僵尸网络攻击:为什么企业应该担心

德迅云安全李恒
143 阅读19分钟

  僵尸网络日益强大和主动,并且武装得比以往更强悍。据全球报告,在2024年第一季度,僵尸网络发动的攻击达到了3亿次,比2023年同期增长了300%,比2023年最后一季度增加了35%。

  很多僵尸网络都被用于发动更强大和更频繁的分布式拒绝服务攻击(DDoS)。全球的报告指出,有73%的用户称在2023年遭受了DDoS攻击,而其中的82%反复遭到攻击。僵尸网络还被用于对失窃的登录凭据进行大规模的复杂恶意测试,并查找可轻松利用的系统漏洞。

  由于物联网设备加入到被僵尸网络控制的设备中,问题变得更为复杂。最近,某知名安全博主的网站遭受了历史上最强大的一次DDoS攻击,经证实,由路由器、安全摄像机(监控摄像机)、打印机、数字视频记录机(DVR)构成的大规模僵尸网络是发动此攻击的罪魁祸首。

  随着僵尸网络攻击渐趋加强,企业如何更好地保护自己的网络?

9ce06a2281f31a18ed70bc9522cc8e3b_ws3maoh3q2uwq_d3375ecc369945cb99e13c4c1575dc5e.png

什么是僵尸网络攻击?

一、僵尸网络攻击的概念

  僵尸网络攻击是由远程控制的受恶意软件感染的设备进行的大规模网络攻击。将受感染的设备变成僵尸网络控制器的“僵尸机器人”。与在单个机器或系统中自我复制的其他恶意软件不同,僵尸网络构成了更大的威胁,因为其让威胁参与者同时执行大量操作。僵尸网络攻击类似于让威胁行为者在网络中工作,而不是自我复制的恶意软件。

  它们正变得比其他恶意软件攻击类型更加复杂,因为可以按比例放大或动态更改以造成更大的破坏。通过僵尸网络传播的恶意软件通常包括网络通信功能,允许攻击者使用僵尸网络通过庞大的受感染机器网络路由与其他威胁参与者的通信。

  攻击者使用僵尸网络来破坏系统、分发恶意软件并招募(感染)新设备。僵尸网络攻击可能主要是为了破坏或开辟道路以发起二次攻击。

二、主要特点

根据对僵尸网络的定义,它主要有以下几种主要特点:受感染计算机组成的网络

僵尸网络不仅是对许多计算机的大规模感染,更是一个由受感染计算机组织成的网络,并且相互之间或者和一个中间实体之间能够进行通信,并根据指令以协作的方式采取行动。

僵尸网络必须能够接收并执行攻击者或者僵尸主控机发送的命令,并且根据这些指令以协作的方式采取行动。这就是僵尸网络和其他恶意软件,例如远程控制木马的不同之处。

威胁存在的主要原因是它实施恶意活动,其主要目的是执行攻击者的指令。

60b8905fea1015ed9c951dd1a715611c_6e38f8f4146f4179af4b4fc3543f7720.jpeg

三、僵尸网络的组成

僵尸网络一般由黑客、控制协议、跳板主机、僵尸主机组成,僵尸网络的控制者通过特定的控制协议与僵尸主机上的客户端通信,从而远程控制僵尸网络上的僵尸主机。

图片
僵尸网络的组成

  • 黑客:

    黑客即僵尸网络的控制者,能够控制僵尸网络上的僵尸主机。

  • 跳板主机:

    用来控制僵尸主机的计算机,黑客通过跳板主机下发控制指令,实现僵尸网络中大片僵尸主机的控制。

  • 控制协议

    控制协议是僵尸网络的控制者用来控制僵尸主机的媒介。其中IRC是黑客常用的通信协议,黑客为僵尸主机创建IRC信道,通过IRC信道将命令发送到所有僵尸主机上,从而达到控制僵尸主机的目的。

  • 僵尸主机:

    已经被黑客控制的主机被称为僵尸主机(Bot),可以用来在远程操纵下执行恶意任务。

僵尸网络( Botnet) 是指黑客采用一种或多种传播手段,将大量主机感染僵尸程序**病毒,被感染的主机通过控制协议接收黑客的指令,从而在黑客和被感染主机之间所形成的可一对多控制的网络 。僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。

僵尸网络的构建过程

构建僵尸网络的基本阶段可以简化为以下三个步骤:

  1. 暴露:黑客利用系统漏洞将用户暴露在恶意软件中。
  2. 感染:用户设备在不经意间感染了可以控制其设备的恶意软件。
  3. 激活:黑客动员受感染的设备实施攻击,攻击者将所有受感染的计算机组织到一个僵尸网络中,并通过控制协议进行远程管理。

