一、什么是僵尸网络？

僵尸网络（Botnet）是一组遭到恶意软件感染并被恶意用户控制的计算机集合。这个术语由"机器人（Bot）"和"网络（Net）“两个词组合而成，每一台受感染的设备被称为"机器人”。僵尸网络被滥用来执行非法或恶意的任务，包括发送垃圾邮件、窃取数据、传播勒索软件、进行欺诈性广告点击，以及实施分布式拒绝服务（DDoS）攻击。

尽管某些恶意软件，如勒索软件，会直接影响设备的所有者，但DDoS僵尸网络的恶意软件在设备上的可见性各不相同。有些恶意软件用于完全控制设备，而其他恶意软件则以后台进程的方式悄悄运行，等待攻击者或"僵尸掌控者"的指令。

自我传播的僵尸网络通过多种途径来招募更多的机器人。感染路径包括利用网站漏洞、特洛伊木马恶意软件以及破解弱密码来获取远程访问权限。一旦获得访问权限，所有这些感染方式都会在目标设备上安装恶意软件，以便僵尸网络的操作者进行远程控制。一旦设备感染，可能会试图通过向周围的网络招募其他硬件设备，以传播僵尸网络的恶意软件。

虽然无法确定特定僵尸网络中机器人的确切数量，但根据估计，复杂的僵尸网络可以包含从几千台到数百万台不等的机器人。

二、僵尸网络因为什么原因而诞生？

使用僵尸网络的原因多种多样，包括激进主义和国家支持的破坏活动，以及为了经济利益而进行的攻击。在线招募僵尸网络服务的成本相对较低，尤其是考虑到可能造成的损失时，价格优势显著。此外，创建僵尸网络的门槛也很低，因此成为某些软件开发人员的盈利方式，尤其在监管和执法力度有限的地区得到广泛应用。总之，提供出租招募服务的在线平台已经迅速在全球流行开来。

三、僵尸网络主要用途

僵尸网络作为非法活动的代理服务器，不会暴露犯罪者的身份。通过使用数千个设备进行非法活动，犯罪的起源得以隐匿，同时为网络犯罪分子提供了几乎无限的计算能力。这些能力可以用于：

1. 提交广告欺诈。可以利用数千台电脑重复点击广告，为利用广告点击赚钱的欺诈者提供充足的利润。
2. 下载并分发非法材料，如儿童色情内容，或一般垃圾邮件人在线。公司将付出巨额的资金，尽可能广泛地传播广告。租用僵尸网络或雇用一个可以访问的业务是实现此目的的最简单的方法。
3. 挖掘比特币可以通过将工作量分散在数千机器人上来使其变得更富有。
4. 窃取您的私人数据，包括通过使用键盘记录器来窃取密码和信用卡信息。
5. 提交僵尸网络 DDoS 攻击和重载，弄崩溃一个在线服务，如Twitter或Spotify。
6. 发送垃圾邮件，以骗取新的受害者的信用卡信息和私人信息。
7. 通过电子邮件附件将勒索软件ransomware传播给新的受害者。
8. 每个计算机都可以算作一个独一无二的投票，以僵尸网络进行投票欺诈可以极大地影响结果。
9. 强力攻击企业服务器，找出一个密码，并访问一个主要的业务网络。

宙斯僵尸网络，由 360 万机器人组成，可能与您的设备接触。Zbot 和其他恶意软件源自 Facebook 等受欢迎的感染渠道。互联网设备易受攻击，先前的攻击已瘫痪了多个服务。黑客可以在 15 分钟内创建僵尸网络，影响甚至包括您的冰箱和家用电脑。每个人都可能受到影响，因此即使不知情的情况下，你的计算机参与非法活动也需要负责任。

四、僵尸网络如何工作？

像任何恶意软件感染一样，bot 感染有特定的阶段，进入系统，与 botmaster 进行通信并执行任务。对他们的最好解释如下：

4.1 感染

botmaster 发送恶意软件来感染计算机。这些可以通过驱动下载，可疑电子邮件附件或社交媒体帖子中的链接进入您的计算机。bot 恶意软件将利用您软件中的漏洞，通过你过时的插件或过时的操作系统寻找后门访问。然后，它就在你的系统中生根了。

4.2 连接

在你的系统中，恶意软件将使用互联网与命令和控制服务器（C2）进行连接。你的计算机将在此阶段保持闲置，bot 休眠，除了定期检查 botmaster 的指示外。由于系统的影响如此之小，你却完全不了解这一切。

