什么是僵尸网络,您的计算机是其中的一部分?

我最喜欢的网络安全术语之一是“僵尸网络"。它可以让人联想到各种各样的图像:相互连接的机器人,成群的网络工作者同时朝着一个目标前进。有趣的是,这个词所唤起的印象至少类似于回旋僵尸网络。

僵尸网络在世界范围内占据了相当大的计算能力。而这种能力通常(甚至可能一直)是恶意软件,勒索软件,垃圾邮件等的来源。但是僵尸网络如何形成?谁控制它们?以及我们如何阻止它们?

什么是僵尸网络?

SearchSecurity僵尸网络定义指出,“僵尸网络是互联网连接设备的集合,其中可能包括PC,服务器,移动设备和物联网设备,这些设备受常见类型的恶意软件感染和控制。用户通常不知道僵尸网络会感染他们的系统。"

定义的最后一句话是关键。僵尸网络中的设备通常不愿意在那里。感染了某些恶意软件变种的设备由远程威胁参与者(也称为网络犯罪分子)控制。该恶意软件将恶意僵尸网络活动隐藏在设备上,从而使所有者不知道其在网络中的角色。您可能会发送垃圾邮件,以提供数以千计的扩大平板电脑附件的附件,而不会引起任何注意。

因此,我们经常将受感染的僵尸网络设备称为“僵尸"。

僵尸网络可以吗?

僵尸网络具有多种常用功能,具体取决于僵尸网络操作员的需求:

  • 垃圾邮件:在全球范围内发送大量垃圾邮件。例如,1月至9月,垃圾邮件在全球电子邮件流量中的平均份额为56.69%。在臭名昭著的McColo主机离线之后,安全研究公司FireEye暂时停止了臭名昭著的Srizbi僵尸网络的过渡,全球垃圾邮件数量大幅下降(事实上,当最终离线时,全球垃圾邮件暂时下降了约50%)。
  • 恶意软件::将恶意软件和间谍软件传递给易受攻击的计算机。 Botnet资源由恶意分子买卖,以进一步发展其犯罪分子。
  • 数据:捕获密码和其他私人信息。
  • 点击欺诈:受感染的设备访问网站以产生虚假的网络访问量和广告印象。
  • 比特币:僵尸网络控制器将受感染的设备定向到挖矿比特币和其他加密货币中,以悄悄地赚钱。
  • DDoS:僵尸网络运营商将受感染设备的功能定向到特定目标,使它们脱机在分布式拒绝服务攻击中。
  • 僵尸网络运营商通常将其网络转变为多种功能以产生利润。例如,向美国公民发送医疗垃圾邮件的僵尸网络运营商还拥有运送货物的仿冒药房。 (哦,是的,电子邮件末尾有实际的产品。Brian Krebs的Spam Nation是对此的一个很好的观察。)

    在过去的几年中,主要的僵尸网络的方向已略有改变。长期以来,医疗垃圾邮件和其他类似垃圾邮件的获利极为丰厚,而一些国家的政府镇压行动却削弱了利润。因此,根据赛门铁克2017年7月的情报报告,携带恶意附件的电子邮件数量增加到每359封电子邮件中的一封。

    僵尸网络是什么样的?

    我们知道僵尸网络是受感染计算机的网络。但是,核心组件和实际的僵尸网络架构值得考虑。

    僵尸网络主要有两种架构:

  • 客户端-服务器模型:服务器僵尸网络通常使用聊天客户端(以前称为IRC,但现代僵尸网络已使用Telegram和其他加密的消息服务),域或网站与网络进行通信。操作员将消息发送到服务器,然后将其中继到执行命令的客户端。尽管僵尸网络的基础结构从基本到非常复杂都不同,但集中精力可以禁用客户端服务器僵尸网络。
  • 对等:对等(P2P )僵尸网络试图阻止安全程序,并且研究人员通过创建分散的网络来识别特定的C2服务器。在某些方面,P2P网络比客户端-服务器模型更高级。此外,它们的体系结构与大多数设想不同。运营商更喜欢使用连接到节点的僵尸设备,而不是通过IP地址进行通信的互连感染设备的单个网络,僵尸设备依次连接到彼此和主通信服务器。想法是,存在太多相互连接但独立的节点,无法同时拆除。
  • 命令和控制(有时写为C&C或C2)协议有多种形式:

  • Telnet: Telnet僵尸网络相对简单,使用脚本扫描IP范围以查找默认telnet和SSH服务器登录,以添加易受攻击的设备来添加僵尸。
  • IRC: IRC网络为C2协议提供了一种非常低带宽的通信方法。快速切换频道的能力为僵尸网络操作员提供了额外的安全保护,但是这也意味着,如果感染的客户端不接收更新的频道信息,则很容易与僵尸网络隔离。 IRC流量相对易于检查和隔离,这意味着许多运营商已放弃使用此方法。
  • 域:一些大型僵尸网络使用域而不是消息传递客户端来进行控制。被感染的设备访问服务于一系列控制命令的特定域,从而轻松地即时进行更改和更新。不利的一面是大型僵尸网络的巨大带宽需求,以及相对容易关闭可疑控制域的情况。一些运营商使用所谓的“防弹托管"在严格的互联网刑法国家/地区之外进行运营。
  • P2P: P2P协议通常使用非对称加密来实现数字签名(一个公共和一个私钥)。这意味着在操作员持有私钥的同时,其他任何人都很难(几乎不可能)向僵尸网络发出不同的命令。同样,由于缺少单个定义的C2服务器,因此攻击和销毁P2P僵尸网络比对等僵尸网络更加困难。
  • 其他:多年来,我们已经看到僵尸网络运营商使用一些有趣的命令和控制通道。立刻想到的是社交媒体渠道,例如通过Twitter控制的Android Twitoor僵尸网络,或利用Minecraft服务器列表subreddit检索其网络IP地址的Mac.Backdoor.iWorm。 Instagram也不安全。 2017年,与俄罗斯情报有密切联系的网络间谍组织Turla使用对Britney Spears Instagram照片的评论来存储恶意软件分发C2服务器的位置。
  • 僵尸网络难题的最后一部分是被感染的设备(即僵尸)。

    僵尸网络运营商有意扫描并感染易受攻击的设备,以扩大其运行能力。我们在上面列出了僵尸网络的主要用途。所有这些功能都需要计算能力。此外,僵尸网络运营商并不总是彼此友好,而是将彼此感染的计算机的功能相互转换。

    大多数时间,僵尸设备所有者都不知道他们在僵尸网络中的角色。但是,有时僵尸网络恶意软件会充当其他恶意软件变体的传播渠道。

    此ESET视频对僵尸网络的扩展方式给出了很好的解释:

    网络设备通过网络惊人的速度。而且,僵尸网络不仅仅是在寻找PC或Mac。您将在下一节中详细了解,物联网设备同样容易(甚至更多)容易受到僵尸网络恶意软件变种的攻击。

    -Tanya Janca(@shehackspurple),2017年12月28日

    智能手机和平板电脑也不安全。在过去的几年中,Android已经看到了多个僵尸网络。 Android是一个简单的目标:它是开放源代码,具有多个操作系统版本,并且随时都有许多漏洞。 iOS用户,不要快快高兴起来。有几种针对Apple移动设备的恶意软件变体,尽管通常仅限于具有安全漏洞的越狱iPhone。

    另一个僵尸网络设备的核心目标是安装后容易受到攻击的路由器。像IoT设备一样,这允许恶意软件以惊人的速度传播,在感染数千种设备时几乎没有阻力。

    关闭僵尸网络

    关闭僵尸网络是'出于多种原因,这是一项轻松的任务。有时,僵尸网络架构允许操作员快速重建。在其他时候,僵尸网络太大了,无法一fell而就。大部分僵尸网络的删除都需要安全研究人员,政府机构和其他黑客之间的协调,有时依赖于技巧或意外的后门。

