僵尸网络是由集中式 C&C 或 P2P 控制的受感染设备网络。
它们通过木马、未修补的漏洞和默认密码传播,尤其是在 IoT.
检测异常流量、缓慢、奇怪进程和安全警报的迹象。
使用强密码、补丁、防病毒软件、防火墙和 OSI AntiBotnet 进行预防和验证。
互联网让我们的生活更加轻松,但同时也为无声威胁提供了沃土,这些威胁会在没有任何警告的情况下潜入我们的设备。 最危险的是僵尸网络受感染的计算机网络在攻击者的指挥下运行,可以使用您的计算机、手机或 路由器 而你却没有意识到。
为了避免成为该网络的一部分,关键是要了解它们是什么、它们如何运作、哪些迹象表明它们的存在以及有哪些工具可以检测和消灭它们。 在本指南中,您将找到完整的概述 关于僵尸网络的概念、其命令和控制架构、它们执行的攻击、感染迹象以及在家中和企业中保护自己的实用措施。
什么是僵尸网络?它由什么组成?
僵尸网络是 连接到互联网的设备网络 受到恶意软件攻击 这些设备由攻击者(称为“僵尸主机”或“僵尸牧民”)远程控制。每个受感染的设备都会变成“机器人”或“僵尸”,在主人不知情的情况下执行指令。
实际上,僵尸网络结合了两个元素: 招募数千或数百万台设备 (PC、手机、平板电脑、路由器、IP摄像头、电视和其他物联网设备)以及从命令和控制基础设施发出命令的个人或团体。当两者协调一致时,攻击者可以发起难以阻止的大规模攻击活动。
这些网络不是静态的: el 恶意软件 可以更新并改变其行为 实时地,允许操作员快速添加功能、逃避防御或将僵尸网络重新定位到新目标。
僵尸网络的工作原理:从招募到激活
僵尸网络的“生命”通常概括为三个主要阶段: 暴露/准备、感染和激活当攻击者发现恶意软件可以潜入的技术或人为漏洞时,一切就开始了。
在展览阶段, 安全漏洞被利用 在网站和应用程序上,或使用社会工程学手段欺骗用户。钓鱼邮件、 下载 伪装成合法软件的恶意软件或执行隐形下载的受感染网站。
在感染期间,用户 运行木马文件,访问受感染的网站 或者您的物联网设备因默认凭证或未修补的固件而暴露。恶意软件会静默安装,持续存在,并准备好命令和控制通道。
激活到达:所有机器人都已组织好, 它们连接到命令和控制(C&C)通道 接收订单。从那时起,网络就可以发送垃圾邮件、发起 DDoS、传播更多恶意软件、窃取数据或挖矿 criptomonedas以及其他目的。
命令和控制架构:集中式 vs. P2P
僵尸网络的控制可以 集中 (C&C 服务器或服务器集群发出命令)或 去中心化(P2P),其中机器人本身相互通信并传播 comandos.
LLMNR 和 IPv6:它们是什么,在公共 Wi-Fi 中存在的风险以及如何禁用它们在集中式模型中,它们有时被使用 代理服务器或子控制器 虽然这些节点可以用来隐藏僵尸网络主控者,但它们仍然是关键节点,一旦被识别并摧毁,就可能导致网络瘫痪。许多较老的僵尸网络使用 IRC,因为它简单易用且带宽消耗低。
P2P僵尸网络在整个网络中分布控制功能, 模糊操作者的身份 并使通信更具弹性。一旦攻击者到达机器人子集,他们就可以向其余机器人传播新的命令。
哪些设备可以成为僵尸网络的一部分?
