從誕生到鼎盛：扒扒殭屍網路的暗黑體制

01-28

在物聯網即將到來的時代，似乎一切都是連接在一起的。烤麵包機，嬰兒監控，甚至咖啡機都將連接上網。對於成年人來說，這些設備可以讓你的生活更輕鬆，但是，我不得不提醒一下—方便你的同時也會讓網路犯罪分子的入侵更輕鬆。

想像一下，動畫世界裡一個孩子被玩具所包圍著，玩耍著，突然間他就被和多其他孩子一起都被惡魔偷走了。每一個在地板上整齊排列的小玩具都有一個小主人，但是他們卻都沒有發現甚至可能沒有注意到他們的玩具被惡魔控制了，而這將使得世界上所有的孩子都可能遭受危險。

不過你完全不需要害怕，因為有明確的標準判定你的電腦是否已經加入了互聯網的殭屍行列。在今天的文章中，我們將解釋什麼是殭屍網路，殭屍網路是如何進行犯罪行為的，以及如何發現我們的設備控制在botmasters手中。

什麼是殭屍網路？

為了解釋這一點，首先讓我們看一下bot是什麼。

bot由一種特洛伊木馬感染所造成的，這種惡意軟體隱藏在你的操作系統中，等待著由被稱為botmaster或bot herder的犯罪者的命令以及控制伺服器的指令。bot可以代表其主人執行各種自動化任務，例如發送釣魚詐騙電子郵件或運行鍵盤記錄器來收集信用卡詳細信息。所有受到這種非法活動的網路犯罪分子安全地位於互聯網上的某個地方。

殭屍網路可以控制成千上萬台的設備，這意味著只要這個雪球不停的滾動，網路犯罪分子的危害能力就會不斷的擴大。他們不是從一台電腦發送100封垃圾郵件，而是用20萬台電腦發送10封郵件。

當然，bot並不總是電腦。任何互聯網設備都能被感染，閉路電視、攝像機都曾出乎意料地被劫持過。一個受感染的設備是bot，而這些bot的集合就形成了殭屍網路。

殭屍網路如何工作？

像任何惡意軟體感染一樣，bot感染有特定的階段，進入系統，與botmaster進行通信並執行任務。對他們的最好解釋如下：

感染

botmaster發送惡意軟體來感染計算機。這些可以通過驅動下載，可疑電子郵件附件或社交媒體帖子中的鏈接進入您的計算機。bot惡意軟體將利用您軟體中的漏洞，通過您過時的插件或過時的操作系統尋找後門訪問。然後，它就在您的系統中生根了。

聯繫

在您的系統中，惡意軟體將使用互聯網與命令和控制伺服器（C2）進行聯繫。您的計算機將在此階段保持閑置，bot休眠，除了定期檢查botmaster的指示外。由於系統的影響如此之小，您卻完全不了解這一切。

控制

殭屍網路作為一個整體可能會在等待執行任務時休息一段時間。一旦botmaster有一個殭屍網路的目標，他/她就會通過命令和控制伺服器向bots發送指令。在這個階段，殭屍網路引導程序喚醒並開始執行惡意活動，例如發送垃圾郵件或參與DDoS攻擊。

滾雪球

同時，botmaster將專註於招募越來越多的電腦來擴展殭屍網路。由於這些電腦似乎沒有做任何事情，殭屍網路可能會包含成千上萬的殭屍電腦，而不會引起任何懷疑。

殭屍網路主要用途

殭屍網路作為非法活動的代理伺服器，不會暴露犯罪者。非法活動超過數千個設備的傳播隱藏了犯罪的根源，同時為網路犯罪分子提供了幾乎無限的計算能力。這可以用來：

1.提交廣告欺詐。可以利用數千台電腦重複點擊廣告，為利用廣告點擊賺錢的欺詐者提供充足的利潤。
2.下載並分發非法材料，如兒童色情內容，或一般垃圾郵件人在線。公司將付出巨額的資金，儘可能廣泛地傳播廣告。租用殭屍網路或僱用一個可以訪問的業務是實現此目的的最簡單的方法。
3.挖掘比特幣可以通過將工作量分散在數千機器人上來使其變得更富有。
4.竊取您的私人數據，包括通過使用鍵盤記錄器來竊取密碼和信用卡信息。
5.提交殭屍網路DDoS攻擊和重載，弄崩潰一個在線服務，如Twitter或Spotify。
6.發送垃圾郵件，以騙取新的受害者的信用卡信息和私人信息。
7.通過電子郵件附件將ransomware傳播給新的受害者。
8.每個計算機都可以算作一個獨一無二的投票，以殭屍網路進行投票欺詐可以極大地影響結果。

9.強力攻擊企業伺服器，找出一個密碼，並訪問一個主要的業務網路。

你可能會認為這與你無關，你的電腦絕不可能是這些里的幾千之一。但是，你知道宙斯殭屍網路是由美國的360萬機器人組成嗎？目前世界上有四分之一的人口每月訪問Facebook，這是Zbot（Zeus）和其他惡意軟體的受歡迎的感染源。您的設備中至少有一個可能與其中一個機器惡意軟體系統有可能接觸。

請記住，這不僅影響您的計算機。所有互聯網設備都是易受攻擊像之前那次攻擊一樣，一系列智能烤麵包機，DVR和其他網路設備打破了互聯網，奪走了亞馬遜，紐約時報，Netflix以及我們生活中的許多其他服務。

這是一個特別可怕的想法，完整的初學者可以在不到15分鐘內在自己的家中舒適地創建一個殭屍網路。想像一下，現如今的黑客們，無限資源可以做些什麼呢？這裡面甚至會包括您的冰箱或家用電腦。