4.3 控制

僵尸网络作为一个整体可能会在等待执行任务时休息一段时间。一旦 botmaster 有一个僵尸网络的目标，他/她就会通过命令和控制服务器向bots 发送指令。在这个阶段，僵尸网络引导程序唤醒并开始执行恶意活动，例如发送垃圾邮件或参与 DDoS 攻击。

4.4 滚雪球复制

同时，botmaster 将专注于招募越来越多的电脑来扩展僵尸网络。由于这些电脑似乎没有做任何事情，僵尸网络可能会包含成千上万的僵尸电脑，而不会引起任何怀疑。

五、如何控制僵尸网络？

僵尸网络的核心特征是能够接收僵尸牧人（bot herder）发出的更新指令。由于能够与网络中每个机器人进行通讯，攻击者可改变攻击手段、更改目标IP 地址、终止攻击或进行其他自定义行动。

僵尸网络设计各不相同，但控制结构可分为两大类：

5.1 客户端/服务器僵尸网络模型

客户端/服务器模型模拟传统远程工作站的工作流程，其中每台机器都连接到集中式服务器（或少数集中式服务器），以便访问信息。在这种模型中，每个机器人将连接到命令和控制中心（CnC）资源（例如 Web 域或 IRC 通道），以便接收指令。通过使用这些集中式存储库向僵尸网络传达新命令，攻击者只需修改每个僵尸网络从命令中心获取的原始资源，即可向受感染机器传达最新指令。控制僵尸网络的集中式服务器可以是攻击者自有及操控的设备，也可以是一台受感染的设备。

目前已发现大量流传甚广的集中式僵尸网络拓扑，包括：

5.1.1 星形网络拓扑

5.1.2 多服务器网络拓扑

5.1.3 分层网络拓扑

在以上各类客户端/服务器模型中，每个机器人均连接命令中心资源（如 Web 域或 IRC 通道）以接收指令。鉴于使用这些集中式存储库向僵尸网络传达新命令，攻击者只需从一个命令中心修改各个僵尸网络占用的原始资源，即可向受感染机器传达最新指令。

同时，利用有限数量的集中来源即可向僵尸网络发送最新指令，这种简便性成为此类机器的又一漏洞；若要移除使用集中式服务器的僵尸网络，只需中断这台服务器便可。在这一漏洞的驱使下，僵尸网络恶意软件创建者不断发展，探索出一种不易受到单一或少量故障点干扰的新模型。

5.2 点对点僵尸网络模型

为规避客户端/服务器模型漏洞，最近恶意用户一直使用分散式对等文件共享组件设计僵尸网络。在僵尸网络中嵌入控制结构，消除采用集中式服务器的僵尸网络的单点故障，缓解攻击的难度随之提高。P2P 机器人可以同时是客户端和命令中心，协同相邻节点传播数据。

点对点僵尸网络会维护受信任的计算机列表，僵尸网络可根据列表往来通信并更新其恶意软件。限制机器人连接的其他机器数量，使每个机器人仅对相邻设备公开，这使得跟踪和缓解难度相应增高。由于缺乏集中式命令服务器，点对点僵尸网络更容易受到僵尸网络创建者以外的其他用户的控制。为防止失控，分散式僵尸网络通常经过加密以限制访问。

六、IoT 设备如何变身为僵尸网络？

虽然无人会使用后院观鸟器的无线 CCTV 摄像头进行在线银行业务，但这并不意味着这些设备不能发出必要的网络请求。物联网（IoT）设备的强大功能，结合薄弱的安全性和不当的配置，为僵尸网络恶意软件吸纳新的机器人提供了机会。随着物联网设备的不断增加，DDoS攻击也在升级，因为很多设备容易受到攻击，配置不当。

如果物联网设备的漏洞嵌入在固件中，更新变得更加困难。为减少风险，应定期更新使用过时固件的 IoT 设备，因为默认凭证通常不会改变。由于许多廉价硬件制造商不注重设备安全性，因此僵尸网络恶意软件利用物联网设备的漏洞仍然存在，这一安全风险尚未消除。

七、如何禁用现有的僵尸网络？

7.1 禁用僵尸网络的控制中心

如果可以识别控制中心，禁用按照命令和控制模式设计的僵尸网络也会变得更加轻松。切断故障点的头节点可以使整个僵尸网络进入离线状态。因此，系统管理员和执法人员可集中精力关闭这些僵尸网络的控制中心。如果命令中心所在的国家/地区执法力度较弱或不愿做出干预，实施难度将进一步加大。

7.2 避免个人设备感染

对于个人计算机，若要重新获得对计算机的控制权，可以采用以下策略：运行防病毒软件、使用安全备份重新安装软件，或者在重新格式化系统后使用初始状态的计算机重新启动。对于 IoT 设备，则可采用以下策略：刷新固件、恢复出厂设置或以其他方式格式化设备。如果这些方案不可行，设备制造商或系统管理员有可能提供其他策略。

