如何识别和生存僵尸网络攻击

僵尸网络攻击发生时，互联网连接的设备，称为机器人就会被感染。因此，僵尸网络也是单个攻击者或攻击组控制的受感染设备网络的一部分。僵尸网络有时被称为计算机蠕虫或僵尸军队它们的主人被称为机器人的主人或机器人牧民。

通常，这些设备网络会执行诸如分布式拒绝服务(DDoS)攻击、点击欺诈活动、窃取数据、发送垃圾邮件、收集勒索软件、挖掘加密货币等负面行为。僵尸网络是地下经济的重要组成部分。

机器人本身并不是一件坏事——它可以只是一个自己执行任务的设备。另一方面，僵尸网络是有害的，因为机器人通常在用户不知道的情况下根据指令行事。设计僵尸网络的技术本身是良性的，但它可以被恶意使用。

机器人牧人通常通过安装恶意软件(也称为恶意软件)来控制联网设备。任何连接到互联网的设备都可能成为恶意软件的受害者，包括计算机、移动设备和物联网(IoT)设备(任何具有IP地址的设备，如婴儿监视器、冰箱、车库门打开器、电视、安全摄像头、路由器等)。

在谈论僵尸网络时，还有一些其他术语需要理解。有时人们会交替使用以下术语，但它们是不同的:

• 特洛伊木马一种伪装成无伤大雅的东西来破坏系统安全的计算机程序或恶意软件。木马不能自我复制。

• Roolkitroolkit的目标是隐藏系统中的活动和对象，通常阻止检测软件发现恶意程序。逃避检测可以使程序在系统上运行更长时间。

• 病毒病毒会将自己复制到其他程序和文件中，通常带有恶意。

• 蠕虫蠕虫在不使用其他文件或程序的情况下复制自己。蠕虫通常是一种独立的恶意软件，可以自我复制，传播到其他电脑上。

僵尸网络以不同的方式运行，一些命令和控制僵尸网络的方法比其他方法更复杂。Bot牧人可以从中央服务器控制一些僵尸网络，而其他牧人则使用几个较小的网络来利用它们现有的连接。

僵尸网络的一般类型包括以下几种:

• 终极动员令:也被称为命令和控制协议，C&C机器人与一个中央服务器通信。

• 远程登录:这种类型的控制将bot连接到主命令服务器。机器人扫描脚本尝试定位登录-一旦它找到一个，该系统或设备成为一个奴隶(这意味着它将遵循其他设备给出的任何指令)。

• IRCinternet中继聊天类型的网络使用低带宽和简单的通信，不断地改变频道，以避免被发现。

• 点对点点对点僵尸网络不是集中式的。相反，它们依赖于每个受感染的设备同时充当服务器和客户端。

• 域:僵尸计算机或僵尸设备访问分发控制命令的网页或域。僵尸网络所有者可以很容易地更新代码，但这种方法需要大量带宽。当局可以没收域名并将其删除。

• 物联网僵尸网络通常在用户没有意识到的情况下控制连接到互联网的设备。

当网络犯罪分子远程控制受感染的设备时，僵尸网络活动就会发生。其目标是感染尽可能多的设备，并利用这些设备的综合计算能力来完成自动化任务。

连接系统的计算能力增强，使得机器人牧人能够进行比单个系统或小型系统网络更大规模的活动。

设计僵尸网络的网络犯罪分子创建它们来执行各种恶意任务，例如DDoS，垃圾邮件，点击欺诈，间谍软件，勒索软件和加密货币挖掘。僵尸网络不断变化，这使得它们难以控制。有时，恶意软件会自行传播，造成更多感染，并形成更大的网络。

大多数僵尸网络实现以下功能:

• 分布式拒绝服务攻击(DDoS):多个系统向单个系统或服务器提交许多请求，使其不堪重负。这种轰炸使该系统无法处理和完成合法请求。DDoS攻击还可以针对销售点(PoS)和其他支付系统。

• 间谍软件僵尸网络向其创建者发送有关用户活动的信息，包括密码、信用卡号和其他个人详细信息(在黑市上出售的宝贵数据)。大公司往往是间谍软件攻击的目标。

• 电子邮件垃圾邮件:许多受感染的设备会在不知情的情况下将垃圾邮件伪装成真实消息发送给用户的联系人和其他列表。除了令人讨厌之外，这些电子邮件通常是恶意的，可以进一步在整个系统中传播病毒和恶意软件。