僵尸网络常见的传播路径

僵尸网络有以下常见的几种传播手段:

  1. 操作系统漏洞。其原理是黑客通过攻击主机操作系统所存在的系统漏洞获得操作系统的访问权,并在Shellcode 执行僵尸程序时,将被攻击的计算机感染成为僵尸主机。黑客还会将僵尸程序和蠕虫进行结合,从而使僵尸程序能够进行自动传播,典型的僵尸程序AgoBot,就是实现了僵尸程序自动传播。

  2. 邮件传播。黑客常常会在邮件附件中携带僵尸程序或者在邮件内容中包含下载僵尸程序的链接,并通过发送大量邮件传播僵尸程序,利用一系列社会工程学的技巧诱导邮件接收者执行附件或点击链接,有时还会利用邮件客户端的漏洞自动执行僵尸程序,使得邮件接收者的主机被感染成为僵尸主机。

  3. 即时通讯软件。黑客利用即时通讯软件向好友列表中的好友发送执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击,从而感染主机,如2005年年初爆发的MSN性感鸡(Worm.MSNLoveme)采用的就是这种方式。

  4. 恶意网站脚本。黑客在提供Web服务的网站HTML页面上绑定恶意脚本,当访问者访问这些网站时就会执行恶意脚本,将僵尸程序下载到主机上并被自动执行,使得访问者的主机变成僵尸主机。

1f8e0b4c49e8438d67be61ba48fc5e06_u=3518073105,3652612428&fm=173&app=25&f=JPEG_w=640&h=320&s=BAA1552038F05E90742908C60100C0A1&access=215967316.jpg

僵尸网络攻击对企业的危害有多大

  僵尸网络攻击是由远程控制的受恶意软件感染的设备,进行的大规模网络攻击。它能够将受感染设备变成僵尸网络控制的主机。与在单个机器或系统中自我复制的恶意软件不同,僵尸网络产生的威胁更大,因为它们受背后的攻击者控制在同一时间大批量进行恶意行为,好比乌央乌央的僵尸牧群。

  2010 年,Kneber僵尸网络控制了全球2500家知名企业和政府机构的75000台电脑,此次攻击共窃取了超过68000个登录凭据和1972个数字证书。而根据今年全球数据显示,在一次DDoS攻击中,攻击者在125个国家和地区发动了20000台“肉鸡”。感染量巨大,让僵尸网络攻击成为了一种极其可怕的威胁。

  此外,由于僵尸网络攻击能够成倍放大或迅速调整,造成极大的破坏,所以此类攻击相比其他恶意攻击更为复杂。通过僵尸网络传播的恶意软件通常包含网络通信功能,能够允许攻击者通过庞大的受感染机器网络,路由与其他威胁参与者的通信。利用僵尸网络,攻击者足以破坏系统,分发恶意软件,“拉更多的设备下水”,并且通常用于大型破坏或开辟新的入口,进而发起第二次攻击。

  僵尸网络构成了一个攻击平台,僵尸主机的数量可以达到数百、数万甚至数百万台,利用僵尸网络可以发起各种各样的攻击行为,导致整个基础信息网络或者重要应用系统瘫痪,也可以造成大量机密或个人隐私泄漏,下面是常见的利用僵尸网络发动的攻击行为:

  • 发动DDoS攻击

    僵尸网络发动DDos攻击是当前僵尸网络最主要的威胁之一,黑客可以向自己控制的所有僵尸主机发送指令,让它们在特定的时间同时开始连续访问特定的网络目标,从而达到DDos攻击的目的。由于僵尸主机的数量较多,而且可以同步进行DDos攻击,使得DDoS攻击危害更大,更加难以防范。

    图片
    DDoS攻击示意图

  • 发送垃圾邮件

    黑客利用僵尸网络发送大量的垃圾邮件,由于垃圾邮件的发送方是僵尸主机,因此黑客自身可以很好地隐藏自身的IP信息。

  • 个人信息泄露

    僵尸网络的控制者可以从僵尸主机中窃取其用户的各种敏感信息,例如个人账号密码、机密数据等。

  • 滥用资源

    黑客利用僵尸网络从事各种需要耗费网络资源的活动,从而使用户的网络性能受到影响,甚至带来经济损失。例如:种植广告软件;利用僵尸主机的资源存储大型数据和违法数据等,利用僵尸主机搭建假冒的银行网站从事网络钓鱼的非法活动。

