僵尸網(wǎng)絡(luò)(botnet)是指一組受到惡意軟件感染并遭到惡意用戶控制的計(jì)算機(jī)。術(shù)語“僵尸網(wǎng)絡(luò)”由“機(jī)器人(bot)”和“網(wǎng)絡(luò)(network)”兩個(gè)詞組合而成,每臺(tái)受感染設(shè)備被稱為“機(jī)器人”。僵尸網(wǎng)絡(luò)可用于完成非法或惡意的任務(wù),包括發(fā)送垃圾郵件、竊取數(shù)據(jù)、投放勒索軟件、欺詐性點(diǎn)擊廣告或發(fā)動(dòng)分布式拒絕服務(wù)(DDoS)攻擊。
雖然某些惡意軟件(如勒索軟件)會(huì)對(duì)設(shè)備所有者產(chǎn)生直接影響,但 DDoS 僵尸網(wǎng)絡(luò)惡意軟件的可見性可能各不相同;一些惡意軟件用于完全控制設(shè)備,另一些惡意軟件則以后臺(tái)進(jìn)程的形式偷偷運(yùn)行,同時(shí)默默等待攻擊者或“僵尸牧人”發(fā)出指令。
自我傳播的僵尸網(wǎng)絡(luò)通過各種不同的渠道招募額外的機(jī)器人。感染途徑包括利用網(wǎng)站漏洞、木馬惡意軟件和破解弱身份驗(yàn)證以獲得遠(yuǎn)程訪問。一旦獲得訪問權(quán)限,所有這些感染方法都會(huì)導(dǎo)致在目標(biāo)設(shè)備上安裝惡意軟件,從而允許僵尸網(wǎng)絡(luò)的操作員進(jìn)行遠(yuǎn)程控制。一旦設(shè)備被感染,它可能會(huì)嘗試通過在周圍網(wǎng)絡(luò)中招募其他硬件設(shè)備來自我傳播僵尸網(wǎng)絡(luò)惡意軟件。
雖然無法確定特定僵尸網(wǎng)絡(luò)中機(jī)器人的確切數(shù)量,但根據(jù)估算,復(fù)雜僵尸網(wǎng)絡(luò)的機(jī)器人總數(shù)從幾千一直延伸到百萬以上。
僵尸網(wǎng)絡(luò)因?yàn)槭裁丛蚨Q生?
使用僵尸網(wǎng)絡(luò)的原因多種多樣,包括激進(jìn)主義和國家贊助的破壞活動(dòng),許多攻擊純粹是為了牟利。在線招募僵尸網(wǎng)絡(luò)服務(wù)所需的費(fèi)用相對(duì)較低;特別是,對(duì)比可能造成的損失,價(jià)格優(yōu)勢(shì)尤為顯著。另外,創(chuàng)建僵尸網(wǎng)絡(luò)的門檻也足夠低,因而成為某些軟件開發(fā)人員的牟利手段,在監(jiān)管和執(zhí)法力度有限的地區(qū)應(yīng)用尤其廣泛。綜合以上,提供招募出租的在線服務(wù)迅速風(fēng)靡全球。
如何控制僵尸網(wǎng)絡(luò)?
