僵尸網(wǎng)絡(luò)是指采用垃圾郵件、惡意程序和釣魚網(wǎng)站等多種傳播手段，將僵尸程序感染給大量主機(jī)，從而在控制者和被感染主機(jī)之間形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。這些被感染主機(jī)深陷其中的時(shí)候，又將成為散播病毒和非法侵害的重要途徑。如果僵尸網(wǎng)絡(luò)深入到公司網(wǎng)絡(luò)或者非法訪問(wèn)機(jī)密數(shù)據(jù)，它們也將對(duì)企業(yè)造成最嚴(yán)重的危害。

一、僵尸網(wǎng)絡(luò)的準(zhǔn)確定義

僵尸網(wǎng)絡(luò)是由一些受到病毒感染并通過(guò)安裝在主機(jī)上的惡意軟件而形成指令控制的邏輯網(wǎng)絡(luò)，它并不是物理意義上具有拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)，它具有一定的分布性，隨著bot程序的不斷傳播而不斷有新的僵尸計(jì)算機(jī)添加到這個(gè)網(wǎng)絡(luò)中來(lái)。根據(jù)最近的一份調(diào)查，網(wǎng)絡(luò)上有多達(dá)10%的電腦受到Bot程序感染而成為僵尸網(wǎng)絡(luò)的一分子。感染之后，這些主機(jī)就無(wú)法擺脫bot所有者的控制。

僵尸網(wǎng)絡(luò)的規(guī)模是大還是小，取決于bot程序所感染主機(jī)的多寡和僵尸網(wǎng)絡(luò)的成熟度。通常，一個(gè)大型僵尸網(wǎng)絡(luò)擁有1萬(wàn)個(gè)獨(dú)立主機(jī)，而被感染主機(jī)的主人通常也不知道自己的電腦通過(guò)IRC(Internet Relay Chat)被遙控指揮。

由于Bot程序混合了很多惡意軟件技術(shù)，準(zhǔn)確的描述什么叫bot程序以及bot程序的成熟度是很難的。僵尸網(wǎng)絡(luò)攻擊所采用的技術(shù)橫跨了傳統(tǒng)和新興的界限，它們常采取的攻擊方法有如下一些：

分布式拒絕服務(wù)攻擊(DDoS)攻擊

一般來(lái)說(shuō)，僵尸網(wǎng)絡(luò)被用來(lái)發(fā)動(dòng)DDoS攻擊，DDoS攻擊的是電腦系統(tǒng)或是可能導(dǎo)致服務(wù)中斷的網(wǎng)絡(luò)，最典型的就是通過(guò)消耗受害者的網(wǎng)絡(luò)帶寬或是加載過(guò)多的計(jì)算資源來(lái)使系統(tǒng)崩潰。除此之外，由于DDoS攻擊導(dǎo)致每秒發(fā)送過(guò)多的信息包數(shù)量，就會(huì)將系統(tǒng)的帶寬消耗殆盡。到目前未知，我們所分析的所有的僵尸計(jì)算機(jī)都極有可能對(duì)其它主機(jī)發(fā)動(dòng)DDoS攻擊。最常用的方式就是TCP SYN和UDPab(User Datagram Protocol, 用戶數(shù)據(jù)報(bào)協(xié)議)洪水攻擊方式。腳本將DDoS是為一種解決一切社會(huì)問(wèn)題的方法。

更進(jìn)一步的研究表明，僵尸網(wǎng)路甚至?xí)粍e有用心者用來(lái)發(fā)動(dòng)對(duì)競(jìng)爭(zhēng)對(duì)手的DDoS攻擊。Operation Cyberslam記錄了Jay R. Echouafni 和 Joshua Schichtel(他化名為EMP)的事件。Echouafni在2004年8月25號(hào)被控多重罪名導(dǎo)致受保護(hù)的計(jì)算機(jī)受到威脅。他與EMP合作操控一個(gè)僵尸網(wǎng)絡(luò)發(fā)送大量的垃圾郵件，并且對(duì)垃圾郵件黑名單服務(wù)器發(fā)動(dòng)DDoS攻擊使之癱瘓。此外，他們針對(duì)全球最大的網(wǎng)上計(jì)算平臺(tái)Speedera的DDoS攻擊使得這一站點(diǎn)罷工，而這樣做的目的只不過(guò)是為了打垮一個(gè)競(jìng)爭(zhēng)對(duì)手的網(wǎng)站而已。

