你可能聽說過殭屍網絡DDOS攻擊這個詞,2016年底Mirai殭屍網絡DDOS攻擊的出現將這個詞牢牢地固定在網絡安全領域了。
但是,儘管這個詞可能很熟悉,但你可能並不熟悉殭屍網絡的實際情況。你也可能不知道它們是網絡犯罪分子的一項非常新穎的創新,殭屍網絡正在更多的用於各種網絡攻擊活動。
殭屍網絡可以由遍佈全球的數千臺計算機組成
1.什麼是殭屍(Bot)網絡?
殭屍網絡是一種由互聯網連接的設備組成的網絡,稱為漫遊器,它們被惡意軟件感染並將其作為一個整體進行控制,控制過程通常在設備所有者不知情的情況下進行。
它們有時被稱為“殭屍軍隊”,可用於網絡犯罪分子的各種活動,包括髮送垃圾郵件和進行分佈式拒絕服務(DDoS)攻擊。
任何連接互聯網的設備都可以添加到殭屍網絡中,包括筆記本電腦、臺式電腦、智能手機、DVR播放器、無線路由器以及其他物聯網(IoT)設備。
殭屍網絡由命令和控制(C&C)服務器控制。C&C服務器是受黑客或黑客組織控制的計算機,可以向殭屍網絡中的殭屍程序發送命令,並且還可以接收殭屍程序收集的信息。殭屍網絡的控制器被稱為Bot Botder或Bot master。
IoT(物聯網)的出現意味著現在有更多的設備可以被添加到殭屍網絡中。而且,值得注意的是,現在很多物聯網設備的安全性不足,並且大多是依賴於默認密碼和難以更新的固件。這意味著殭屍網絡的規模可以在未來很容易發展壯大。
殭屍網絡有時被稱為計算機的“殭屍軍隊”
2.殭屍網絡的控制方式
殭屍網絡可以由殭屍主控制器以幾種不同的方式進行控制。
傳統上,殭屍網絡可能是由一臺C&C服務器控制的。在這種情況下,Bot設備會回到一個預定的位置並等待來自服務器的命令。Bot控制者將命令發送到服務器,然後服務器將命令轉發到Bot網絡,然後收集的結果或信息由Bot設備發送回該中央服務器。
但是,擁有一臺集中式服務器使得殭屍網絡更易受到攻擊和破壞企圖的影響。出於這個原因,許多殭屍網絡的控制者現在大多使用對等(P2P)模型。
在P2P殭屍網絡中,互連的殭屍設備共享信息,而無需向中央服務器報告,即被感染的殭屍設備既發送命令又接收命令。這些殭屍設備然後探測隨機IP地址以聯繫其他受感染的設備。一旦聯繫,Bot設備會回覆諸如其軟件版本和已知設備的列表等信息。如果聯繫的Bot具有較新的軟件版本,則另一Bot將自動將其自身更新為該版本。這種方法允許殭屍網絡增長並保持更新,而不需要聯繫中央服務器,這使得執法機構或其他機構更難以取締殭屍網絡。
3.殭屍網絡用於做什麼?
殭屍網絡最常見的兩種用途是發送垃圾郵件活動,並進行分佈式拒絕服務(DDoS)攻擊。
Bot設備也可以用來發送電子郵件惡意軟件,而且不同類型的惡意軟件可能有不同的目標,包括從受感染的計算機收集信息。其中可能包括密碼、信用卡信息以及可以在黑市上銷售的任何其他信息。如果企業網絡中的設備變成Bot設備,那麼敏感的公司信息也可能有被盜的風險。
Bot設備通常也用於點擊欺詐,訪問網站創建虛假流量併為Bot設備的所有者創造收益,它們也常常被用於比特幣挖掘。
4.臭名昭著的6個殭屍網絡
GameoverZeus是一個臭名昭著的殭屍網絡,它用於竊取人們的銀行信息
歷史上出現了許多殭屍網絡,但其中有一些殭屍網絡比其他殭屍網絡更有影響力,這裡有六個非常著名的殭屍網絡:
4.1 Bagle
Bagle是世界上第一個殭屍網絡之一,它被用來進行大規模的垃圾郵件活動。它出現在2004年,它主要是微軟Windows電腦設備組成的。Bagle是一種感染超過20萬臺電腦的蠕蟲,據估計,該病毒發出的垃圾郵件佔全球垃圾郵件總數的10%以上。
4.2 Conficker
Conficker是一個臭名昭著的計算機蠕蟲,最早出現在2008年底,並一直是困擾著網絡安全人員。
Conficker的第一個版本於2008年11月出現,它很快通過網絡共享和受感染的USB驅動器傳播。據統計,它已經感染了多達1100萬臺電腦。這使得Conficker成為一個巨大的殭屍網絡,如果攻擊者想要利用它進行攻擊的話,它可能會通過巨大的DDoS攻擊造成很大的損害。然而,它並沒有發出任何攻擊,甚至現在Conficker背後的作者的真實意圖仍然是一個謎,它從來沒有明確它歸於任何群體。