僵尸網(wǎng)絡(luò)的核心特征是能夠接收僵尸牧人(bot herder)發(fā)出的更新指令。由于能夠與網(wǎng)絡(luò)中每個(gè)機(jī)器人進(jìn)行通訊,攻擊者可改變攻擊手段、更改目標(biāo)IP 地址、終止攻擊或進(jìn)行其他自定義行動(dòng)。僵尸網(wǎng)絡(luò)設(shè)計(jì)各不相同,但控制結(jié)構(gòu)可分為兩大類:
客戶端/服務(wù)器僵尸網(wǎng)絡(luò)模型
客戶端/服務(wù)器模型模擬傳統(tǒng)遠(yuǎn)程工作站的工作流程,其中每臺(tái)機(jī)器都連接到集中式服務(wù)器(或少數(shù)集中式服務(wù)器),以便訪問信息。在這種模型中,每個(gè)機(jī)器人將連接到命令和控制中心(CnC)資源(例如 Web 域或 IRC 通道),以便接收指令。通過使用這些集中式存儲(chǔ)庫向僵尸網(wǎng)絡(luò)傳達(dá)新命令,攻擊者只需修改每個(gè)僵尸網(wǎng)絡(luò)從命令中心獲取的原始資源,即可向受感染機(jī)器傳達(dá)最新指令。控制僵尸網(wǎng)絡(luò)的集中式服務(wù)器可以是攻擊者自有及操控的設(shè)備,也可以是一臺(tái)受感染的設(shè)備。
目前已發(fā)現(xiàn)大量流傳甚廣的集中式僵尸網(wǎng)絡(luò)拓?fù)洌ǎ?/p>
星形網(wǎng)絡(luò)拓?fù)?/p>
多服務(wù)器網(wǎng)絡(luò)拓?fù)?/p>
分層網(wǎng)絡(luò)拓?fù)?/p>
在以上各類客戶端/服務(wù)器模型中,每個(gè)機(jī)器人均連接命令中心資源(如 Web 域或 IRC 通道)以接收指令。鑒于使用這些集中式存儲(chǔ)庫向僵尸網(wǎng)絡(luò)傳達(dá)新命令,攻擊者只需從一個(gè)命令中心修改各個(gè)僵尸網(wǎng)絡(luò)占用的原始資源,即可向受感染機(jī)器傳達(dá)最新指令。
同時(shí),利用有限數(shù)量的集中來源即可向僵尸網(wǎng)絡(luò)發(fā)送最新指令,這種簡(jiǎn)便性成為此類機(jī)器的又一漏洞;若要移除使用集中式服務(wù)器的僵尸網(wǎng)絡(luò),只需中斷這臺(tái)服務(wù)器便可。在這一漏洞的驅(qū)使下,僵尸網(wǎng)絡(luò)惡意軟件創(chuàng)建者不斷發(fā)展,探索出一種不易受到單一或少量故障點(diǎn)干擾的新模型。
點(diǎn)對(duì)點(diǎn)僵尸網(wǎng)絡(luò)模型
為規(guī)避客戶端/服務(wù)器模型漏洞,最近惡意用戶一直使用分散式對(duì)等文件共享組件設(shè)計(jì)僵尸網(wǎng)絡(luò)。在僵尸網(wǎng)絡(luò)中嵌入控制結(jié)構(gòu),消除采用集中式服務(wù)器的僵尸網(wǎng)絡(luò)的單點(diǎn)故障,緩解攻擊的難度隨之提高。P2P 機(jī)器人可以同時(shí)是客戶端和命令中心,協(xié)同相鄰節(jié)點(diǎn)傳播數(shù)據(jù)。
點(diǎn)對(duì)點(diǎn)僵尸網(wǎng)絡(luò)會(huì)維護(hù)受信任的計(jì)算機(jī)列表,僵尸網(wǎng)絡(luò)可根據(jù)列表往來通信并更新其惡意軟件。限制機(jī)器人連接的其他機(jī)器數(shù)量,使每個(gè)機(jī)器人僅對(duì)相鄰設(shè)備公開,這使得跟蹤和緩解難度相應(yīng)增高。由于缺乏集中式命令服務(wù)器,點(diǎn)對(duì)點(diǎn)僵尸網(wǎng)絡(luò)更容易受到僵尸網(wǎng)絡(luò)創(chuàng)建者以外的其他用戶的控制。為防止失控,分散式僵尸網(wǎng)絡(luò)通常經(jīng)過加密以限制訪問。
IoT 設(shè)備如何變身為僵尸網(wǎng)絡(luò)?
沒有人會(huì)通過后院用來觀察喂鳥器的無線 CCTV 攝像頭操作網(wǎng)上銀行業(yè)務(wù),但這并不意味著此類設(shè)備無法發(fā)出必要的網(wǎng)絡(luò)請(qǐng)求。IoT 設(shè)備的強(qiáng)大能力,加上安全防護(hù)薄弱或配置不當(dāng),為僵尸網(wǎng)絡(luò)惡意軟件招募新機(jī)器人加入攻擊隊(duì)伍創(chuàng)造了機(jī)會(huì)。IoT 設(shè)備持續(xù)增長(zhǎng),DDoS 攻擊隨之掀開新篇章,因?yàn)楹芏嘣O(shè)備配置不當(dāng),很容易受到攻擊。
如果 IoT 設(shè)備漏洞硬編碼到了固件中,更新難度將進(jìn)一步加大。為降低風(fēng)險(xiǎn),應(yīng)更新裝有過期固件的 IoT 設(shè)備,因?yàn)樽猿跏及惭b設(shè)備開始默認(rèn)憑證通常保持不變。很多廉價(jià)硬件制造商并不會(huì)因提高設(shè)備安全性而獲得獎(jiǎng)勵(lì),因而僵尸網(wǎng)絡(luò)惡意軟件用于攻擊 IoT 設(shè)備的漏洞始終存在,這項(xiàng)安全風(fēng)險(xiǎn)仍未消除。
如何禁用現(xiàn)有的僵尸網(wǎng)絡(luò)?
