什么是僵尸网络?

僵尸网络(又称“机器人网络”)是一个由感染了恶意软件的计算机组成的网络,这些计算机由被称为“僵尸操控者”的单一攻击方控制。在僵尸操控者控制下的每台机器都被称为一个僵尸。攻击方可以从一个中心点指挥其僵尸网络中的每台计算机同时开展协调的犯罪行动。僵尸网络的规模(很多由数百万个僵尸组成)使攻击者能够执行大规模行动,而这在以前的恶意软件中是不可能实现的。由于僵尸网络始终处于远程攻击者的控制之下,受感染的机器可以接收更新并即时改变其行为。因此,僵尸操控者往往能够在黑市上出租其僵尸网络的部分访问权限,获得可观的经济收益。

常见的僵尸网络操作包括:

  • 垃圾电子邮件– 尽管电子邮件如今被视为一种较旧的攻击媒介,但垃圾邮件僵尸网络的规模却是最大的。它们主要用于发送垃圾邮件,通常包括恶意软件,每个僵尸网络的发送量都非常大。例如,Cutwail 僵尸网络每天可发送多达 740 亿邮件。它们还用于传播僵尸,招募更多计算机加入僵尸网络。
  • DDoS 攻击– 利用僵尸网络的巨大规模,使目标网络或服务器的请求超载,导致其目标用户无法访问。DDoS 攻击以企业为目标,出于个人或政治动机,或勒索钱财以换取停止攻击。
  • 财务违规– 包括专门为直接窃取企业资金和信用卡信息而设计的僵尸网络。财务僵尸网络(如 ZeuS 僵尸网络)在很短的时间内直接从多家企业窃取了数百万美元的资金。
  • 定向入侵– 规模较小的僵尸网络,旨在入侵企业的特定高价值系统,攻击者可从这些系统渗透并进一步入侵网络。这些入侵对企业来说极其危险,因为攻击者专门针对其最有价值的资产,包括财务数据、研发、知识产权和客户信息。

当僵尸操控者使用文件共享、电子邮件或社交媒体应用程序协议或其他僵尸作为中介,将僵尸从其命令和控制服务器发送给不知情的接收方时,就会产生僵尸网络。一旦接收方在其计算机上打开恶意文件,僵尸就会向命令和控制中心报告,僵尸操控者可以向受感染的计算机发出命令。下图展示了这些关系:

僵尸网络命令和控制基础设施:僵尸网络如何传播

僵尸和僵尸网络的一些独特功能特征使其非常适合长期入侵。僵尸操控者可以更新僵尸,根据自己希望僵尸做什么来改变僵尸的整个功能,并适应目标系统的变化和对策。僵尸还可以利用僵尸网络上的其他受感染计算机作为通信渠道,为僵尸操控者提供近乎无限数量的通信路径,适应不断变化的选项并交付更新。这凸显出感染是最重要的步骤,因为功能和通信方法始终可以在以后根据需要进行更改。

作为最狡猾的现代恶意软件类型之一,僵尸网络是政府、企业和个人面临的一个巨大网络安全问题。早期的恶意软件是一群简单地感染和自我复制的独立代理,而僵尸网络是集中协调的网络化应用程序,利用网络来获得力量和复原能力。由于受感染的计算机受到远程僵尸操控者的控制,因此僵尸网络就好比网络中存在一个恶意黑客,而不仅仅是恶意的可执行程序。