    安全研究人员面临的主要问题是山寨操作员相对容易地开始使用相同的恶意软件。

    我将使用GameOver Zeus(GOZ)僵尸网络作为删除示例。 GOZ是最近最大的僵尸网络之一,被认为在高峰期感染了超过一百万台设备。僵尸网络的主要用途是金钱盗窃(分发CryptoLocker勒索软件)和垃圾邮件,并且使用先进的对等域生成算法似乎是不可阻挡的。

    域生成算法使僵尸网络能够预先生成一长串域名,以用作僵尸网络恶意软件的“集合点"。由于只有运营商才知道域列表,因此多个集合点几乎阻止了传播。

    2014年,一群安全研究人员与FBI和其他国际机构合作,最终被迫GameOver Zeus离线,在Tovar操作中。这并不容易。在注意到域名注册顺序之后,团队在开始运营之前的六个月内注册了大约150,000个域名。

    接下来,几个ISP赋予了GOZ代理节点的操作控制权,僵尸网络操作员使用它们来在命令和控制服务器与实际僵尸网络之间进行通信。 。 FBI首席调查员Elvart Peterson对Tovar行动表示:“我们能够说服我们能够与之对话的机器人,但所有由坏人控制的同伴,代理和超级节点都不好谈,应该

    僵尸网络所有者Evgeniy Bogachev(在线别名Slavik)意识到,撤机一小时后就到位,并试图反击另外四,五个小时,然后“让步"失败。

    p>

    之后,研究人员得以破解臭名昭著的CryptoLocker勒索软件加密,为受害者创建了免费的解密工具。

    与GameOver Zeus对抗的措施十分广泛,但却是必要的。它表明,精心制作的僵尸网络的强大功能要求采取全球缓解措施,要求“使用传统执法工具进行创新的法律和技术策略",以及“与私营行业专家和执法部门的牢固合作关系超过10个

    但并非所有僵尸网络都是相同的。随着一个僵尸网络的终结,另一位运营商正在从破坏中吸取教训。

    2016年,最大和最糟糕的僵尸网络是Mirai。在部分拆除之前,基于物联网的Mirai僵尸网络以惊人的DDoS攻击击中了多个重要目标。一种这样的攻击以620Gbps的速度袭击了安全研究人员Brian Krebs的博客,最终迫使Krebs的DDoS保护使其失去了作为客户端的权限。随后几天又发生了另一次攻击,攻击法国云托管提供商OVH达到1.2Tbps,是有史以来最大的攻击。下图显示了Mirai受到了多少个国家的攻击。<​​

    Though Mirai wasn’t even close to being the largest botnet ever seen, it produced the largest attacks. Mirai made devastating use of the swathes of ridiculously insecure IoT devices , using a list of 62 insecure default passwords to amass devices (admin/admin was top of the list, go figure).

    安全研究员Marcus Hutchins(又名MalwareTech)解释说,Mirai如此强大的功能的部分原因在于,大多数IoT设备都坐在那儿,直到被要求之前什么都不做。这意味着他们几乎总是在线,并且几乎总是有网络资源可以共享。传统的僵尸网络运营商会相应地分析其峰值功率周期和时间攻击。物联网僵尸网络不是很多。

    So, as more poorly configured IoT devices come online, the chance for exploitation grows.

    保持安全

    我们已经了解了僵尸网络的功能,其增长方式等。但是,如何阻止您的设备成为一体机的一部分呢?好吧,第一个答案很简单:更新系统。定期更新会修补操作系统中易受攻击的漏洞,从而减少利用途径。

    第二步是下载并更新防病毒程序和反恶意软件程序。有许多免费的防病毒套件,可提供出色的低影响防护。投资一个反恶意软件程序,例如Malwarebytes。 Malwarebytes Premium订阅将使您全年的费用为$ 24.95,为您提供实时恶意软件保护。我认为这是值得的投资。

    最后,获取一些额外的浏览器安全性。随行攻击工具包很麻烦,但是当您使用uBlock Origin等脚本阻止扩展程序时,很容易避免。

    您的计算机是否是僵尸网络的一部分?你是怎么知道的?您是否发现您的设备正在使用哪种感染?请在下面让我们知道您的经历!

    标签: 僵尸网络 计算机安全性