由于DDoS并不局限于網(wǎng)站服務(wù)器，實(shí)際上，一切形式的英特網(wǎng)的服務(wù)都會(huì)淪為他們攻擊的對(duì)象。通過(guò)使用特定形式的攻擊，高層次的網(wǎng)絡(luò)協(xié)議可以備用做增加網(wǎng)絡(luò)負(fù)載量的有效工具，譬如說(shuō)在受害者的網(wǎng)絡(luò)里的BBS上或是遞歸HTTP溢出運(yùn)行無(wú)數(shù)的搜索請(qǐng)求。所謂遞歸HTTP溢出是指僵尸計(jì)算機(jī)的威脅從給定的一個(gè)HTTP鏈接上指向所有網(wǎng)站上的鏈接，以一種遞歸的方式出現(xiàn)。這也叫做蜘蛛網(wǎng)般的攻擊。

間諜和惡意軟件

僵尸網(wǎng)絡(luò)比如臭名昭著的Zombies，通常都會(huì)在用戶不知情的情形下受利益驅(qū)動(dòng)而監(jiān)視并報(bào)告用戶的上網(wǎng)行為。它們也會(huì)安裝一些工具來(lái)收集用戶的鍵盤記錄和系統(tǒng)漏洞等信息，并將這些信息兜售給第三方。

身份盜竊

僵尸網(wǎng)絡(luò)還會(huì)經(jīng)常部署一些盜竊用戶身份信息、財(cái)務(wù)信息或者用戶電腦上的密碼等信息的工具，然后將這些數(shù)據(jù)出賣或者直接利用獲取利潤(rùn)。

惡意廣告軟件

Zombies也會(huì)根據(jù)用戶上網(wǎng)習(xí)慣自動(dòng)下載、安裝和彈出一些惡意廣告，或者強(qiáng)迫用戶通過(guò)某些網(wǎng)站瀏覽一些廣告。

垃圾郵件

當(dāng)今的大部分垃圾郵件是由僵尸網(wǎng)絡(luò)Zombies散發(fā)形成的。

網(wǎng)絡(luò)釣魚

Zombies可以掃描并確定哪些是有漏洞可以被用來(lái)攻擊的服務(wù)器，通常這些服務(wù)器都是合法的而且具有重要機(jī)密數(shù)據(jù)(比如PayPal或者銀行站點(diǎn)服務(wù)器)，然后竊取服務(wù)器上的密碼和其他機(jī)密數(shù)據(jù)。

惡意bot程序一直以來(lái)都在通過(guò)更加隱蔽更加狡猾的方式來(lái)感染互聯(lián)網(wǎng)上的主機(jī)。在2007年，僵尸網(wǎng)絡(luò)成為散發(fā)垃圾郵件和發(fā)動(dòng)釣魚攻擊的主要方式。在2008年，僵尸網(wǎng)絡(luò)所發(fā)送的垃圾郵件占整個(gè)垃圾郵件數(shù)量的90%。而在2009年，垃圾郵件則直接通過(guò)P2P方式四處傳播。

#p#

二、新型僵尸網(wǎng)絡(luò)的特點(diǎn)

2009年，一些主要的僵尸網(wǎng)絡(luò)在互聯(lián)網(wǎng)上都變得更加令人難以琢磨，以更加不可預(yù)測(cè)的新特點(diǎn)來(lái)威脅網(wǎng)絡(luò)安全。僵尸網(wǎng)絡(luò)操縱地點(diǎn)也比以前分布更廣。它們采用新技術(shù)提高僵尸網(wǎng)絡(luò)的的運(yùn)行效率和靈活機(jī)動(dòng)性。很多合法網(wǎng)站被僵尸網(wǎng)絡(luò)侵害，從而影響到一些企業(yè)的核心競(jìng)爭(zhēng)力。