几乎任何具有连接能力的设备都可以被招募: 台式电脑和 手提 (Windows,macOS, Linux)、智能手机和平板电脑、家庭和企业路由器、网络服务器、IP摄像头、智能扬声器、电视、恒温器和其他物联网设备。
物联网的兴起使攻击面成倍增加: 默认安全性较差的廉价产品、未更改的出厂密码以及缺乏自动更新使得许多物联网设备“容易受到攻击”。
如果你家里或公司网络上的某台计算机出现故障, 可能会损害其余部分 由于侧向性,并且由于后台的恶意流量而降低连接质量。
僵尸网络的攻击行为:动机和最常见的攻击
僵尸网络背后通常存在着盈利动机或破坏目的。 常见用途包括:
DDoS攻击:使服务和网站承受大量流量,直至无法访问。
垃圾邮件和网络钓鱼:大量发送欺诈性电子邮件和消息以传播恶意软件或窃取凭证。
数据盗窃:泄露个人、银行或公司信息。
广告欺诈:自动访问和点击以增加广告收入。
加密劫持:使用其他人的 CPU/GPU 进行加密货币挖掘。
出售或出租通道:为其他犯罪分子提供“僵尸网络即服务”。
暴力破解和凭证填充:对使用弱密码或重复密码的帐户进行自动攻击。
金融僵尸网络寻求 直接窃取资金或卡数据,而其他一些则用于有针对性地入侵有价值的商业环境(研发、知识产权、客户群)。
现实生活中的例子:Mirai 和 IoT 漏洞利用
Mirai 展示了物联网的潜力: 扫描互联网以查找配置错误的 Linux 设备 (路由器、IP摄像头)并招募他们发动大规模DDoS攻击。他们的受害者包括主要的DNS提供商和大型企业,流量峰值高达1 Tbps。
尽管其作者被捕, 该代码是变体的基础 例如 Satori、Masuta 或 Okiru,它们继续利用物联网设备中的漏洞和默认凭证。
感染方式:主要入口媒介
攻击者使用三种主要途径: 附件或下载内容中的木马、未修补的漏洞和不安全的配置(尤其是在物联网和路由器中)。
在第一种情况下,用户 打开恶意文档 (PDF、DOCX、木马图像)或安装来源可疑的软件。第二种情况是,漏洞利用系统或浏览器漏洞,无需交互即可执行代码。
在弱配置中,有很多 默认密码或暴露的服务,从而轻松实现远程访问。一旦进入系统,恶意软件就会建立持久性并连接到 C&C 服务器。
NVIDIA显卡易受Rowhammer攻击,其GDDR6显存受攻击你的设备可能属于僵尸网络的迹象
僵尸网络试图保持隐藏,但 留下痕迹注意以下线索:
浏览或上网速度较慢 比正常情况更严重,且无明显原因。
启动 或永久关闭,其流程需要很长时间才能完成。
性能下降 一般而言 应用 堵塞或不顺畅。
CPU、内存或电池消耗异常,即使在休息时。
未知程序和扩展 您不记得安装过。
弹出窗口、垃圾邮件和广告软件 突然间整个系统。
您的联系人会收到电子邮件或消息 您没有发送。
在企业环境中,线索如下: 非高峰时段交通、连接到不寻常的 IP、奇怪的登录尝试或重复的安全警报。
如何检测和验证:OSI/INCIBE AntiBotnet 和其他辅助工具
在西班牙, INCIBE 的互联网安全办公室 (OSI) 提供免费的反僵尸网络服务来检查您的连接是否与僵尸网络有关。
有两种方式: 通知码查询 (如果您的运营商合作并向您发送带有代码的通知,您可以在网站上输入该代码以查看详细信息)并且 网上值机 它会立即检查您的公共 IP 是否与已知的僵尸网络相连。
此外,您还可以安装 OSI AntiBotnet 扩展 适用于 Chrome 和 Firefox,它们会定期检查您的 IP 是否列在威胁日志中,并通过图标和通知提醒您。
如果你使用 安卓,该应用 柯南手机 它有助于识别恶意应用程序并审查安全设置,如果您怀疑您的手机参与了不必要的活动,它就会提供支持。
涉及危险程序:需要关注的恶意软件类型
有多个恶意软件家族为僵尸网络生态系统提供支持。 方便区分 为了更好地理解其影响:
病毒:它们替换或感染可执行文件以进行传播并造成损坏或过载。
木马:它们伪装成合法软件,并且 打开后门 用于远程控制。
蠕虫:它们通过网络进行复制,利用安全漏洞来攻击更多计算机。
勒索:加密本地和共享数据,要求支付解密密钥的费用。
广告软件和间谍软件:显示不需要的广告和 他们监视活动 从用户那里窃取数据。
僵尸网络可以组合几个部分: 要进入的木马,C&C 的模块,另一个针对垃圾邮件或 DDoS 和逃避组件来禁用防病毒软件。
自我保护措施:真正有效的习惯和技术
降低风险需要团结起来 良好实践和工具。以下是主要建议:
强大而独特的密码 在所有设备和服务上;更改默认设置,尤其是在物联网中。
避免安全性较差的物联网;优先考虑更新并提供强化选项的制造商。
更新系统、应用程序和固件 定期更新;补丁可以关闭漏洞利用的大门。
警惕附件和链接 未经请求;打开任何内容之前请检查发件人和 URL。
安装好的防病毒/反恶意软件 在所有设备(PC 和移动设备)上激活网络和电子邮件保护。
启用并配置防火墙 (系统或网络)并限制暴露的服务。
监控您的网络:设备清单、异常流量警报和连接日志。
分段和限制共享:如无必要,可防止所有计算机位于同一 VLAN 上。
学生网络安全小贴士:实用全面的指南为了在航行时更加安全, VPN 可信 它可以帮助保护隐私,尽管它不能取代上述措施或清除感染。
怀疑感染后应采取的措施:立即行动
当您检测到僵尸网络的迹象时,速度至关重要。 遵循这个基本计划:
隔离可疑设备 从网络上断开(断开以太网/Wi-Fi)以阻止传播。
使用反恶意软件解决方案进行扫描 已更新;使用 针对 rootkit 的专用工具 如果适用的话。
恢复备份 如果感染仍然存在,请验证或从干净的映像重新安装系统。
全部更新 清理(操作系统、应用程序、固件)后,更改帐户和设备的密码。
回顾 日志 和交通 识别入口向量并关闭该门。
在商业环境中,考虑 专业化的专业支持 如果事件影响多台关键计算机或服务。
针对企业的具体建议
企业网络的规模和关键性需要额外的控制。 这些做法是根本性的:
IDS/IPS 和 EDR 检测并响应端点和网络上的异常行为。
流量分析 使用 Wireshark/Scapy 和 NetFlow 工具;非高峰基准测试。
自动扫描 和消毒,以及补丁的应用(操作系统和应用程序)。
硬化:删除不必要的软件,执行端口/服务策略,并应用外围和主机防火墙。
员工继续培训 防范网络钓鱼并安全使用电子邮件/协作平台。
不要忘记定期评估你的曝光度: 渗透测试、配置审计 演习有助于衡量和提高您对僵尸网络和相关恶意软件的抵御能力。
实际检查:您的公共 IP 是否列在僵尸网络中?
如果你怀疑有异常活动, 使用 OSI/INCIBE 反僵尸网络服务 您的家庭或企业网络。通过在线检查,您可以了解您的公共 IP 地址是否与已知威胁相关。
如果您的运营商配合, 您可能会收到通知代码请在服务网站上输入此信息,获取详细信息和缓解措施说明。配合使用 AntiBotnet 浏览器扩展程序,即可进行定期监控。
请记住,正确的 IP 并不总能识别出准确的设备: 你必须检查所有设备 连接到该网络(个人电脑、手机、平板电脑、物联网)来定位源。
显然,了解僵尸网络的运作方式、学会识别其迹象并采取预防和快速响应措施可以让你比攻击者领先几步; 拥有良好的习惯、充足的工具和支持性的公共服务 就像 OSI/INCIBE 那样,您可以防止您的网络被第三方使用,并将任何数字劫持企图扼杀在萌芽状态。
相关文章:所有类型的恶意软件:分类、示例以及如何保护自己
艾萨克对字节世界和一般技术充满热情的作家。我喜欢通过写作分享我的知识,这就是我在这个博客中要做的,向您展示有关小工具、软件、硬件、技术趋势等的所有最有趣的事情。我的目标是帮助您以简单而有趣的方式畅游数字世界。