據估計,清理Conficker的成本高達90億美元,令人驚訝的是,儘管事實上它已經發布了近十年,但感染Conficker的計算機依然存在。
4.3 ZeroAccess
ZeroAccess殭屍網絡是目前已知的最大的殭屍網絡之一,它出現於2013年,是一隻擁有近200萬臺電腦的軍隊殭屍網絡。由於使用了P2P +C&C服務器的模式,這是一個很難對付的殭屍網絡,但賽門鐵克的研究人員在2013年對殭屍網絡進行了調查,結果發現其中有近50萬臺Bot設備擁有sandbox(瀏覽器沙箱)。
ZeroAccess主要用於點擊欺詐和比特幣挖掘,考慮到該殭屍網絡的規模,有人認為它在其活動高峰期為其背後的控制者帶來了大量財富。
4.4 Gameover Zeus
Gameover Zeus是一個巨大的殭屍網絡,主要用於竊取人們的銀行信息。該殭屍網絡擁有高達100萬臺計算機設備。據估計,殭屍網絡已經被用來竊取超過1億美元。
Gameover Zeus是Trojan.ZBot惡意軟件的一個變體,並且現在它仍然很活躍。Gameover Zeus是原始惡意軟件的複雜變體,它可以通過劫持數千名受害者的網上銀行會話來促成大規模金融詐騙。與當前很多電子郵件惡意軟件活動一樣,它通常通過發送郵件形式發送。一旦受感染的用戶訪問了他們的銀行網站,惡意軟件會攔截會話,獲取受害者的信息並竊取他們的錢。
雖然Gameover Zeus在2014年進行了刪除,但Zeus惡意軟件的許多變種目前仍處於活躍狀態。
4.5 Necurs
Necurs是現在最活躍的最著名的殭屍網絡之一。它是2016年惡意電子郵件的最大分銷商之一,而且它還大規模的推廣Locky勒索軟件的活動。但是,它在2016年12月24日神秘地停止了運行,並且在近三個月內保持不活動。在此期間,賽門鐵克(一家網絡安全機構)檢測到的惡意電子郵件的速度大幅下降。
3月20日恢復活動,賽門鐵克僅在當天就阻止了近200萬條惡意電子郵件。然而,自從它迴歸以來,Necurs公司一直沒有專注於發送惡意電子郵件活動,而是一直髮送“pump and dump(拉高出貨)”股票垃圾郵件活動。它在12月份消失之前就開始發放這些類型的活動,並且在它迴歸之後加大力度繼續做這件事。
發送股票垃圾郵件目的是通過鼓勵受害者購買同一公司的股票來太高郵件發送者手中的股票價格。一旦股票價格被受害者購買股票推高,垃圾郵件發送者就會賣掉所有的股票。這導致股票價格急劇下跌,並且使受害者沒機會將手中的股票拋售。
4.6 Mirai
大多數人可能對Mirai很熟悉,Mirai在2016年的最後幾個月肆虐了全球各地的網絡,使用一系列物聯網設備對全球各種目標發動DDoS攻擊。
9月份Mirai的DDoS攻擊的最初目標是主機提供商OVH以及安全專家Brian Krebs的網站。這些都是大規模的DDoS攻擊,這在當時是有史以來最大規模的攻擊,分別達到1 Tbps和620 Gbps。在9月底,Mirai在其在線黑客社區HackForums上發佈升級,三週後,它又針對DNS提供商Dyn發動了大規模DDoS攻擊以阻止用戶訪問幾個知名網站,包括Netflix、Twitter和PayPal。
11月下旬,Mirai網絡的一個變種在德國利用德國家庭的路由器中的一個漏洞進行互聯網訪問,導致近100萬家庭互聯網用戶受到攻擊;同樣的漏洞也影響了愛爾蘭家庭互聯網用戶的路由器。
Mirai殭屍網絡主要由受感染的路由器和安全攝像頭組成,這一事件凸顯了物聯網設備在安全方面是非常鬆懈的。
5.綜述
殭屍網絡已經存在了很長一段時間,隨著技術的不斷髮展,殭屍網絡已經發展壯大。物聯網設備的增長以及與互聯網相關的設備數量的增加,殭屍網絡發展的故事可能遠未結束。
閱讀更多 TMT主題曲 的文章