八、如何保护设备，防止其加入僵尸网络？

8.1 创建安全密码

对于很多易受攻击的设备，减少遭受僵尸网络攻击的危险，可能只需要更改管理凭据，以避免使用默认用户名和密码。创建安全密码可增加暴力破解的难度，创建了高度安全的密码，则暴力破解几乎不再可能。例如，感染 Mirai 恶意软件的设备将扫描 IP 地址，查找响应设备。一旦设备对 Ping 请求做出响应，机器人将尝试使用一个预设默认凭证列表登录找到的设备。如果更改了默认密码并且采用了安全密码，机器人将放弃并继续寻找更容易攻击的设备。

8.2 仅允许通过可信方式执行第三方代码

如果采用手机的软件执行模式，则仅允许的应用可以运行，赋予更多控制来终止被认定为恶意的软件（包括僵尸网络）。只有管理软件（如内核）被利用才会导致设备被利用。这取决于首先具有安全内核，而大多数 IoT 设备并没有安全内核，此方法更适用于运行第三方软件的机器。

8.3 定期擦除/还原系统

在过了设定的时间后还原为已知良好状态，从而删除系统收集的各种垃圾，包括僵尸网络软件。如果用作预防措施，此策略可确保即使恶意软件静默运行也会遭到丢弃。

8.4 实施良好的入口和出口过滤实践

其他更高级的策略包括在网络路由器和防火墙执行过滤。安全网络设计的一个原则是分层：在公共可访问资源周围的限制最小，同时对您认为敏感的内容加强安全保护。此外，对跨越边界的任何内容进行仔细检查：包括网络流量、U 盘等。采用高质量过滤的做法后，更有可能在 DDoS 恶意软件及其传播方法和通讯进入或离开网络前将其拦截。

文末送书《云计算安全——机器学习与大数据挖掘应用实践》

今天博主推荐的是：国内首本“数据要素安全流通”主题的著作 --《数据要素安全流通》

• 参与方式：关注博主，评论区留言即可参与

• 送出数量：暂定送出 1~2 本给粉丝

• 京东官方购买链接：https://item.jd.com/13075223.html

本书简要介绍了人工智能、云计算、大数据挖掘等基础知识，重点阐述了人工智能和大数据挖掘技术应用在云计算安全领域，用于解决云计算场景所面临的系列信息安全难题，如传统的网络信息安全防护措施无法直接部署到云计算场景、云内病毒感染成指数级扩散、针对云基础设施的高级威胁攻击难以被及时发现等。另外，详细阐述了人工智能的机器学习算法在解决云网络微隔离、云主机防恶意代码、云东西向流量全息解析和云安全运维自动化等方面的应 用，并用实际实现原型来深入探讨实践过程中所遇到的难题及解决思路。

内容简介

本书既有理论研究，又有实践探讨，共分为6章，讲解了云计算安全中人工智能与大数据挖掘技术的应用实践。

• 第1章从概念、发展、标准等角度宏观地介绍了云计算安全；
• 第2章从云计算安全需求的角度阐释云计算安全的核心目标、公有云场景下的安全需求和私有云场景下的安全需求；
• 第3章全面、系统地介绍了公有云安全技术体系和私有云安全技术体系；
• 第4章详细介绍了人工智能技术在云计算安全领域的应用实践；
• 第5章详细介绍了大数据挖掘技术在云计算安全领域的应用实践；
• 第6章介绍了人工智能和大数据挖掘技术的综合应用，提出云数据中心安全防护框架，并详细介绍了云数据中心安全态势感知系统。

本书是人工智能与大数据挖掘技术在云计算安全领域的应用实践参考书，适用于人工智能、大数据挖掘、云计算、网络信息安全相关领域的从业人员。

关于作者

王智民，男，清华大学物理学硕士，经管学院MBA。曾任职华为、华三、联想等企业，现就职于北京六方云科技有限公司，联合创始人，CTO。2003年进入网络安全领域从事产品研发与技术管理至今，在工控安全、云安全、人工智能安全等领域有多年的深入研究和产品研发经验，申请30多个相关发明专利，参与多个国家标准撰写。

[ 本文作者 ]   bluetata
[ 原文链接 ]   https://bluetata.blog.csdn.net/article/details/133608132
[ 最后更新 ]   10/10/2023 1:47
[ 版权声明 ]   如果您在非 CSDN 网站内看到这一行，
说明网络爬虫可能在本人还没有完整发布的时候就抓走了我的文章，
可能导致内容不完整，请去上述的原文链接查看原文。