• 点击欺诈许多在线广告和互联网上的其他项目每点击一次就会收钱。僵尸网络经常被用来在用户不知情的情况下通过访问网站和广告来制造虚假的网络流量。

• Cryptocurrency矿业加密货币挖矿，也称为加密货币挖矿，山寨币挖矿或比特币挖矿，是一种验证各种形式的加密货币交易并将其添加到数字分类账的过程。受感染的计算机可以帮助解决验证数字交易所需的复杂问题，从而创造收入。

• Ransomware勒索软件攻击发生在恶意软件控制设备，使其失效的时候。发动攻击的人随后要求支付赎金，以释放信息并归还控制权。通常情况下，即使在付费之后，控制权也不会回到用户手中。

僵尸网络所有者使用各种方法控制受感染的设备。随着设备和僵尸网络检测的进步，这些方法已经发生了变化。

客户机/服务器(C&C)方法发生在主命令和控制服务器直接与受感染设备通信并发送自动指令时。这种方法是集中式的，只有一个通信点，因此只有一个故障点。

一种更分散的方法是使用点对点僵尸网络，其中受感染的设备与其他受感染的设备共享命令。连接的设备既充当命令分发中心，又充当接收命令的客户端，使其更难被检测到。由于有多个服务器发出命令，因此存在多个故障点。

Internet中继聊天(IRC)控制系统以文本的形式使用现有的通信通道。客户端在其系统上安装基于web的应用程序，并与聊天服务器通信以向其他客户端发送消息。这些系统的目的是促进群体交流，但机器人牧人可以通过这些渠道发出命令。

在每一种设计中，受感染的系统通常处于休眠状态，直到它们收到命令。bot主机向服务器发送命令，服务器将消息转发给客户端，客户端执行命令，然后客户端向服务器报告。

僵尸网络依赖于寻找漏洞。没有易受攻击和不受保护的系统和设备，僵尸网络将无法工作。随着时间的推移，僵尸网络已经进化到逃避检测、破坏和破坏的程度。

僵尸网络恶意软件寻找带有过时安全产品的易受攻击的设备，包括防火墙和防病毒软件。ob欧宝娱乐app手机下载没有软件补丁的系统很容易成为僵尸网络代码驻留和引发问题的目标。

受感染设备通过多种连接方式(点对点、直连等)与其他受感染设备连接，形成网络。此连接利用良性技术达到恶意目的。连接设备以结合计算能力具有积极的意图，但使用这种能力进行DDoS或其他攻击则具有负面后果。

IRC经常连接那些执行重复任务以保持网站运行的计算机，然而黑客利用这项技术进行恶意攻击。

就像僵尸网络一样，一些感染方法很复杂，而另一些则很简单。总的来说，僵尸网络是通过恶意代码传播的——它们的区别在于代码是如何进入设备的，以及一旦进入设备，它的目的是什么。

有时，特洛伊木马会传播代码。当用户打开受感染的附件、点击恶意弹出式广告或下载危险软件或文件时，系统就会出现特洛伊木马。

一些网站未经许可就在电脑或其他设备上安装软件，这是你的设备可能被感染的另一种方式。通常，这些网站看起来是合法的，偶尔会说设备需要更新。在某些情况下，更新是合法的;然而，它也附带了恶意软件。由于这种善意和恶意的混合，用户可能没有意识到他们的设备被感染了。

另一种感染方法叫做drive-by-download当用户查看电子邮件、浏览网站或点击弹出窗口或错误信息时，在系统上安装恶意代码。

随着互联网和我们对联网设备的需求不断增长，僵尸网络也在增长。目前，僵尸网络感染各种技术，包括Windows和Mac pc、移动设备、可穿戴设备和物联网设备。尽管调查人员(包括联邦调查局、警察、政府官员、反恶意软件公司等)破坏并摧毁了僵尸网络的一些操作，但许多僵尸网络仍在继续出现并造成问题。

“最早的僵尸网络都是基于pc的。随着物联网的发展，我们看到大多数僵尸网络都是物联网，”CompTIA的斯坦格说。例如，最大的DDoS攻击之一是通过控制婴儿监视器的僵尸网络牧人发生的。

起初，僵尸网络基本上是黑客的战利品，是一种测试他们能控制多少设备的方法。

“在过去，(僵尸网络)是由一些组织创建的，只是为了看看他们能否做到。然后他们就和事业联系在一起了，”斯坦格解释说。这些原因可能是一种政治意识形态，一种消除公司竞争对手的策略，报复，经济利益，或者更多。