最新型的僵尸網(wǎng)絡(luò)攻擊往往采用hypervisor技術(shù)。hypervisor技術(shù)是一種可以在一個(gè)硬件主機(jī)上模擬躲過(guò)操作系統(tǒng)的程序化工具。hypervisor可以分別控制不同主機(jī)上的處理器和系統(tǒng)資源。而每個(gè)操作系統(tǒng)都會(huì)顯示主機(jī)的處理器和系統(tǒng)資源，但是卻并不會(huì)顯示主機(jī)是否被惡意服務(wù)器或者其他主機(jī)所控制。

僵尸網(wǎng)絡(luò)攻擊所采用的另外一種技術(shù)就是Fast Flux domains。這種技術(shù)是借代理更改IP地址來(lái)隱藏真正的垃圾郵件和惡意軟件發(fā)送源所在地。這種技術(shù)利用了一種新的思想：被攻陷的計(jì)算機(jī)僅僅被用來(lái)當(dāng)作前線的代理，而真正發(fā)號(hào)施令的主控計(jì)算機(jī)確藏在代理的后面。安全專家只能跟蹤到被攻陷代理主機(jī)的IP地址，真正竊取數(shù)據(jù)的計(jì)算機(jī)在其他地方。代理主機(jī)沒有日志、沒有相關(guān)數(shù)據(jù)、沒有文檔記錄可以顯示攻擊者的任何信息。最為精巧的地方在域名服務(wù)這部分，一些公司為了負(fù)載平衡和適應(yīng)性，會(huì)動(dòng)態(tài)地改變域名所對(duì)應(yīng)的IP地址，攻擊者借用該技術(shù)，也會(huì)動(dòng)態(tài)地修改Fast-Flux網(wǎng)絡(luò)的IP地址。

而最為眾人所知的技術(shù)莫過(guò)于P2P了。比如，Nugache僵尸網(wǎng)絡(luò)就是通過(guò)廣泛使用的IM工具點(diǎn)對(duì)點(diǎn)來(lái)實(shí)現(xiàn)擴(kuò)充，然后使用加密代碼來(lái)遙控指揮被感染主機(jī)。那也就意味著這種方式更加令人難以探測(cè)到。而且僵尸網(wǎng)絡(luò)也比較傾向使用P2P文件共享來(lái)消除自己的蹤跡。

無(wú)論是使用Fast Flux、P2P還是hypervisor技術(shù)，僵尸網(wǎng)絡(luò)所使用的攻擊類型都比以前變得更加復(fù)雜多樣。顯然，僵尸網(wǎng)絡(luò)威脅一直在不斷地增長(zhǎng)，而且所使用的攻擊技術(shù)越來(lái)越先進(jìn)。這就需要我們使用更加強(qiáng)大的安全防護(hù)工具來(lái)保護(hù)個(gè)人和公司網(wǎng)絡(luò)的安全。

#p#

三、僵尸網(wǎng)絡(luò)的危害

隨著僵尸網(wǎng)絡(luò)的不斷滲透和擴(kuò)散，公司必須比以往更加重視和了解邊界安全。為此，公司不僅需要了解僵尸網(wǎng)絡(luò)的功能和運(yùn)行機(jī)制，也需要了解它們所帶來(lái)的安全威脅。

對(duì)僵尸網(wǎng)絡(luò)非法入侵做出快速有效的響應(yīng)，對(duì)企業(yè)來(lái)說(shuō)可能是一項(xiàng)最為緊迫的挑戰(zhàn)。不幸的是，光靠利用基于簽名的技術(shù)來(lái)消除這些安全威脅是遠(yuǎn)遠(yuǎn)不夠的。使用這種技術(shù)往往會(huì)花費(fèi)數(shù)小時(shí)甚至是數(shù)天時(shí)間，才能檢測(cè)到僵尸網(wǎng)絡(luò)并對(duì)其做出響應(yīng)。僵尸網(wǎng)絡(luò)最容易吸引各類高科技網(wǎng)絡(luò)犯罪分子，他們可以借助僵尸網(wǎng)絡(luò)的溫床醞釀和實(shí)施各種網(wǎng)絡(luò)攻擊和其他非法活動(dòng)。

