僵尸網絡常見攻擊方式盤點，預防與阻止最關鍵

| 本文共 2359 字，閱讀預計6分鐘 |

過去的2021 Q3是僵尸網絡攻擊再度創造歷史的一季度。

Cloudflare的DDoS攻擊趨勢報告指出，僵尸網絡Mēris對其保護的企業進行了每秒1720萬次的虛假請求攻擊，俄羅斯最大的搜索引擎Yandex每秒遭到2180萬次攻擊請求。DDoS攻擊一直都是僵尸網絡攻擊的形式之一，而隨著攻擊者技術的迭代，僵尸網絡的危害逐漸不止于DDoS。

本期微步薦讀盤點了僵尸網絡的常見攻擊、預防與阻止方法，希望對讀者有所啟發。

僵尸網絡攻擊危害有多大

僵尸網絡攻擊是由遠程控制的受惡意軟件感染的設備，進行的大規模網絡攻擊。它能夠將受感染設備變成僵尸網絡控制的主機。與在單個機器或系統中自我復制的惡意軟件不同，僵尸網絡產生的威脅更大，因為它們受背后的攻擊者控制在同一時間大批量進行惡意行為，好比烏央烏央的僵尸牧群。

2010 年，Kneber僵尸網絡控制了全球2500家知名企業和政府機構的75000臺電腦，此次攻擊共竊取了超過68000個登錄憑據和1972個數字證書。而根據今年Cloudflare披露的數據顯示，在一次DDoS攻擊中，攻擊者在125個國家和地區發動了20000臺“肉雞”。感染量巨大，讓僵尸網絡攻擊成為了一種極其可怕的威脅。

此外，由于僵尸網絡攻擊能夠成倍放大或迅速調整，造成極大的破壞，所以此類攻擊相比其他惡意攻擊更為復雜。通過僵尸網絡傳播的惡意軟件通常包含網絡通信功能，能夠允許攻擊者通過龐大的受感染機器網絡，路由與其他威脅參與者的通信。利用僵尸網絡，攻擊者足以破壞系統，分發惡意軟件，“拉更多的設備下水”，并且通常用于大型破壞或開辟新的入口，進而發起第二次攻擊。

常見僵尸網絡攻擊類型

? 暴力破解

當攻擊者不知道目標設備密碼時，就會通過快速、重復的密碼猜測技術進行破解，因此這種攻擊方式也被稱為暴力猜解。在暴力破解攻擊中，惡意軟件直接與受影響的服務交互，獲得密碼嘗試的實時反饋。另外，暴力破解攻擊還會利用已泄露的憑據或個人身份信息來嘗試破解密碼。

? 分布式拒絕服務（DDoS）攻擊

DDoS攻擊是一種非常常見的僵尸網絡攻擊。僵尸網絡中每個節點都高頻反復發送無意義的流量集中攻擊一個服務，使其崩潰或堵塞。2016年，Mirai僵尸網絡就是分兩個階段，使得域名服務提供商Dyn癱瘓，并導致部分地區Twitter、Soundcloud等主要客戶端網站性能下降和宕機。

? 垃圾郵件與網絡釣魚

除了DDoS攻擊，僵尸網絡也會利用郵件進行釣魚活動，誘騙員工分享敏感信息或登錄憑證。攻擊者感染設備后，會向設備聯系人發送釣魚信息，進一步在互聯網上傳播垃圾郵件，感染更多設備，從而擴大僵尸網絡規模。

? “磚化”攻擊

攻擊者通過多個階段發動機器人對設備進行“磚化”攻擊。所謂設備磚化，就是當一臺設備被惡意軟件感染時，惡意軟件會刪除設備內容（通常是主要攻擊的證據），使得設備停止工作，無法使用，俗稱“變磚”。

如何在僵尸網絡攻擊發生前預防

越來越多的設備連接在一起，無形中提高了感染僵尸網絡的概率。全球有超過310億臺活躍的物聯網設備，而任何連接到互聯網的設備都可以被感染為“肉雞”。所以，要想應對此類攻擊，就得從預防開始。預防思路上，可以從以下幾個方面著手：

減少攻擊面。任何連接到互聯網的設備都存在風險。越來越多不安全的物聯網設備，提供了大量隨時可訪問的入口，大大增加了攻擊面。而配置錯誤、配置協議安全性不足以及近兩年來遠程訪問的增加，是攻擊面暴露增加的另外幾大因素。企業可從業務資產梳理、數據資產監控、對外開放后臺、弱密碼、API安全、文件傳輸角度出發，做好資產梳暴露面管理。

增強對網絡釣魚與社工的防范。網絡釣魚和社會工程仍是獲取系統和設備訪問權限的主要方法，在IBM與 Ponemon Institute聯合發布的《2021年數據泄露成本》報告中，網絡釣魚是給企業造成損失影響第二大的初始攻擊方式。應對這種現狀，企業需保證基本的網絡安全操作，同時為各級員工提供持續的網絡安全意識培訓。例如，只有在確定新設備安全設置滿足企業安全基線標準的情況下，才能將新設備添加到網絡。

主動關注僵尸網絡。主動關注僵尸網絡動態，最重要的是確保系統和設備軟件最新，尤其需要監控使用較少的設備。供應商一旦發布更新，建議立即應用，保證設備獲取到最新的安全更新。

做好IoT物聯網配置管理。更改默認設備的登錄憑證，淘汰或者移除網絡中舊的、未使用的設備，從而減少攻擊媒介。同時，只允許合適的主機設備進行訪問，也可預防僵尸網絡攻擊。而將物聯網設備與其他關鍵系統進行隔離，也有助于減輕僵尸網絡攻擊造成的影響。另外，針對設備啟用多因素身份驗證，限制可訪問用戶數量，也是一種有效的方法。

增強對網絡操作的可見性。通過網絡監控與分析工具，能夠對設備及流量模式進行更深入的了解。如有需要，部署人工智能網絡監控，可確定基線使用情況及對異常情況的監控，有助于對攻擊初始階段進行檢測，讓安全團隊及時做出反饋。

如何阻止僵尸網絡攻擊

如果遭遇僵尸網絡攻擊，想要阻止此類攻擊，就需要重新獲得對受感染設備的控制。一方面，可以通過禁止對命令與控制服務器（C2）的訪問，即可停止“肉雞”的回連通信，阻止其執行攻擊行為。

另一種切斷“肉雞”網絡連接的方法，就是根據需要重新格式化或重新安裝系統軟件。物聯網設備可能需要重新安裝設備固件（完全恢復出廠設置）才能恢復正常功能并移除惡意軟件。但如果想要完全關閉大型僵尸網絡通常需要執法單位進行。

最后，對于僵尸網絡攻擊，早期檢測才是關鍵。通過部署有效的安全工具，則可以實現對僵尸網絡更好的檢測。微步在線流量側產品TDP，終端側OneEDR、辦公網防護側OneDNS、免費蜜罐HFish均可針對僵尸網絡提供分析與檢測，同時TIP與X社區可提供僵尸網絡威脅情報，幫助企業提前發現僵尸網絡，將威脅扼殺在搖籃之中。 

參考來源：securityintelligence