什么是僵尸網(wǎng)絡(luò)攻擊？僵尸網(wǎng)絡(luò)攻擊是由惡意行為者控制的一組互聯(lián)網(wǎng)連接設(shè)備進(jìn)行的一種網(wǎng)絡(luò)攻擊。僵尸網(wǎng)絡(luò)本身就是設(shè)備網(wǎng)絡(luò)。當(dāng)網(wǎng)絡(luò)犯罪分子將惡意軟件注入網(wǎng)絡(luò)以控制他們作為一個(gè)集體時(shí)，他們就會(huì)被用來(lái)發(fā)動(dòng)網(wǎng)絡(luò)攻擊。僵尸網(wǎng)絡(luò)攻擊可用于發(fā)送垃圾郵件、數(shù)據(jù)盜竊、泄露機(jī)密信息、使廣告欺詐長(zhǎng)期存在或用于發(fā)起更危險(xiǎn)的分布式拒絕服務(wù)或DDoS 攻擊。

機(jī)器人攻擊與僵尸網(wǎng)絡(luò)攻擊

僵尸網(wǎng)絡(luò)攻擊可以被認(rèn)為是更一般的“僵尸攻擊”的一種特定類型。機(jī)器人攻擊是使用旨在篡改網(wǎng)站、應(yīng)用程序或設(shè)備的自動(dòng) Web 請(qǐng)求的網(wǎng)絡(luò)攻擊。

Bot 攻擊最初由簡(jiǎn)單的垃圾郵件操作組成，但在性質(zhì)上已經(jīng)發(fā)展為更加復(fù)雜，旨在欺騙或操縱用戶。造成這種情況的原因之一是用于構(gòu)建機(jī)器人的開源工具（稱為 botkits）的可用性。

這些僵尸工具包通常在網(wǎng)上或暗網(wǎng)上免費(fèi)提供，可用于執(zhí)行惡意任務(wù)，例如抓取網(wǎng)站、接管帳戶、濫用表單提交以及制造僵尸網(wǎng)絡(luò)攻擊，包括 DDoS 攻擊。

僵尸網(wǎng)絡(luò)攻擊如何運(yùn)作？

僵尸網(wǎng)絡(luò)攻擊始于網(wǎng)絡(luò)犯罪分子通過(guò)損害設(shè)備的安全性來(lái)訪問(wèn)設(shè)備。他們可以通過(guò)注入木馬病毒或基本的社會(huì)工程策略等黑客手段來(lái)做到這一點(diǎn)。然后使用命令設(shè)備進(jìn)行大規(guī)模攻擊的軟件控制這些設(shè)備。

有時(shí)，犯罪分子自己可能不會(huì)使用僵尸網(wǎng)絡(luò)發(fā)起攻擊，而是將網(wǎng)絡(luò)訪問(wèn)權(quán)出售給其他惡意行為者。然后，這些第三方可以將僵尸網(wǎng)絡(luò)用作“僵尸”網(wǎng)絡(luò)來(lái)滿足自己的需求，例如指導(dǎo)垃圾郵件活動(dòng)。

不同類型的僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)攻擊可能因其方法和使用的工具而異。有時(shí)，這些僵尸網(wǎng)絡(luò)本身不會(huì)進(jìn)行攻擊，而是成為黑客發(fā)起詐騙和贖金攻擊等二次活動(dòng)的途徑。一些常見的僵尸網(wǎng)絡(luò)攻擊類型包括：

• 分布式拒絕服務(wù) (DDoS) 攻擊：一種更常見的僵尸網(wǎng)絡(luò)攻擊類型，它通過(guò)使用機(jī)器人發(fā)送的網(wǎng)絡(luò)流量使服務(wù)器超載以使其崩潰來(lái)工作。服務(wù)器運(yùn)行中的這種停機(jī)時(shí)間也可用于發(fā)起其他基于僵尸網(wǎng)絡(luò)的攻擊。
• 網(wǎng)絡(luò)釣魚攻擊：這些攻擊通常是為了從組織的員工那里提取關(guān)鍵信息而發(fā)起的。例如，可以設(shè)計(jì)大規(guī)模垃圾郵件活動(dòng)來(lái)模仿組織內(nèi)的可信來(lái)源，以誘騙人們泄露登錄詳細(xì)信息、財(cái)務(wù)信息和信用卡詳細(xì)信息等機(jī)密信息。
• 蠻力攻擊：這些涉及強(qiáng)制破壞網(wǎng)絡(luò)帳戶的程序。字典攻擊和憑證填充用于利用弱用戶密碼并訪問(wèn)其數(shù)據(jù)。

