近年来,僵尸网络变得越来越复杂。如今,僵尸网络可以发起大规模的 DDoS 攻击,从受感染的计算机中窃取数据,甚至可以用恶意软件感染新计算机。
如果您运行网站、电子邮件服务器或任何类型的在线服务,那么您应该担心受到僵尸网络的攻击。本指南将教您如何防范这些类型的攻击。
什么是僵尸网络攻击?
僵尸网络攻击是一种由恶意行为者控制的一组联网设备实施的网络攻击。
僵尸网络本身就是设备网络。当网络犯罪分子将恶意软件注入网络以将其作为一个集体进行控制时,他们就会被用来发动网络攻击。僵尸网络攻击可用于发送垃圾邮件、窃取敏感信息、泄露机密信息、实施广告欺诈或发起更危险的分布式拒绝服务或 DDoS 攻击.
机器人攻击与僵尸网络攻击
僵尸网络攻击可以被认为是更普遍的“僵尸攻击”的一种特定类型。机器人攻击是使用自动 Web 请求来篡改网站、应用程序或设备的网络攻击。
Bot 攻击最初由简单的垃圾邮件操作组成,但在本质上已经演变为更加复杂,旨在欺骗或操纵用户。原因之一是用于构建机器人的开源工具的可用性,称为 botkits。
这些 botkit 通常可在网上或暗网上免费获得,可用于执行恶意任务,例如抓取网站、接管帐户、滥用表单提交以及创建僵尸网络攻击(包括 DDoS 攻击)。
僵尸网络攻击如何运作?
僵尸网络攻击始于网络罪犯通过损害设备安全来获取对设备的访问权限。他们可以通过注入特洛伊木马病毒或基本的社会工程策略等黑客手段来做到这一点。然后使用恶意软件控制这些设备,这些软件命令设备进行大规模攻击。
有时,犯罪分子自己可能不会使用僵尸网络发起攻击,而是将网络访问权出售给其他威胁行为者。然后,这些第三方可以将僵尸网络用作“僵尸”网络来满足他们自己的需要,例如指挥垃圾邮件活动。
不同类型的僵尸网络
僵尸网络攻击可以根据他们使用的方法和工具而有所不同。有时,这些僵尸网络不会发起攻击,而是成为黑客发起二次活动(如诈骗和勒索软件攻击)的途径。一些常见的攻击类型包括
- 分布式拒绝服务 (DDoS) 攻击:一种更常见的僵尸网络攻击类型,其工作原理是使用机器人发送的 Web 流量使服务器过载以使其崩溃。服务器运行中的这种停机时间也可用于发起额外的基于僵尸网络的攻击。
- 网络钓鱼攻击:这些攻击通常是为了从组织的员工那里提取关键信息而发起的。例如,可以设计群发电子邮件垃圾邮件活动来模仿组织内的可信来源,以诱骗人们泄露机密信息,如登录详细信息、财务信息和信用卡详细信息。
- 蛮力攻击:这些涉及强行破坏网络帐户的程序。 字典攻击 和 凭据填充 用于利用弱用户密码并访问他们的数据。
哪些系统和设备面临的风险最大?
当僵尸网络攻击等网络犯罪成为新闻时,损害通常指的是被破坏的计算机或服务器的数量。但不仅仅是单个系统会被感染和瘫痪。任何连接到互联网的设备都容易受到僵尸网络攻击。
随着物联网 (IoT) 的发展,加入互联网的设备比以往任何时候都多,增加了攻击媒介的可能性。即使是监视您的门廊或后院的看似无害的无线闭路电视摄像机也可能被破坏,从而为僵尸网络恶意软件打开进入网络的入口点。事实上,此类新的物联网设备的安全设置配置不当只会使问题恶化。
检测僵尸网络攻击
僵尸网络攻击很难检测到,因为用户通常不知道设备何时受到威胁。一些僵尸网络设计有一个中央服务器,以命令和控制模型控制每个僵尸程序。检测这些僵尸网络攻击的一个关键步骤是找到该中央服务器。
静态分析技术有助于发现受感染的机器。这些在设备未执行任何程序时运行,涉及寻找恶意软件签名和其他与命令和控制服务器的可疑连接,这些命令和控制服务器寻找指令和可疑的可执行文件。随着僵尸网络创建者开发出更复杂的技术来避免检测,他们也在不断改进避免静态分析方法。
如果有更多可用资源,也可以使用行为或动态分析。这些涉及扫描本地网络上的端口并查找涉及 Internet 中继聊天 (IRC) 的异常流量和活动。
防病毒软件可以在一定程度上检测僵尸网络攻击,但无法发现受感染的设备。另一种有趣的方法是使用蜜罐。这些是通过虚假渗透机会诱使僵尸网络攻击的虚假系统。
对于较大的僵尸网络,如 Mirai 僵尸网络,ISP 有时会合作检测流量并找出阻止僵尸网络攻击的方法。他们可以与安全公司合作,以识别网络中其他受感染的设备。
可以防止僵尸网络攻击吗?
