殭屍網絡,英文"botnet"(簡稱"機器人網絡")是由受惡意軟件感染的計算機組成的網絡,由一個名為"bot-herder"的攻擊方控制。"每臺受bot-herder控制的機器被稱為機器人(bot)。從一箇中心點,攻擊方可以命令其殭屍網絡上的每臺計算機同時進行協調的犯罪行動。殭屍網絡的規模(許多由數百萬個機器人組成)使攻擊者能夠執行大規模的行動,這在以前的惡意軟件中是不可能的。由於殭屍網絡仍然處於遠程攻擊者的控制之下,受感染的機器可以動態地接收更新並改變它們的行為。因此,"bot-herder"往往能夠在黑市上租借進入殭屍網絡的權限,以獲得可觀的經濟收益。
常見的殭屍網絡操作包括:
· 電子郵件垃圾- 雖然電子郵件今天被視為一個較老的攻擊載體,但垃圾郵件殭屍網絡的規模最大。它們主要用於發送垃圾郵件,通常包括惡意軟件,每個殭屍程序的數量都很高。例如,Cutwail殭屍網絡每天最多可以發送740億條消息。它們還用於傳播機器人,以向殭屍網絡招募更多計算機。
· DDoS攻擊 - 利用殭屍網絡的大規模請求,來使目標網絡或服務器超載,使其無法訪問目標用戶。DDoS攻擊針對個人或政治動機或勒索付款以換取停止攻擊。
· 財務漏洞-包括專為直接竊取企業資金和信用卡信息而設計的殭屍網絡。像ZeuS殭屍網絡這樣的金融殭屍網絡一直負責在很短的時間內直接從多個企業竊取數百萬美元的攻擊。
· 有針對性的入侵 - 較小的殭屍網絡旨在危害組織的特定高價值系統,攻擊者可以從中滲透並進一步侵入網絡。這些入侵對組織來說極其危險,因為攻擊者專門針對他們最有價值的資產,包括財務數據,研發,知識產權和客戶信息。
當bot-herder使用文件共享,電子郵件或社交媒體應用程序協議或其他機器人作為中介將bot從他的命令和控制服務器發送給不知情的接收者時,創建殭屍網絡。一旦收件人在他的計算機上打開惡意文件,機器人就會報告命令並控制bot-herder可以向受感染的計算機發出命令的位置。下面是一個說明這些關係的圖表:
機器人(bot)和殭屍網絡的許多獨特功能特性使它們非常適合長期入侵。bot-herder可以更新機器人,根據他/她希望他們做的事情來改變他們的整個功能,並適應目標系統的變化和對策。機器人還可以利用殭屍網絡上的其他受感染計算機作為通信渠道,為bot-herder提供近乎無限數量的通信路徑,以適應不斷變化的選項並提供更新。這突出表明感染是最重要的一步,因為功能和通信方法總是可以在以後根據需要進行更改。
作為最複雜的現代惡意軟件之一,殭屍網絡是政府,企業和個人的巨大網絡安全問題。早期的惡意軟件是一群獨立的代理,只是簡單地感染和複製自己,殭屍網絡是集中協調的網絡應用程序,利用網絡來獲得能力和彈性。由於受感染的計算機受遠程bot-herder的控制,因此殭屍網絡就像在網絡中擁有惡意黑客,而不僅僅是惡意的可執行程序。
我們應該怎樣防止成為殭屍網絡中的機器人呢?
提高安全意識,不要下載不明程序,不要打開不明郵件,安裝防護軟件,及時升級病毒庫。