哪些系統(tǒng)和設(shè)備面臨的風(fēng)險(xiǎn)最大？

當(dāng)僵尸網(wǎng)絡(luò)攻擊成為新聞時(shí)，損害通常被稱為受到危害的計(jì)算機(jī)或服務(wù)器的數(shù)量。但不僅僅是個(gè)別系統(tǒng)會(huì)被感染和癱瘓。任何連接到互聯(lián)網(wǎng)的設(shè)備都容易受到僵尸網(wǎng)絡(luò)攻擊。

隨著物聯(lián)網(wǎng)的發(fā)展，越來(lái)越多的設(shè)備加入互聯(lián)網(wǎng)，增加了攻擊向量的可能性。即使是監(jiān)視您的門廊或后院的看似無(wú)害的無(wú)線閉路電視攝像機(jī)也可能受到攻擊，從而為僵尸網(wǎng)絡(luò)惡意軟件打開進(jìn)入網(wǎng)絡(luò)的入口點(diǎn)。此類新的物聯(lián)網(wǎng)設(shè)備可能帶有配置不當(dāng)?shù)陌踩O(shè)置，這一事實(shí)只會(huì)使問(wèn)題更加嚴(yán)重。

檢測(cè)僵尸網(wǎng)絡(luò)攻擊

僵尸網(wǎng)絡(luò)攻擊很難檢測(cè)，因?yàn)橛脩敉ǔ２恢涝O(shè)備何時(shí)受到攻擊。一些僵尸網(wǎng)絡(luò)設(shè)計(jì)有一個(gè)中央服務(wù)器，以命令和控制模型控制每個(gè)機(jī)器人。對(duì)于這些僵尸網(wǎng)絡(luò)，檢測(cè)攻擊的關(guān)鍵步驟是找到中央服務(wù)器。

靜態(tài)分析技術(shù)有助于發(fā)現(xiàn)設(shè)備中的感染。這些在設(shè)備未執(zhí)行任何程序時(shí)運(yùn)行，并涉及尋找惡意軟件簽名和其他與命令和控制服務(wù)器的可疑連接，以尋找指令和可疑的可執(zhí)行文件。隨著僵尸網(wǎng)絡(luò)創(chuàng)建者開發(fā)出更復(fù)雜的技術(shù)來(lái)避免檢測(cè)，他們?cè)絹?lái)越擅長(zhǎng)避免靜態(tài)分析方法。

如果有更多可用資源，也可以使用行為或動(dòng)態(tài)分析。這些包括掃描本地網(wǎng)絡(luò)上的端口，尋找涉及 Internet 中繼聊天 (IRC) 的異常流量和活動(dòng)。

殺毒軟件可以在一定程度上檢測(cè)僵尸網(wǎng)絡(luò)攻擊，但無(wú)法發(fā)現(xiàn)受感染的設(shè)備。另一個(gè)有趣的方法是使用蜜罐。這些是通過(guò)虛假滲透機(jī)會(huì)引誘僵尸網(wǎng)絡(luò)攻擊的虛假系統(tǒng)。

對(duì)于較大的僵尸網(wǎng)絡(luò)，例如 Mirai 僵尸網(wǎng)絡(luò)，ISP 有時(shí)會(huì)一起檢測(cè)流量并找出阻止僵尸網(wǎng)絡(luò)攻擊的方法。他們可以與安全公司合作，以識(shí)別網(wǎng)絡(luò)中其他受感染的設(shè)備。