這會影響每個人。如果你的電腦進行非法活動，不知道顯然不能作為借口。甚至如果非法行為來自您的計算機，您是需要負責任的。

值得注意的殭屍網路攻擊

攻擊者的主要優點之一是使用殭屍網路來隱藏其身份。這樣可以實現較大規模的攻擊，對botmaster的影響最小。以下是一些值得注意的最近的例子：

Mirai殭屍網路

Mirai的名字來自日語，意思是「未來」。相信是來自一個名叫未來Nikki的動漫系列。Mirai，通過不斷掃描互聯網，獲取物聯網（IoT）設備的 IP地址。掃描時會識別易受攻擊的小工具並登錄到其中。一旦進入，它就會被惡意軟體感染。

就像計算機上的機器人一樣，Mirai的遠程惡意軟體在系統影響很小的設備上運行。Mirai的殭屍網路近來被用於一些最大規模的DDoS攻擊，其中包括：

在2016年9月襲擊的安全博客 Krebs on Security.。
對法國網路運營商OVH的攻擊也是利用Mirai的殭屍網路。

2016年10月的攻擊，DNS服務提供商Dyn成為其目標。這次殭屍網路攻擊有具有非常大的影響，它使Twitter，Amazon，Netflix，AirBnB和Reddit離線了。並且賴比瑞亞的整個互聯網基礎設施也成為了其攻擊目標。
Mirai已經成為迄今為止記錄的最大的攻擊，並且其仍在繼續向殭屍網路部隊感染設備。

Hajime殭屍網路

Hajime殭屍網路在2015年10月由Rapidity Networks發現，Hajime試圖儘可能多地尋找機器人。留下的註銷聲明聲稱，Hajime的唯一目標是在Mirai或任何其他botherder可以訪問之前保護IoT設備。然而，一些安全專家質疑Hajime是否真的是一個白帽子的操作，聲稱雖然其關閉了Mirai的大門，但卻打開了自己的。

Hajime已經控制了超過30萬個受感染設備，主要是DVR，路由器和互聯網連接的攝像機，但目前並不用於任何惡意活動。我個人比較關心的是，如果這個殭屍網路被劫持了，那麼誰知道可以被用來做什麼。

宙斯/ Zbot殭屍網路

宙斯與Mirai的傳播方式相同，多年來一直這樣做。並且它是竊取銀行信息的首選木馬，它通過瀏覽器中的鍵盤記錄器攻擊工作，接收所有的網路銀行和信用卡詳細信息。它也被用來欺騙每天的PC用戶認為他們的計算機感染了一些其他類型的病毒通過技術支持詐騙彈出窗口。

在其活動的峰值時間段，宙斯危及了美國銀行，NASA，ABC，思科和亞馬遜。在Mirai之前，這是最大的殭屍網路，它並不是執行DDoS攻擊，而是傳播了CryptoLocker Ransomware。

你知道一旦感染了bot惡意軟體，你可以永遠感染嗎？

如果對您的計算機的影響是如此難以察覺，您怎麼知道這個惡意軟體已經紮根於您的系統？別擔心，還是有一些明顯的跡象可以發現的。

殭屍網路感染癥狀

系統速度突然減慢

如果您的設備突然降低到殭屍速度，可能是您的系統太忙，才能執行攻擊者發出的命令來完成您的常規任務。看看你的任務管理器，看看發生了什麼。如果您看不到任何解釋系統滯後的過程，您可能需要更深入一些—檢查在後台運行的內容，以及是否在系統上託管不需要的數據。

不明原因的系統卷更改

同樣，請檢查您的硬碟空間。你沒有理由突然失去數量嗎？這可能是因為一個隱藏的主機正在使用這個空間並隱藏自身。檢查硬碟驅動器有三個非常簡單的步驟：

1.打開文件資源管理器您可以使用鍵盤快捷鍵，Windows鍵+ E或點擊任務欄中的文件夾圖標。
2.從左側窗口點擊或單擊此PC。
3.你可以在Windows（C :)驅動器下看到硬碟上的可用空間量。

突然的網頁瀏覽器或電子郵件問題

你的網路瀏覽器是否經常無緣無故地崩潰？您是否收到首先沒有發送的退回郵件？這些都是你的計算機被用於你不知道的目的的所有可能的跡象。

如何防止感染

防止殭屍網路惡意軟體就像防止任何其他類型的惡意軟體，並且因為在系統中很難刪除，所以預防是你唯一真正要做的。

對於PC

定期軟體更新至關重要。確保將你的操作系統和應用程序保持最新，作為常規電腦清潔的一部分。

點擊一些郵件之前想一想。不要從你不認可的發件人（或發件人您認可但沒有要求的附件）打開郵件附件。同樣，請注意任何電子郵件，要求您點擊鏈接。通過網路釣魚欺詐以及惡意軟體的典型方式來不斷的學習教育提高自己的意識。

使用優質的反惡意軟體套件保持拒絕0day威脅。

對於其他互聯網設備

更改默認密碼。我們收到的許多產品都設置了默認密碼。這些包括WiFi路由器，如果您沒有設置唯一的密碼，可以非常快速地訪問。

關閉您的設備的遠程訪問，以免他人未經授權訪問。

在連接到互聯網之前研究新產品。製造商可能已經有安全漏洞。在連接互聯網之前對所有修補程序進行修復。

本文翻譯自：Botnets: Dawn of the connected dead ，如若轉載，請註明來源於嘶吼：t從誕生到鼎盛：扒扒殭屍網路的暗黑體制更多內容請關注「嘶吼專業版」——Pro4hou