什么是僵尸网络攻击?僵尸网络攻击是由恶意行为者控制的一组互联网连接设备进行的一种网络攻击。僵尸网络本身就是设备网络。当网络犯罪分子将恶意软件注入网络以控制他们作为一个集体时,他们就会被用来发动网络攻击。僵尸网络攻击可用于发送垃圾邮件、数据盗窃、泄露机密信息、使广告欺诈长期存在或用于发起更危险的分布式拒绝服务或DDoS 攻击。
机器人攻击与僵尸网络攻击
僵尸网络攻击可以被认为是更一般的“僵尸攻击”的一种特定类型。机器人攻击是使用旨在篡改网站、应用程序或设备的自动 Web 请求的网络攻击。
Bot 攻击最初由简单的垃圾邮件操作组成,但在性质上已经发展为更加复杂,旨在欺骗或操纵用户。造成这种情况的原因之一是用于构建机器人的开源工具(称为 botkits)的可用性。
这些僵尸工具包通常在网上或暗网上免费提供,可用于执行恶意任务,例如抓取网站、接管帐户、滥用表单提交以及制造僵尸网络攻击,包括 DDoS 攻击。
僵尸网络攻击如何运作?
僵尸网络攻击始于网络犯罪分子通过损害设备的安全性来访问设备。他们可以通过注入木马病毒或基本的社会工程策略等黑客手段来做到这一点。然后使用命令设备进行大规模攻击的软件控制这些设备。
有时,犯罪分子自己可能不会使用僵尸网络发起攻击,而是将网络访问权出售给其他恶意行为者。然后,这些第三方可以将僵尸网络用作“僵尸”网络来满足自己的需求,例如指导垃圾邮件活动。
不同类型的僵尸网络
僵尸网络攻击可能因其方法和使用的工具而异。有时,这些僵尸网络本身不会进行攻击,而是成为黑客发起诈骗和赎金攻击等二次活动的途径。一些常见的僵尸网络攻击类型包括:
- 分布式拒绝服务 (DDoS) 攻击:一种更常见的僵尸网络攻击类型,它通过使用机器人发送的网络流量使服务器超载以使其崩溃来工作。服务器运行中的这种停机时间也可用于发起其他基于僵尸网络的攻击。
- 网络钓鱼攻击:这些攻击通常是为了从组织的员工那里提取关键信息而发起的。例如,可以设计大规模垃圾邮件活动来模仿组织内的可信来源,以诱骗人们泄露登录详细信息、财务信息和信用卡详细信息等机密信息。
- 蛮力攻击:这些涉及强制破坏网络帐户的程序。字典攻击和凭证填充用于利用弱用户密码并访问其数据。
哪些系统和设备面临的风险最大?
当僵尸网络攻击成为新闻时,损害通常被称为受到危害的计算机或服务器的数量。但不仅仅是个别系统会被感染和瘫痪。任何连接到互联网的设备都容易受到僵尸网络攻击。
随着物联网的发展,越来越多的设备加入互联网,增加了攻击向量的可能性。即使是监视您的门廊或后院的看似无害的无线闭路电视摄像机也可能受到攻击,从而为僵尸网络恶意软件打开进入网络的入口点。此类新的物联网设备可能带有配置不当的安全设置,这一事实只会使问题更加严重。
检测僵尸网络攻击
僵尸网络攻击很难检测,因为用户通常不知道设备何时受到攻击。一些僵尸网络设计有一个中央服务器,以命令和控制模型控制每个机器人。对于这些僵尸网络,检测攻击的关键步骤是找到中央服务器。
静态分析技术有助于发现设备中的感染。这些在设备未执行任何程序时运行,并涉及寻找恶意软件签名和其他与命令和控制服务器的可疑连接,以寻找指令和可疑的可执行文件。随着僵尸网络创建者开发出更复杂的技术来避免检测,他们越来越擅长避免静态分析方法。
如果有更多可用资源,也可以使用行为或动态分析。这些包括扫描本地网络上的端口,寻找涉及 Internet 中继聊天 (IRC) 的异常流量和活动。
杀毒软件可以在一定程度上检测僵尸网络攻击,但无法发现受感染的设备。另一个有趣的方法是使用蜜罐。这些是通过虚假渗透机会引诱僵尸网络攻击的虚假系统。
对于较大的僵尸网络,例如 Mirai 僵尸网络,ISP 有时会一起检测流量并找出阻止僵尸网络攻击的方法。他们可以与安全公司合作,以识别网络中其他受感染的设备。
可以防止僵尸网络攻击吗?
多年来,防止僵尸网络攻击变得越来越困难。防止这些攻击的主要挑战之一是设备的扩散。随着不同类型的设备变得容易获得,通常具有自己的安全设置,因此很难在这些攻击发生之前对其进行监控、跟踪和阻止。然而,您仍然可以采取某些措施来防止僵尸网络攻击。
- 保持所有系统更新
僵尸网络渗透和破坏企业安全系统的主要途径之一是利用网络机器中存在的未修补漏洞。这使得保持系统更新并确保在新更新可用时立即安装至关重要。
这还包括硬件设备,尤其是企业中不再积极使用的遗留设备。
- 采用基本的网络安全最佳实践
在所有设备上遵循基本的安全卫生也很重要,以防止僵尸网络攻击。这包括使用复杂的密码、向员工宣传网络钓鱼电子邮件的危险以及点击可疑的附件和链接。企业还应采取适当措施,确保任何进入其网络的新设备都具有完善的安全设置。
- 控制对机器的访问
采取措施锁定对机器的访问是防止僵尸网络攻击的另一种方法。除了强密码之外,您还应该部署多因素身份验证和控制,以便仅向最需要它的人提供访问权限。如果对关键系统的访问受到控制并相互隔离,则将僵尸网络攻击隔离到一组特定设备并在那里根除它们会变得稍微容易一些。
- 使用分析解决方案监控网络流量
预防僵尸网络攻击需要良好的技术来提前检测它们。使用高级分析来监控和管理流量、用户访问和数据泄漏是您可以采取的另一项措施。Mirai 僵尸网络就是攻击者利用不安全连接设备的例子之一。
如何缓解机器人攻击
有时,即使是您最好的预防措施也可以被僵尸网络攻击所攻克,而当您在网络中检测到它们时为时已晚。在这种情况下,最好的办法是减轻此类攻击的影响。这意味着减少将造成的损害。
- 禁用中央服务器
如果确定了中央资源或服务器,则可以禁用在命令和控制模型中设计的僵尸网络。可以把它想象成切断整个僵尸网络的操作大脑。
- 运行防病毒软件或重置设备
对于受到攻击的个人计算机,目标应该是重新获得控制权。这可以通过运行防病毒软件、重新安装系统软件或从头开始重新格式化系统来完成。对于物联网设备,您必须刷新固件,完成出厂重置以减轻僵尸网络攻击。