  • 僵尸网络挖矿

    黑客通过控制大量僵尸主机进行挖矿活动,占用了受害者主机的运算能力并导致主机温度升高,并消耗额外的电力。

常见僵尸网络攻击类型

☞ 暴力破解

当攻击者不知道目标设备密码时,就会通过快速、重复的密码猜测技术进行破解,因此这种攻击方式也被称为暴力猜解。在暴力破解攻击中,恶意软件直接与受影响的服务交互,获得密码尝试的实时反馈。另外,暴力破解攻击还会利用已泄露的凭据或个人身份信息来尝试破解密码。

分布式拒绝服务(DDoS)攻击

DDoS攻击是一种非常常见的僵尸网络攻击。僵尸网络中每个节点都高频反复发送无意义的流量集中攻击一个服务,使其崩溃或堵塞。2016年,Mirai僵尸网络就是分两个阶段,使得域名服务提供商Dyn瘫痪,并导致部分地区Twitter、Soundcloud等主要客户端网站性能下降和宕机。

垃圾邮件与网络钓鱼

除了DDoS攻击,僵尸网络也会利用邮件进行钓鱼活动,诱骗员工分享敏感信息或登录凭证。攻击者感染设备后,会向设备联系人发送钓鱼信息,进一步在互联网上传播垃圾邮件,感染更多设备,从而扩大僵尸网络规模。

“砖化”攻击

攻击者通过多个阶段发动机器人对设备进行“砖化”攻击。所谓设备砖化,就是当一台设备被恶意软件感染时,恶意软件会删除设备内容(通常是主要攻击的证据),使得设备停止工作,无法使用,俗称“变砖”。

图片

如何在僵尸网络攻击发生前预防

   越来越多的设备连接在一起,无形中提高了感染僵尸网络的概率。全球有超过310亿台活跃的物联网设备,而任何连接到互联网的设备都可以被感染为“肉鸡”。所以,要想应对此类攻击,就得从预防开始。预防思路上,可以从以下几个方面着手:

减少攻击面:

  • 任何连接到互联网的设备都存在风险。越来越多不安全的物联网设备,提供了大量随时可访问的入口,大大增加了攻击面。而配置错误、配置协议安全性不足以及近两年来远程访问的增加,是攻击面暴露增加的另外几大因素。企业可从业务资产梳理、数据资产监控、对外开放后台、弱密码、API安全、文件传输角度出发,做好资产梳暴露面管理。

增强对网络钓鱼与社工的防范:

  • 网络钓鱼和社会工程仍是获取系统和设备访问权限的主要方法,网络钓鱼是给企业造成损失影响第二大的初始攻击方式。应对这种现状,企业需保证基本的网络安全操作,同时为各级员工提供持续的网络安全意识培训。例如,只有在确定新设备安全设置满足企业安全基线标准的情况下,才能将新设备添加到网络。

主动关注僵尸网络:

  • 主动关注僵尸网络动态,最重要的是确保系统和设备软件最新,尤其需要监控使用较少的设备。供应商一旦发布更新,建议立即应用,保证设备获取到最新的安全更新。

做好IoT物联网配置管理:

  • 更改默认设备的登录凭证,淘汰或者移除网络中旧的、未使用的设备,从而减少攻击媒介。同时,只允许合适的主机设备进行访问,也可预防僵尸网络攻击。而将物联网设备与其他关键系统进行隔离,也有助于减轻僵尸网络攻击造成的影响。另外,针对设备启用多因素身份验证,限制可访问用户数量,也是一种有效的方法。

增强对网络操作的可见性:

  • 通过网络监控与分析工具,能够对设备及流量模式进行更深入的了解。如有需要,部署人工智能网络监控,可确定基线使用情况及对异常情况的监控,有助于对攻击初始阶段进行检测,让安全团队及时做出反馈。

519d365f9a08617514ae981006dcbef1_d19.cc5a8237.png

如何阻止僵尸网络攻击(德迅云安全办公网络安全解决方案)

   德迅云安全针对办公网络安全量身定制了个性化安全解决方案,立体安全防护机制,通过未知威胁安全检测、数据库审计、办公环境网络流量分析等方法有效抵御多种恶意攻击,保障办公网络安全。

针对性解决安全隐患

数据泄露

攻击者利用办公环境中可能存在的安全漏洞(例如wifi漏洞、打印机漏洞、越权访问漏洞等)进行攻击,窃取用户信息、贩卖数据。

APT攻击

黑客经过长期的经营与策划,利用内网漏洞、病毒攻击、社工攻击等方式,对办公网络特定对象,进行长期的、有计划的、有组织的窃取数据。

4b7a69b79be2fdd98197f8cb09f4c87d_d17.435bb331.png

方案模块

(1)内网渗透测试: 利用破解客户访客wifi、社工等方式,渗透办公区网络,在该网络中收集ip资产、拓扑信息、其他数字信息等,挖掘内网安全漏洞,并提交有效的安全修复建议及漏洞修复后的复测。