可以防止僵尸網(wǎng)絡(luò)攻擊嗎？

多年來(lái)，防止僵尸網(wǎng)絡(luò)攻擊變得越來(lái)越困難。防止這些攻擊的主要挑戰(zhàn)之一是設(shè)備的擴(kuò)散。隨著不同類型的設(shè)備變得容易獲得，通常具有自己的安全設(shè)置，因此很難在這些攻擊發(fā)生之前對(duì)其進(jìn)行監(jiān)控、跟蹤和阻止。然而，您仍然可以采取某些措施來(lái)防止僵尸網(wǎng)絡(luò)攻擊。

• 保持所有系統(tǒng)更新

僵尸網(wǎng)絡(luò)滲透和破壞企業(yè)安全系統(tǒng)的主要途徑之一是利用網(wǎng)絡(luò)機(jī)器中存在的未修補(bǔ)漏洞。這使得保持系統(tǒng)更新并確保在新更新可用時(shí)立即安裝至關(guān)重要。

這還包括硬件設(shè)備，尤其是企業(yè)中不再積極使用的遺留設(shè)備。

• 采用基本的網(wǎng)絡(luò)安全最佳實(shí)踐

在所有設(shè)備上遵循基本的安全衛(wèi)生也很重要，以防止僵尸網(wǎng)絡(luò)攻擊。這包括使用復(fù)雜的密碼、向員工宣傳網(wǎng)絡(luò)釣魚電子郵件的危險(xiǎn)以及點(diǎn)擊可疑的附件和鏈接。企業(yè)還應(yīng)采取適當(dāng)措施，確保任何進(jìn)入其網(wǎng)絡(luò)的新設(shè)備都具有完善的安全設(shè)置。

• 控制對(duì)機(jī)器的訪問(wèn)

采取措施鎖定對(duì)機(jī)器的訪問(wèn)是防止僵尸網(wǎng)絡(luò)攻擊的另一種方法。除了強(qiáng)密碼之外，您還應(yīng)該部署多因素身份驗(yàn)證和控制，以便僅向最需要它的人提供訪問(wèn)權(quán)限。如果對(duì)關(guān)鍵系統(tǒng)的訪問(wèn)受到控制并相互隔離，則將僵尸網(wǎng)絡(luò)攻擊隔離到一組特定設(shè)備并在那里根除它們會(huì)變得稍微容易一些。

• 使用分析解決方案監(jiān)控網(wǎng)絡(luò)流量

預(yù)防僵尸網(wǎng)絡(luò)攻擊需要良好的技術(shù)來(lái)提前檢測(cè)它們。使用高級(jí)分析來(lái)監(jiān)控和管理流量、用戶訪問(wèn)和數(shù)據(jù)泄漏是您可以采取的另一項(xiàng)措施。Mirai 僵尸網(wǎng)絡(luò)就是攻擊者利用不安全連接設(shè)備的例子之一。

如何緩解機(jī)器人攻擊

有時(shí)，即使是您最好的預(yù)防措施也可以被僵尸網(wǎng)絡(luò)攻擊所攻克，而當(dāng)您在網(wǎng)絡(luò)中檢測(cè)到它們時(shí)為時(shí)已晚。在這種情況下，最好的辦法是減輕此類攻擊的影響。這意味著減少將造成的損害。

• 禁用中央服務(wù)器

如果確定了中央資源或服務(wù)器，則可以禁用在命令和控制模型中設(shè)計(jì)的僵尸網(wǎng)絡(luò)?？梢园阉胂蟪汕袛嗾麄€(gè)僵尸網(wǎng)絡(luò)的操作大腦。

• 運(yùn)行防病毒軟件或重置設(shè)備

對(duì)于受到攻擊的個(gè)人計(jì)算機(jī)，目標(biāo)應(yīng)該是重新獲得控制權(quán)。這可以通過(guò)運(yùn)行防病毒軟件、重新安裝系統(tǒng)軟件或從頭開始重新格式化系統(tǒng)來(lái)完成。對(duì)于物聯(lián)網(wǎng)設(shè)備，您必須刷新固件，完成出廠重置以減輕僵尸網(wǎng)絡(luò)攻擊。