僵尸網(wǎng)絡(luò)的所有者會(huì)利用僵尸網(wǎng)絡(luò)的影響力對(duì)企業(yè)展開有針對(duì)性的攻擊。除了分布式垃圾郵件和攻擊電子郵件數(shù)據(jù)庫(kù)之外，他們還會(huì)發(fā)動(dòng)分布式拒絕服務(wù)攻擊。僵尸網(wǎng)絡(luò)越來(lái)越喜歡利用竊取企業(yè)財(cái)務(wù)信息或者商業(yè)機(jī)密，進(jìn)而對(duì)企業(yè)進(jìn)行敲詐勒索和追逐其他利益活動(dòng)。 另外，他們還可以利用企業(yè)與企業(yè)之間的網(wǎng)絡(luò)互聯(lián)或者其他同行合作伙伴來(lái)擴(kuò)大攻擊。這也就是為什么企業(yè)已經(jīng)成為僵尸網(wǎng)絡(luò)重點(diǎn)攻擊的受害群體之一的重要原因。

當(dāng)僵尸網(wǎng)絡(luò)獲得訪問(wèn)公司網(wǎng)絡(luò)的權(quán)限之后，它們就可以肆意捕捉和偷竊公司客戶的銀行卡、交易和其他重要數(shù)據(jù)。這樣一來(lái)，不僅嚴(yán)重危害了客戶的私人利益，也損害了公司的寶貴資源和企業(yè)形象，從而對(duì)企業(yè)造成致命創(chuàng)傷。

欺詐和品牌破壞

網(wǎng)上交易常常伴隨著欺詐而出現(xiàn)，因?yàn)榫W(wǎng)上交易通常都要提交個(gè)人敏感數(shù)據(jù)。一個(gè)策劃周全制作精良的在線欺詐活動(dòng)可以對(duì)企業(yè)和客戶都造成重大損失。另外，也會(huì)間接影響消費(fèi)者對(duì)品牌的認(rèn)可和忠誠(chéng)度，他們會(huì)質(zhì)疑網(wǎng)上交易的完整性和安全性。

2009年2月，國(guó)外一家國(guó)家銀行的客戶發(fā)現(xiàn)他們的賬戶已經(jīng)被凍結(jié)。銀行方面認(rèn)為客戶在線交易弄虛作假，偽造發(fā)件人地址和超級(jí)鏈接。而客戶訪問(wèn)銀行網(wǎng)站時(shí)則被引導(dǎo)至一個(gè)看起來(lái)獨(dú)一無(wú)二，完全和真實(shí)網(wǎng)站一樣的欺詐網(wǎng)站，在網(wǎng)上交易過(guò)程中他們按照平常那樣提交個(gè)人私密信息。最后，銀行不僅蒙受了巨額損失，而且也影響到了客戶對(duì)銀行的信任?？上攵y行要想留住這些客戶只能通過(guò)更大力氣和營(yíng)銷促銷手段才能實(shí)現(xiàn)。

從品牌的破壞行為可以看出，網(wǎng)絡(luò)欺詐已經(jīng)足夠讓企業(yè)董事會(huì)加以重視了。據(jù)最近一項(xiàng)研究，63.9%的市場(chǎng)銷售官員認(rèn)為，安全漏洞會(huì)嚴(yán)重影響公司品牌形象。

但是品牌受損并不是特別值得關(guān)注的唯一問(wèn)題，以下問(wèn)題同樣值得我們關(guān)注：

網(wǎng)絡(luò)欺詐引起的客戶流失

在線銀行容易暴露機(jī)密數(shù)據(jù)的風(fēng)險(xiǎn)

安全漏洞和網(wǎng)絡(luò)欺詐所導(dǎo)致的潛在危害

如何防范最新網(wǎng)絡(luò)威脅

#p#

四、如何防范新型僵尸網(wǎng)絡(luò)攻擊

1、保持警惕

這項(xiàng)建議看起來(lái)似乎無(wú)關(guān)緊要。不過(guò)，雖然經(jīng)常告誡IT管理員注意安全防范，但是他們卻從未看過(guò)系統(tǒng)日志，他們也不會(huì)告訴你有誰(shuí)在鏈接網(wǎng)絡(luò)，甚至不知道有哪些設(shè)備鏈接到了網(wǎng)絡(luò)。

