什么是僵尸网络攻击？安全专业人员指南

什么是僵尸网络攻击，如何阻止?僵尸网络(源自“机器人网络”)是一大群受恶意软件感染的互联网连接设备和由单个操作员控制的计算机。攻击者使用这些受感染的设备发起大规模攻击，以破坏服务、窃取凭据并未经授权访问关键系统。僵尸网络命令和控制模型允许攻击者接管这些设备的操作以远程控制它们。僵尸网络的优势在于包含的受感染机器的数量。攻击者可以远程控制僵尸网络并从它们那里接收软件更新，使用这些更新快速改变他们的行为。

什么是僵尸网络攻击?

僵尸网络攻击是由远程控制的受恶意软件感染的设备进行的大规模网络攻击。将受感染的设备变成僵尸网络控制器的“僵尸机器人”。与在单个机器或系统中自我复制的其他恶意软件不同，僵尸网络构成了更大的威胁，因为其让威胁参与者同时执行大量操作。僵尸网络攻击类似于让威胁行为者在网络中工作，而不是自我复制的恶意软件。

它们正变得比其他恶意软件攻击类型更加复杂，因为可以按比例放大或动态更改以造成更大的破坏。通过僵尸网络传播的恶意软件通常包括网络通信功能，允许攻击者使用僵尸网络通过庞大的受感染机器网络路由与其他威胁参与者的通信。

攻击者使用僵尸网络来破坏系统、分发恶意软件并招募(感染)新设备。僵尸网络攻击可能主要是为了破坏或开辟道路以发起二次攻击。

最常见的僵尸网络攻击类型有哪些?

1. 暴力破解攻击

当攻击者不知道目标密码时，会选择使用暴力攻击。这种攻击方法使用快速、重复的密码猜测技术。在暴力攻击期间，恶意软件直接与受影响的服务交互，以获取有关密码尝试的实时反馈。暴力攻击也可能利用泄露的凭据或个人身份信息尝试密码。

2. 分布式拒绝服务 (DDoS) 攻击

僵尸网络 DDoS 攻击是一种非常常见的僵尸网络攻击。在这种情况下，DDoS 会用网络流量淹没服务，使其崩溃并中断服务。2016年，Mirai僵尸网络分两个阶段对域名服务商Dyn进行了攻击，导致部分地区Twitter、Soundcloud等主要客户网站性能下降或中断。

3. 垃圾邮件和网络钓鱼

攻击者使用垃圾邮件进行网络钓鱼活动，旨在诱骗员工共享敏感信息或登录凭据。网络钓鱼还用于访问更多设备以发展僵尸网络。

4. 设备变砖

攻击者在多个阶段启动机器人进行设备砖砌攻击。当设备感染了删除其内容的恶意软件时，就会发生变砖，通常是为了删除主要攻击的证据。变砖会导致设备停止工作，使其无法使用。

僵尸网络攻击的数量是否有优势?

僵尸网络之所以如此重要，是因为它们大量部署。但是，僵尸网络中的机器人总数并不能决定它可以造成的损害程度。

尽管如此，DDoS 僵尸网络攻击仍在上升。2010 年，Kneber 僵尸网络控制了来自知名公司和政府机构的 75,000 台机器。僵尸网络攻击窃取了超过 68,000 个被盗登录凭据和 1,972 个数字证书。最近的僵尸网络攻击使用较少的机器，并且倾向于专注于发起 DDoS 攻击。2021 年，Cloudflare 挫败了最大的 DDoS 僵尸网络攻击，攻击者在 125 个国家/地区发起了 20,000 个机器人。

恶意软件即服务是另一种与僵尸网络攻击相关的流行工具。攻击者可以使用租用的僵尸网络进行这些攻击。任何可以自动化的攻击类型都有可能成为可转售的僵尸网络服务。

为什么会发生僵尸网络攻击?

越来越多的连接设备支持更多的僵尸网络攻击。毕竟，物联网设备无处不在。全球有超过310 亿台物联网设备活跃，包括智能家居和企业设备。消费物联网设备在家中用于控制电器、灯、门锁、相机、恒温器、智能插头、数字助理等。医疗保健和关键基础设施也有自己的连接设备套件。任何连接到互联网的设备都可以被招募为僵尸机器人。防御对这些的攻击从预防开始。

毕竟，任何连接到互联网的设备都存在风险。更多不安全的物联网设备通过提供对大量设备的随时访问来扩大攻击面。

物联网设备的错误配置和糟糕的安全配置协议导致僵尸网络日益流行。员工从个人设备和家庭网络远程访问公司网络的增加也是一个促成因素。

如何在僵尸网络攻击发生之前防御它?

专家预测，物联网设备的采用将随着时间的推移而增加，到 2023 年，全球联网设备的总数将达到4300 万。当今市场上种类繁多的设备已经对设备管理和监控提出了挑战。随着连接设备总数的增加，保护的复杂性也在增加。

网络钓鱼和社会工程仍然是获取系统和设备访问权限的主要方法。在2021费用数据泄露的报告发现网络钓鱼是成本第二昂贵的方法。

为防止这种情况发生，请采用网络安全最佳实践，并为各级员工提供持续的网络安全意识培训。只有在确定新设备的安全设置满足组织的最低标准后，才能将新设备添加到网络。

僵尸网络攻击预防需要定期主动关注。首先，确保系统和设备软件是最新的。特别是，监视较少使用的设备以获取安全更新。开发人员发布这些更新后立即应用这些更新。

IoT 设备配置也很重要。始终更改默认设备登录凭据。从网络中淘汰(移除)旧的、未使用的设备也会将它们作为攻击媒介移除。

还可以通过限制对合适主机设备的访问来防止僵尸网络攻击。监控和限制对网络上物联网设备的访问。将物联网设备与其他关键系统隔离或隔离也有助于减轻攻击的影响。在设备上启用多重身份验证并限制可以访问它们的用户数量。

获得更好的网络运营可见性也会有所不同。网络监控和分析工具可以深入了解设备和流量模式。如果需要，部署人工智能网络监控以确定基线使用情况并监控异常情况。这有助于检测攻击的开始并允许安全团队做出响应。

如何阻止僵尸网络攻击?

阻止僵尸网络攻击始于重新获得对受感染设备的控制。可以通过禁用对中央服务器的访问来阻止在命令和控制模型上运行的僵尸网络攻击，中央服务器是受恶意软件感染的群体的主要资源。

相关地，另一种从网络中切断机器人的方法是切断与控制服务器的连接。扫描受影响设备中的恶意软件，并根据需要重新格式化或重新安装系统软件。物联网设备可能需要全新安装设备固件(完全恢复出厂设置)才能恢复正常功能并移除恶意软件。

完全关闭大型僵尸网络可能是一个挑战。在 Trickbot 的情况下，多个命令和控制中央服务器可以相互通信。这使他们能够在防御者使服务器脱机时快速启动新实例。

对于僵尸网络攻击，早期检测是关键

复杂僵尸网络攻击的演变继续对系统和网络造成严重破坏。安全性有问题的新物联网设备只会增加整体攻击面。预防和早期检测仍然是防止系统和设备严重损坏的关键。