禁用僵尸網(wǎng)絡(luò)的控制中心:
如果可以識(shí)別控制中心,禁用按照命令和控制模式設(shè)計(jì)的僵尸網(wǎng)絡(luò)也會(huì)變得更加輕松。切斷故障點(diǎn)的頭節(jié)點(diǎn)可以使整個(gè)僵尸網(wǎng)絡(luò)進(jìn)入離線狀態(tài)。因此,系統(tǒng)管理員和執(zhí)法人員可集中精力關(guān)閉這些僵尸網(wǎng)絡(luò)的控制中心。如果命令中心所在的國家/地區(qū)執(zhí)法力度較弱或不愿做出干預(yù),實(shí)施難度將進(jìn)一步加大。
避免個(gè)人設(shè)備感染:
對(duì)于個(gè)人計(jì)算機(jī),若要重新獲得對(duì)計(jì)算機(jī)的控制權(quán),可以采用以下策略:運(yùn)行防病毒軟件、使用安全備份重新安裝軟件,或者在重新格式化系統(tǒng)后使用初始狀態(tài)的計(jì)算機(jī)重新啟動(dòng)。對(duì)于 IoT 設(shè)備,則可采用以下策略:刷新固件、恢復(fù)出廠設(shè)置或以其他方式格式化設(shè)備。如果這些方案不可行,設(shè)備制造商或系統(tǒng)管理員有可能提供其他策略。
如何保護(hù)設(shè)備,防止其加入僵尸網(wǎng)絡(luò)?
創(chuàng)建安全密碼:
對(duì)于許多易受攻擊的設(shè)備,減少對(duì)僵尸網(wǎng)絡(luò)漏洞的暴露可以像將管理憑據(jù)更改為默認(rèn)用戶名和密碼以外的其他內(nèi)容一樣簡(jiǎn)單。創(chuàng)建一個(gè)安全密碼會(huì)使暴力破解變得困難,創(chuàng)建一個(gè)非常安全的密碼會(huì)使暴力破解幾乎不可能。例如,感染Mirai惡意軟件的設(shè)備將掃描 IP 地址以尋找響應(yīng)設(shè)備。一旦設(shè)備響應(yīng) ping 請(qǐng)求,機(jī)器人將嘗試使用預(yù)設(shè)的默認(rèn)憑據(jù)列表登錄找到的設(shè)備。如果更改了默認(rèn)密碼并實(shí)施了安全密碼,機(jī)器人將放棄并繼續(xù)尋找更易受攻擊的設(shè)備。
僅允許通過可信方式執(zhí)行第三方代碼:
如果采用手機(jī)的軟件執(zhí)行模式,則僅允許的應(yīng)用可以運(yùn)行,賦予更多控制來終止被認(rèn)定為惡意的軟件(包括僵尸網(wǎng)絡(luò))。只有管理軟件(如內(nèi)核)被利用才會(huì)導(dǎo)致設(shè)備被利用。這取決于首先具有安全內(nèi)核,而大多數(shù) IoT 設(shè)備并沒有安全內(nèi)核,此方法更適用于運(yùn)行第三方軟件的機(jī)器。
定期擦除/還原系統(tǒng):
在過了設(shè)定的時(shí)間后還原為已知良好狀態(tài),從而刪除系統(tǒng)收集的各種垃圾,包括僵尸網(wǎng)絡(luò)軟件。如果用作預(yù)防措施,此策略可確保即使惡意軟件靜默運(yùn)行也會(huì)遭到丟棄。
實(shí)施良好的入口和出口過濾實(shí)踐:
其他更高級(jí)的策略包括網(wǎng)絡(luò)路由器和防火墻的過濾實(shí)踐。安全網(wǎng)絡(luò)設(shè)計(jì)的一個(gè)原則是分層:您對(duì)可公開訪問的資源的限制最少,同時(shí)不斷加強(qiáng)您認(rèn)為敏感的事物的安全性。此外,任何跨越這些邊界的東西都必須受到審查:網(wǎng)絡(luò)流量、USB 驅(qū)動(dòng)器等。質(zhì)量過濾實(shí)踐增加了 DDoS 惡意軟件及其傳播和通信方法在進(jìn)入或離開網(wǎng)絡(luò)之前被捕獲的可能性。