(2)高级威胁检测系统: 通过高级威胁检测系统对网络流量进行实时检测,重点监控员工访问互联网的网络流量和电子邮件流量中的安全威胁,发现针对性的APT攻击及网络中的僵木蠕,保证办公网络的稳定运行。

(3)未知威胁感知系统: 德迅云安全将多个即插即用的诱骗终端,部署到不同的业务网络中,终端之间相互通信,达到高度伪装。利用“敏感信息”诱导黑客攻击,记录攻击过程,并通过微信、邮件等方式发出预警。

(4)数据库安全审计系统: 通过德迅云安全数据库安全审计系统对数据库操作的痕迹进行详细记录和审计,让客户对数据库访问活动一目了然、有据可查,及时掌握数据库的使用情况,并对安全隐患进行调整和优化。

(5)终端安全管理系统: 德迅云安全御点终端安全管理系统,既具备云杀毒和修补漏洞的优势,又能提供私有化部署,防止用户敏感数据泄露,在降低用户终端资源消耗的同时,能使病毒查杀更精准,有效防御勒索病毒、变种木马对办公网络的影响。

德迅Web防火墙(安全WAF)

Web应用防火墙(Web Application Firewall, 简称 WAF)基于云安全大数据能力,用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击,并过滤海量恶意CC攻击,避免您的网站资产数据泄露,保障网站的安全与可用性。

bef63afc1d2b11a60c040effe1e7d55b_t04e2bdf192c80fb7ab.png

Web应用防火墙(WAF)帮助您轻松应对各类Web应用攻击,确保网站的Web安全与可用性。WAF使用核心攻防和大数据能力来驱动Web安全,具体支持以下功能:

(1)Web入侵防护

  • 自动防护漏洞0day web应用漏洞小时级自动防御,无需人工打补丁

  • 多重动态防御自研规则+AI深度学习+主动防御,搭配不断更新的全网威胁情报,扫除防御死角

  • 防扫描及探测根据扫描及探测的特征和行为,配合全网威胁情报、深度学习算法进行自动拦截,避免黑客发现可利用的系统弱点

  • 防护规则可自定义可根据业务实际需求,灵活自定义防护规则

(2)流量管理和爬虫防控

  • 灵活的流量管理功能支持对全量HTTP header和body特征进行自定义组合,从而实现满足业务个性化需求的访问控制和限速要求

  • CC攻击防护基于不同等级的默认防护策略及灵活的精准访问控制和限速策略,配合人机识别、封禁等处置手段有效缓解CC攻击(HTTP Flood

  • 精准识别爬虫基于指纹、行为、特征、情报等多维度数据,配合AI智能,精准识别爬虫并自动应对爬虫变异

  • 全场景防控适用于网站、H5、APP、小程序等各类型Web业务的爬虫风险防控,帮助企业防控业务作弊、薅羊毛等业务风险

  • 丰富的爬虫处置手段可根据实际业务场景需求,对流量进行包括拦截、人机识别、限流、欺骗等处置手段

  • 场景化配置场景化配置引导,帮助0经验快速上手德迅最佳实践

(3)数据安全防控

  • 保护API安全主动发现存在老旧、缺乏鉴权、数据过度暴露、敏感信息泄露等风险的API接口

  • 防敏感信息泄露检测并防护身份证、银行卡、手机号、敏感词等敏感信息泄露

  • 防页面篡改通过锁定重点页面的内容,保证即使页面被篡改,也能通过返回缓存的方式保证用户看到的页面内容不变

  • 检测账户风险自动识别撞库、暴力破解、弱口令等常见账号风险

(4)安全运维与合规

  • 安全接入一键实现HTTPS、全链路IPv4、智能负载均衡、高可用和快速容灾

  • 全量访问日志记录和存储全量Web访问日志,支持实时SQL查询分析和自定义告警

  • 自动化资产识别基于大数据,全面发现未接入防护的域名资产,收敛攻击面

  • 满足等保合规满足各行业等保合规需求

image.png

结语

总之,现在市面各种形式的僵尸网络威胁的惊人数量。僵尸网络攻击不可避免,对小型企业和大型企业而言都是灾难性的。为了安全起见,您需要了解这些攻击的含义并知道要采取的预防措施。

avatar
文章
阅读
粉丝