2001年，当局发现了第一个僵尸网络，它主要制造大量垃圾邮件。当暴露时，僵尸网络约占所有垃圾邮件流量的25%。

2007年，最臭名昭著的恶意软件僵尸网络之一感染了微软Windows系统。这种被称为宙斯的攻击，通过发送垃圾邮件和网络钓鱼邮件来感染设备。宙斯传播勒索软件等问题，主要是为了获取银行凭证和金融信息。

Srizbi僵尸网络出现于2007年，它使用一个木马来感染系统。斯里兹比主要发送垃圾邮件，经常宣传当时的总统候选人罗恩·保罗。出于这个原因，有些人把Srizbi称为罗恩·保罗僵尸网络。

Kraken和Conficker僵尸网络攻击出现于2008年。Kraken感染了许多财富500强公司的机器，每天发送数十亿封垃圾邮件。设计海妖的人设计它是为了躲避杀毒软件。

Conficker蠕虫利用Windows操作系统的一个漏洞将用户锁定在自己的系统之外，并禁用更新、安全软件等。

2011年是僵尸网络流行的一年。Gameover Zeus是一个点对点僵尸网络，与2007年造成许多问题的宙斯木马有一些相似之处。Bot牧人使用Gameover Zeus来破坏设备(在软件更新失败或恶意活动后使设备失去响应的过程)，实施银行欺诈，分发勒索软件等等。

ZeroAccess于2011年5月出现，导致受感染的设备挖掘比特币或进行点击欺诈。僵尸网络主要通过人们执行他们认为合法的恶意代码或点击将他们引导到托管该软件的网站的广告来传播。

仙女座菌株(Andromeda或Gamaure)在2011年突然出现，至今仍在制造问题。Andromeda的主要目标是传播其他类型的恶意软件。

快进到2016年，Methbot推出了，它为在线广告提供了欺骗性点击，并为视频广告提供了虚假观看。Methbot创造了数百万美元的收入。

Mirai僵尸网络在2016年底开始协调许多DDoS攻击，并且仍然存在。使用许多物联网设备，如运行Linux的无线路由器和安全摄像头，Mirai不断扫描互联网，寻找它可以感染的物联网设备的IP地址。一旦Mirai找到一台设备，它就会使用制造商提供的常见默认密码登录并感染该设备。这些设备仍然可以工作，所以僵尸网络很难检测到。僵尸网络已经扰乱了世界各地的服务，包括Spotify、Reddit和facebook《纽约时报》。Mirai的创造者向公众发布了他们的源代码，因此新的机器人牧人可以使用这项技术来实现自己的目的。

同样在2016年，僵尸牧人利用僵尸网络传播有关政治候选人的错误信息。

Mirai僵尸网络催生了IoTroop或Reaper僵尸网络。IoTroop或Reaper利用已知的安全漏洞入侵设备，而不是猜测物联网设备上的密码。

僵尸网络流量当数千台受感染的计算机都试图在相同的时间做某事时(因此，产生人为流量)，就会发生这种情况。一旦僵尸网络启动并运行，它通常会产生大量的互联网流量。有时，这种流量的目的是点击欺诈和印象欺诈，以及由此产生的收入。

破坏僵尸网络攻击需要老练。

王说:“你不可能轻易地把它(僵尸网络)打倒。“尽管我们在防御方面有才华横溢的人才，但从经济上讲，摧毁(所有僵尸网络)并不是一件可行的事情。”

当大多数僵尸网络都是C&C类型时，当局可以通过拆除或摧毁源服务器来摧毁僵尸网络。调查人员通过追踪机器人与服务器的通信方式找到了源头。由于通信是集中的，删除服务器或删除服务器对互联网的访问会破坏整个网络。

对于使用点对点通信或其他分散控制方法的僵尸网络来说，跟踪通信以调查来源更具挑战性。目前，调查人员试图通过在源设备上识别和删除僵尸网络恶意软件来摧毁僵尸网络，复制僵尸网络的通信方法以中断它们，并破坏货币化努力。

反恶意软件和防病毒软件和程序可以有效地在单个设备上发现和删除某些类型的恶意软件，但这并不能阻止僵尸网络的运行。

有时，互联网提供商可以切断对已知存在恶意软件的域名的访问。公司也可以设立一个蜜罐这是一种旨在充当诱饵并引诱网络黑客的计算机系统。通过这种方式，设置蜜罐的组织可以检测、转移并研究黑客和其他网络犯罪分子如何试图访问系统。

