計各不相同锐涯,但控制結構可分為兩大類:
客戶端/服務器僵尸網絡模型
客戶端/服務器模型模仿傳統(tǒng)的遠程工作站工作流,其中每臺機器連接到中央服務器(或少量集中式服務器)以訪問信息填物。在此模型中纹腌,每個機器人將連接到命令和控制中心(CnC)資源霎终,如Web域或IRC通道,以便接收指令升薯。通過使用這些集中式存儲庫為僵尸網絡提供新命令莱褒,攻擊者只需修改每個僵尸網絡從命令中心消耗的源材料,以便更新受感染機器的指令覆劈。控制僵尸網絡的集中式服務器可以是攻擊者擁有和操作的設備,也可以是受感染的設備沛励。
已經觀察到許多流行的集中式僵尸網絡拓撲责语,包括:
星網絡拓撲
多服務器網絡拓撲
分層網絡拓撲
在任何這些客戶端/服務器模型中,每個機器人將連接到命令中心資源目派,如Web域或IRC通道坤候,以便接收指令。通過使用這些集中式存儲庫為僵尸網絡提供新命令企蹭,攻擊者只需修改每個僵尸網絡從命令中心消耗的源材料白筹,以便更新受感染機器的指令。
從有限數(shù)量的集中式源向僵尸網絡更新指令的簡單性是這些機器的漏洞;?為了使用集中式服務器刪除僵尸網絡谅摄,只需要中斷服務器徒河。由于此漏洞,僵尸網絡惡意軟件的創(chuàng)建者已經發(fā)展并轉向新模型送漠,該模型不易受到單個或幾個故障點的干擾顽照。
點對點僵尸網絡模型
為了規(guī)避客戶端/服務器模型的漏洞,最近使用分散的對等文件共享組件設計了僵尸網絡闽寡。在僵尸網絡中嵌入控制結構消除了使用集中式服務器的僵尸網絡中存在的單點故障代兵,使緩解工作更加困難。P2P機器人可以是客戶端和命令中心爷狈,與其相鄰節(jié)點攜手傳播數(shù)據(jù)植影。
點對點僵尸網絡維護一個可信計算機列表,用戶可以通過這些計算機提供和接收通信并更新其惡意軟件涎永。通過限制機器人連接的其他機器的數(shù)量思币,每個機器人僅暴露給相鄰設備,使得更難跟蹤并且更難以緩解羡微。缺乏集中式命令服務器使得對等僵尸網絡更容易受到僵尸網絡創(chuàng)建者以外的其他人的控制支救。為了防止失去控制,分散的僵尸網絡通常是加密的拷淘,因此訪問受到限制各墨。
物聯(lián)網設備如何成為僵尸網絡?
沒有人通過他們放在后院觀看喂鳥器的無線閉路電視攝像機進行網上銀行業(yè)務启涯,但這并不意味著該設備無法提供必要的網絡請求贬堵。物聯(lián)網設備的強大功能加上弱配置或配置不當?shù)陌踩允研瑸榻┦W絡惡意軟件招募新機器人進入集體創(chuàng)造了機會。物聯(lián)網設備的增長導致了DDoS攻擊的新局面黎做,因為許多設備配置不當且容易受到攻擊叉跛。
如果物聯(lián)網設備的漏洞被硬編碼到固件中,則更新會更加困難蒸殿。為降低風險筷厘,應更新具有過期固件的物聯(lián)網設備,因為默認憑據(jù)通常在初始安裝設備時保持不變宏所。許多折扣硬件制造商沒有受到激勵酥艳,以使他們的設備更安全,使僵尸網絡惡意軟件對物聯(lián)網設備造成的漏洞仍然是一個未解決的安全風險爬骤。
現(xiàn)有的僵尸網絡是如何禁用的充石?
禁用僵尸網絡的控制中心:
一旦可以識別控制中心,就可以更容易地禁用使用命令和控制模式設計的僵尸網絡霞玄。在故障點切斷頭部可以使整個僵尸網絡脫機骤铃。因此,系統(tǒng)管理員和執(zhí)法官員專注于關閉這些僵尸網絡的控制中心坷剧。如果指揮中心在執(zhí)法能力較差或不愿干預的國家開展業(yè)務惰爬,這一過程就更加困難。
消除個別設備上的感染:
對于個人計算機惫企,重新獲得對計算機的控制權的策略包括運行防病毒軟件补鼻,從安全備份重新安裝軟件,或在重新格式化系統(tǒng)后從干凈的計算機重新啟動雅任。對于物聯(lián)網設備风范,策略可能包括閃存固件,運行恢復出廠設置或以其他方式格式化設備沪么。如果這些選項不可行硼婿,則可以從設備制造商或系統(tǒng)管理員處獲得其他策略。
如何保護設備免于成為僵尸網絡的一部分禽车?
創(chuàng)建安全密碼:
對于許多易受攻擊的設備寇漫,減少僵尸網絡漏洞的暴露可以像將管理憑據(jù)更改為默認用戶名和密碼之外的其他內容一樣簡單。創(chuàng)建安全密碼會使暴力破解變得困難殉摔,創(chuàng)建一個非常安全的密碼使得暴力破解幾乎不可能州胳。例如,感染Mirai惡意軟件的設備將掃描尋找響應設備的IP地址逸月。一旦設備響應ping請求栓撞,機器人將嘗試使用預設的默認憑證列表登錄到找到的設備。如果已更改默認密碼并且已實施安全密碼,則機器人將放棄并繼續(xù)前進瓤湘,尋找更易受攻擊的設備瓢颅。
僅允許受信任的第三方代碼執(zhí)行:
如果您采用軟件執(zhí)行的手機模型,則只能運行列入白名單的應用程序弛说,授予更多控制權來殺死被視為惡意軟件的軟件挽懦,包括僵尸網絡。僅利用管理程序軟件(即內核)可能導致對設備的利用木人。這取決于首先擁有安全內核信柿,大多數(shù)物聯(lián)網設備都沒有,并且更適用于運行第三方軟件的機器醒第。
定期系統(tǒng)擦除/恢復:
在設定的時間后恢復到已知良好狀態(tài)將刪除系統(tǒng)收集的任何垃圾渔嚷,包括僵尸網絡軟件。當用作預防措施時淘讥,此策略可確保即使是靜默運行的惡意軟件也會被丟棄圃伶。
實施良好的入口和出口過濾實踐:
其他更高級的策略包括網絡路由器和防火墻的過濾實踐堤如。安全網絡設計的原則是分層:您對可公開訪問的資源的限制最少蒲列,同時不斷增強您認為敏感的內容的安全性。?此外搀罢,必須仔細檢查跨越這些邊界的任何內容:網絡流量蝗岖,USB驅動器等。質量過濾實踐增加了在進入或離開網絡之前捕獲DDoS惡意軟件及其傳播和通信方法的可能性榔至。
如果您目前處于攻擊狀態(tài)抵赢,可以采取措施擺脫壓力。如果您已經使用Cloudflare唧取,則可以按照以下步驟緩解攻擊铅鲤。我們在Cloudflare實施的DDoS保護是多方面的,以減輕許多可能的攻擊媒介枫弟。了解有關Cloudflare?DDoS保護的更多信息邢享。