2、提高用戶意識(shí)

個(gè)人用戶具備更多的安全意識(shí)和基本知識(shí)，非常有利于減少各類安全事件的威脅。個(gè)人用戶防范Bot與防范蠕蟲、木馬完全沒有區(qū)別。目前已經(jīng)發(fā)現(xiàn)的絕大多數(shù)Bot針對(duì)Windows操作系統(tǒng)。對(duì)個(gè)人Windows用戶而言，如果能做到自動(dòng)升級(jí)、設(shè)置復(fù)雜口令、不運(yùn)行可疑郵件就很難感染Bot、蠕蟲和木馬。90%以上的惡意代碼利用幾周或幾個(gè)月之前就公布了補(bǔ)丁的漏洞傳播，及時(shí)升級(jí)系統(tǒng)可以避免多數(shù)惡意代碼的侵襲。

3、監(jiān)測(cè)端口

兩方面的建議：

即使是最新bot程序通信，它們也是需要通過(guò)端口來(lái)實(shí)現(xiàn)的。絕大部分的bot仍然使用IRC(端口6667)和其他大號(hào)端口(比如31337和54321)。1024以上的所有端口應(yīng)設(shè)置為阻止bot 進(jìn)入，除非你所在組織給定某個(gè)端口有特殊應(yīng)用需要。即便如此，你也可以對(duì)開放的端口制定通信政策“只在辦公時(shí)間開放”或者“拒絕所有訪問(wèn)，除了以下IP地址列表”。

Web通信常需要使用80或者7這樣的端口。而僵尸網(wǎng)絡(luò)也常常是在凌晨1點(diǎn)到5點(diǎn)之間進(jìn)行升級(jí)，因?yàn)檫@個(gè)時(shí)候升級(jí)較少被人發(fā)現(xiàn)。養(yǎng)成在早晨查看系統(tǒng)日志的好習(xí)慣。如果你發(fā)現(xiàn)沒有人但卻有網(wǎng)頁(yè)瀏覽活動(dòng)，你就應(yīng)該警惕并進(jìn)行調(diào)查。

4、禁用JavaScript

當(dāng)一個(gè)bot感染主機(jī)的時(shí)候，往往基于web利用漏洞執(zhí)行JavaScript來(lái)實(shí)現(xiàn)。設(shè)置瀏覽器在執(zhí)行JavaScript之前進(jìn)行提示，有助于最大化地減少因JavaScript而感染bot的機(jī)會(huì)。我們建議用戶使用Firefox當(dāng)主瀏覽器來(lái)使用，當(dāng)有腳本試圖執(zhí)行時(shí)可以使用NoScrip plug-in39。

5、多層面防御

縱深防御很有效。如果我僅有能過(guò)濾50%有害信息的單個(gè)防御工具，那么效果可能只有50%;但如果我有2種不同的防御工具，每個(gè)都50%的話，我就可以得到75%的防御效果(第一個(gè)防御工具可以過(guò)濾50%，剩下50……;第二個(gè)防御工具可以過(guò)濾剩下的50%的一半，剩下25%)。如果我有5個(gè)防御工具每個(gè)都是50%效果的話，我將獲得將近97%的效果。如果要獲得99%的理想狀態(tài)，我們需要4個(gè)防御工具分別達(dá)到70%效果的才能實(shí)現(xiàn)。

6、安全評(píng)估

一些著名廠商都會(huì)提供免費(fèi)的安全評(píng)估工具和先進(jìn)安全產(chǎn)品免費(fèi)試用。在評(píng)估和試用結(jié)束的時(shí)候，他們都會(huì)報(bào)告你公司所面臨的不同類型的安全風(fēng)險(xiǎn)和安全漏洞。這有助于讓你評(píng)估當(dāng)前的安全解決方案是否有效，并且告訴你接下來(lái)該采取怎樣的安全措施。

【編輯推薦】

1. 檢測(cè)僵尸網(wǎng)絡(luò)的工具BotHunter
2. 首個(gè)Linux Web Server僵尸網(wǎng)絡(luò)被發(fā)現(xiàn)
3. 安全專家稱Twitter被用來(lái)管理僵尸網(wǎng)絡(luò)