僵尸网络总是在变异，以利用安全漏洞。每个僵尸网络都是不同的，因此识别、遏制和修复技术也必须是唯一的。它们试图掩饰它们的来源并使用代理，这样它们就不会直接与服务器联系。相反，僵尸网络使用其他机器作为中介来传递信息。

“金钱是僵尸网络背后新的主要驱动力。如今，市场的驱动力已经不再是吹嘘的权利了。”“更多的是隐藏在雷达之下，赚钱。在地下网络市场，人们的工作是创建僵尸网络。”

调查当局之间的信息共享也是一个障碍。通常，机器人牧人和机器人创造者住在一个国家，攻击另一个国家。各国对网络犯罪有不同的法律，也没有一个全球性的网络犯罪执法体系。

另一个需要考虑的问题是，许多物联网设备包含的软件和连接比它们需要的要多。CompTIA的斯坦格说:“当你急于将某些东西推向市场时，你最终会得到有缺陷的设备，或者工作得非常好，但过度生产的设备。”

他解释说，婴儿监视器和其他物联网产品通常包含一个完整的Linux或其他操作系统(OS)，当ob欧宝娱乐app手机下载他们只需要一小部分就足够了。这是因为调整操作系统只包含必要的元素可能会更昂贵。斯坦格补充说:“物联网提供商需要确保他们遵循安全的软件开发生命周期。

许多设备，特别是物联网设备，具有弱密码或默认密码，或者与无法更改的密码硬连接。当密码可以更改或更新时，该过程无法远程完成。

斯坦格说，消费者几乎没有动力购买或更新他们的设备。他补充说:“父母唯一关心的是，他们的婴儿监视器是否变成了监听或侵犯隐私的设备。”

另一方面，由于许多物联网设备和计算机的补丁水平较低，公司正在自动和强制更新。斯坦格解释说，安全补丁采用率低是微软现在自动应用更新而不是按计划发布更新的原因之一。黑客知道更新和安全补丁的发布时间表，可以在补丁可用之前执行命令。

只要人们继续购买不安全的设备，公司就很少或根本没有动力生产安全的设备。如果一个公司的设备成为僵尸网络攻击的一部分，公司不会受到惩罚(除了它对自己的基础设施所做的事情)。责任往往落在购买和使用设备的人身上。

“终端用户需要对他们使用的设备负责。如果你把东西放到网上，你应该确保它是安全的，更新的，并且你正在正确地使用它，”斯坦格说。

并不是所有东西都需要连接。Rain Capital的王建议道:“运用常识。我真的需要这个设备连接到互联网吗?如果你不需要这个功能，那就远离它。没有理由仅仅为了上网而上网。”

Wang补充说，信誉良好的制造商和其他感兴趣的实体正在制定物联网设备的标准，但这需要时间。“在某个时候，我们会期待某种类型的设备认证。”

由于僵尸网络一旦活跃就很难停止，因此预防它们至关重要。幸运的是，你可以采取一些措施来保护你的设备。更新操作系统、软件和应用程序非常重要。黑客知道如何利用安全漏洞，所以补丁可以解决问题。

包括杀毒软件和防火墙在内的互联网安全套件可以提供一些保护。这些程序可以在执行之前扫描任何下载的文件，并阻止您访问危险网站或防止未经授权的设备访问您的系统。

“病毒和恶意软件带有不同的特征。一旦防病毒软件知道了这个签名，他们就会发布一个补丁，你就受到了保护。”“它们不是百分之百的，从恶意软件可用到反病毒人员生成签名并发送它之间有很长一段时间。”

王建议寻找一种有行为保护的产品，而不仅仅是需要签名。ob欧宝娱乐app手机下载僵尸网络经常覆盖系统注册表，接触其他在线站点，并执行行为检测可以发现的其他任务。

密码也很重要。如果您可以在物联网设备上更改密码，请执行此操作。陌生人使用“密码卫生”这个短语。他建议:“你需要使用好的强密码，不要采取冒险的行动。”

“社交工程和网络钓鱼是僵尸网络入侵系统的主要方式，”斯坦格补充说，所以不要点击链接或下载任何无法识别的东西。相反，将鼠标悬停在一个网站链接上，然后点击它来查看它的目的地。如果链接指向YouTube评论、弹出广告或其他不相关的内容，不要点击它。避免从P2P和文件共享网络下载项目。这些文件通常包含恶意软件和其他危险代码。此外，远离那些已知是恶意软件分发者的网站。

