僵尸网络,英文"botnet"(简称"机器人网络")是由受恶意软件感染的计算机组成的网络,由一个名为"bot-herder"的攻击方控制。"每台受bot-herder控制的机器被称为机器人(bot)。从一个中心点,攻击方可以命令其僵尸网络上的每台计算机同时进行协调的犯罪行动。僵尸网络的规模(许多由数百万个机器人组成)使攻击者能够执行大规模的行动,这在以前的恶意软件中是不可能的。由于僵尸网络仍然处于远程攻击者的控制之下,受感染的机器可以动态地接收更新并改变它们的行为。因此,"bot-herder"往往能够在黑市上租借进入僵尸网络的权限,以获得可观的经济收益。
常见的僵尸网络操作包括:
· 电子邮件垃圾- 虽然电子邮件今天被视为一个较老的攻击载体,但垃圾邮件僵尸网络的规模最大。它们主要用于发送垃圾邮件,通常包括恶意软件,每个僵尸程序的数量都很高。例如,Cutwail僵尸网络每天最多可以发送740亿条消息。它们还用于传播机器人,以向僵尸网络招募更多计算机。
· DDoS攻击 - 利用僵尸网络的大规模请求,来使目标网络或服务器超载,使其无法访问目标用户。DDoS攻击针对个人或政治动机或勒索付款以换取停止攻击。
· 财务漏洞-包括专为直接窃取企业资金和信用卡信息而设计的僵尸网络。像ZeuS僵尸网络这样的金融僵尸网络一直负责在很短的时间内直接从多个企业窃取数百万美元的攻击。
· 有针对性的入侵 - 较小的僵尸网络旨在危害组织的特定高价值系统,攻击者可以从中渗透并进一步侵入网络。这些入侵对组织来说极其危险,因为攻击者专门针对他们最有价值的资产,包括财务数据,研发,知识产权和客户信息。
当bot-herder使用文件共享,电子邮件或社交媒体应用程序协议或其他机器人作为中介将bot从他的命令和控制服务器发送给不知情的接收者时,创建僵尸网络。一旦收件人在他的计算机上打开恶意文件,机器人就会报告命令并控制bot-herder可以向受感染的计算机发出命令的位置。下面是一个说明这些关系的图表:
机器人(bot)和僵尸网络的许多独特功能特性使它们非常适合长期入侵。bot-herder可以更新机器人,根据他/她希望他们做的事情来改变他们的整个功能,并适应目标系统的变化和对策。机器人还可以利用僵尸网络上的其他受感染计算机作为通信渠道,为bot-herder提供近乎无限数量的通信路径,以适应不断变化的选项并提供更新。这突出表明感染是最重要的一步,因为功能和通信方法总是可以在以后根据需要进行更改。
作为最复杂的现代恶意软件之一,僵尸网络是政府,企业和个人的巨大网络安全问题。早期的恶意软件是一群独立的代理,只是简单地感染和复制自己,僵尸网络是集中协调的网络应用程序,利用网络来获得能力和弹性。由于受感染的计算机受远程bot-herder的控制,因此僵尸网络就像在网络中拥有恶意黑客,而不仅仅是恶意的可执行程序。
我们应该怎样防止成为僵尸网络中的机器人呢?
提高安全意识,不要下载不明程序,不要打开不明邮件,安装防护软件,及时升级病毒库。