多年来,防止僵尸网络攻击变得更加困难。防止这些攻击的主要挑战之一是设备的激增。随着不同类型的设备变得很容易获得,而且通常都有自己的安全设置,因此很难在这些攻击发生之前对其进行监控、跟踪和阻止。然而,您仍然可以采取某些措施来防止僵尸网络攻击。
- 保持所有系统更新
僵尸网络渗透和破坏企业安全系统的主要途径之一是利用网络机器中未修补的漏洞。这使得保持系统更新并确保在新更新可用时尽快安装变得至关重要。
这还包括硬件设备,尤其是遗留设备,当它们不再被积极使用时,它们在企业中通常会被忽略。
- 采用基本的网络安全最佳实践
在所有设备上遵循基本的安全卫生也很重要,以防止僵尸网络攻击。这涉及使用复杂的密码,并就网络钓鱼电子邮件和点击可疑附件和链接的危险对员工进行教育。企业还应该采取适当的措施,确保任何进入其网络的新设备都有完善的安全设置。
- 控制对机器的访问
采取措施锁定对机器的访问是防止僵尸网络攻击的另一种方法。除了强密码外,您还应该部署多因素身份验证和控制,以仅向最需要的人提供访问权限。如果对关键系统的访问受到控制并相互隔离,那么将僵尸网络攻击隔离到一组特定设备并在那里根除它们会变得稍微容易一些。
- 使用分析解决方案监控网络流量
防止僵尸网络攻击需要好的技术来提前检测到它们。使用高级分析来监控和管理流量、用户访问和数据泄漏是您可以采取的另一种措施。 Mirai 僵尸网络就是这样一个例子,攻击者利用不安全的连接设备将它们变成僵尸计算机。
如何缓解僵尸网络攻击
有时,即使是最好的预防措施也可能被僵尸网络攻击攻破。当您在网络中检测到它们时为时已晚,结果您的网络功能受到损害。在这种情况下,最好的办法是减轻此类攻击的影响。这意味着减少将要造成的损害。
- 禁用中央服务器
如果确定了中央资源或服务器,则可以禁用在命令和控制模型中设计的僵尸网络。可以将其视为切断整个僵尸网络的行动的大脑。
- 运行防病毒软件或重置设备
对于受到威胁的个人计算机,目标应该是重新获得控制权。这可以通过运行防病毒软件、重新安装系统软件或从头开始重新格式化系统来完成。对于物联网设备,您必须刷新固件,完成恢复出厂设置以减轻僵尸网络攻击。
僵尸网络攻击常见问题解答
为什么黑客使用僵尸网络?
黑客使用僵尸网络一次攻击大量计算机。僵尸网络是由单个攻击者远程控制的受感染计算机组成的网络。这些机器感染了恶意软件,例如病毒、蠕虫、特洛伊木马、间谍软件、广告软件和 Rootkit。
一旦恶意软件感染计算机,它就会发送垃圾邮件、窃取数据或执行其他恶意活动。机器人是自动化程序,旨在自动执行重复性任务而无需人工干预。
大多数机器人都是为了发送垃圾邮件而创建的,但还有许多其他机器人用于窃取个人信息、发起拒绝服务攻击或分发恶意软件。一些僵尸网络是围绕已经感染了恶意软件的僵尸 PC 构建的。
DoS 攻击和僵尸网络攻击有什么区别?
拒绝服务 (DoS) 攻击是一种恶意活动,它通过向网站发送过多请求来破坏或阻止对网站的访问。僵尸网络是由黑客控制的计算机网络,用于执行这些攻击。一个僵尸网络可能由分布在世界各地的数千台计算机组成,但黑客操作背后的目标是控制这些计算机并利用它们对另一个计算机系统发起 DoS 攻击。
为防止 DoS 攻击,您应该始终确保您的 Web 服务器软件定期更新,并且您有足够的可用带宽来处理任何突然的需求高峰。
什么是机器人牧民?
僵尸牧民是威胁行为者/黑客,他们搜索并接管易受攻击的计算机以用作僵尸网络。他们将恶意软件安装到这些机器上,目的是获得对设备的控制权,然后将它们用作攻击僵尸网络。这个网络是他们的“群体”。一些僵尸网络牧民甚至将他们的牧群出租给其他网络犯罪分子。