更新后的互联网浏览器内置了一些保护功能，如果安全证书过期或出现其他问题，浏览器会发出警告。王建议:“如果你看到警告信息，你应该注意它，而不是继续前进。”她还建议在url前查找https而不是“http”。浏览器窗口顶部的绿色条或url附近的锁符号也表明该网站是加密和安全的。

定期清除和恢复设备到出厂设置也可以防止僵尸网络。斯坦格说，一项额外的预防技术可能比其他技术更重要。“持续备份你的文件。备份是恢复数据的首选方法。”“它可能无法帮助你预防僵尸网络，但它可以帮助你更容易地恢复。”

王建议避免将程序和数据存储在本地设备上，而是使用云存储，因为大型云公司有多层安全保障。她说:“如果你的机器上没有存储任何东西，就没有地方存储僵尸网络。”“(使用云计算)比你自己试图保护东西要好得多。”

僵尸网络的一个问题是，用户并不总是意识到设备被感染了。执行静态分析或行为/动态分析以发现感染。

静态分析当设备没有实际执行任何程序时发生。静态分析查找恶意软件签名、C&C连接或特定的可执行文件。机器人创建者在躲避检测方面变得越来越老练，所以这种类型的分析并不总是产生结果。

动态分析在程序运行时发生。这种类型的分析，也称为行为分析，更彻底和资源密集。它扫描本地网络上的端口并查找异常的网络流量，这可能是C&C活动的标志。任何IRC活动也可能是感染的迹象。

斯坦格说:“一个好的僵尸网络创建者知道如何绕过反病毒程序。”计算机、电话或物联网设备通常会继续正常运行。如果您知道在技术层面上要寻找什么，那么您可能能够在个人和网络层面上找到僵尸网络攻击的症状。

受感染的系统可能会执行以下操作:

• 链接到C&C服务器获取说明。

• 通过特定范围的端口生成IRC通信。

• 同时生成相同的DNS请求或修改默认的DNS服务器。修改DNS服务器可能是一个信号，表明流量进入了不该去的地方。

• 生成简单邮件传输协议(SMTP)流量/电子邮件。大量的出站流量可能表示垃圾邮件。

• 降低工作站性能，这对最终用户来说是显而易见的。

• 执行不熟悉的流程。

• 产生意想不到的弹出窗口。

• 修改Windows主机文件。

防病毒软件确实提供了一些检测功能，但往往无法发现感染。确保您选择的软件能够检测到常见问题，因为没有捕捉到明显的感染可能会导致其他感染。制造蜜罐，或伪造渗透机会，也可以是检测僵尸网络感染的一种方法。如果蜜罐被感染，其他网络也可能被感染。

如果预防技术不起作用，并且您发现自己是僵尸网络攻击的受害者，或者您的设备是不情愿的僵尸网络主机，那么您可以做一些事情来恢复您的设备。

斯坦格建议那些被感染的人立即在所有系统、应用程序以及防病毒和反恶意软件上安装补丁和更新。“一般来说，反病毒人员很擅长追踪僵尸网络及其变种，”他说。

更新将捕获并清理设备。如果怀疑设备受到感染，手动扫描也会有所帮助。重新格式化并将系统重置为出厂设置以及重新安装软件可能很耗时，但也可以清理系统。确保从安全备份或云重新安装数据和软件。

“你的备份上可能有病毒。创建一个完整的系统备份可能不是一个好主意，只有数据和文件，”王说。在将设备恢复到出厂设置后，从云端获取数据。

通过设计一个灵活的平台来满足你的团队的需求，并随着需求的变化而适应，从而使你的员工能够超越自己。

Smartsheet平台可以轻松地从任何地方计划、捕获、管理和报告工作，帮助您的团队更有效地完成更多工作。报告关键指标，并通过汇总报告、仪表板和自动工作流实时了解工作情况，以保持团队的联系和信息。

当团队对要完成的工作有了清晰的认识时，就不知道他们在同样的时间内能完成多少工作。今天就免费试用Smartsheet吧。

Smartsheet在网站上提供的任何文章、模板或信息仅供参考。虽然我们努力使信息保持最新和正确，但我们对网站或网站上包含的信息、文章、模板或相关图形的完整性、准确性、可靠性、适用性或可用性不作任何形式的明示或暗示的陈述或保证。因此，您对此类信息的任何依赖均须严格由您自行承担风险。