僵尸网络:它们是什么以及它们如何运作

已发表: 2023-02-21

作为受感染计算机的大型网络,僵尸网络已经存在多年。 创建可用于执行大规模网络攻击和传播恶意软件的受感染机器的整个网络的想法无疑改变了我们今天所知道的互联网。

僵尸网络是绝大多数网络攻击的驱动力,不仅针对 WordPress 网站和服务器,而且针对整个网络和计算机系统。 毫无疑问,现代网络安全世界围绕机器人网络展开,机器人网络是统治暗网的整个经济的核心。

生态系统发展如此之快,以至于僵尸网络的存在在网络安全行业创造了一种新趋势,称为攻击即服务或僵尸网络即服务。 僵尸网络创建者会将其控制下的受感染机器的计算能力和资源出租给第三方,以发动各种网络攻击。

WordPress 网站成为机器人驱动攻击的受害者,并比您想象的更频繁地被卷入僵尸网络。 事实上,在绝大多数情况下,WordPress 网站被黑客攻击后,它就会成为其他受感染网站和服务器网络的一部分。 僵尸网络恶意软件在系统中处于休眠状态,直到僵尸主机决定使用您的网站发起攻击。 除了恶意软件感染带来的明显负面影响外,成为僵尸网络的一部分还会使您的网站变得极其缓慢,因为黑客现在将使用您的服务器资源来发起新的攻击。

更糟糕的是,离开僵尸网络绝非易事。 攻击者会确保留下精心设计的后门,以便尽可能长时间地利用您的 WordPress 网站。 这就是为什么了解僵尸网络的确切工作原理以及如何保护您的 WordPress 网站势在必行的原因。

在这本全面的僵尸网络指南中,我们深入探讨了僵尸网络的历史和架构,揭开了现代、高度分布式、由僵尸驱动的网络攻击背后的奥秘。 您将了解当今存在的一些最著名的僵尸网络,以及如何保护您自己和您的企业免受它们带来的破坏。

僵尸网络

什么是僵尸网络?

僵尸网络代表机器人网络,是感染了相同类型恶意软件的受感染计算机的分布式系统,允许攻击者使用统一的计算资源池发起大规模网络攻击。 除了进行网络攻击外,僵尸网络所有者还可以使用受网络感染的计算机执行其他活动,例如挖掘加密货币或增加广告或视频的观看次数。

运行僵尸网络是非法的,许多已知的僵尸网络最终被关闭,其所有者被捕。 尽管通常很难确定特定僵尸网络的所有者,但这并非不可能。

僵尸网络有多大,它们由哪些设备组成?

就网络规模而言,僵尸网络差异很大。 形成僵尸网络的受感染实体类型也是如此。 可能只有几个受感染的网站,也可能有数十万个受感染的计算系统。 这取决于运行僵尸网络的攻击者最常针对的系统。

以下是构成僵尸网络的主要设备类型:

  • 个人电脑和移动设备。 运行不同操作系统的台式电脑、笔记本电脑、智能手机和平板电脑。
  • 物联网 (IoT) 设备。 智能家居设备、健身追踪器和智能手表。
  • 网络核心设备。 分组交换机,例如路由器。
  • 服务器和个人网站

大多数时候,黑客以个人计算机、移动设备和服务器为目标,用僵尸网络恶意软件感染它们并将它们连接到现有的机器人网络。 但是,WordPress 网站也可以是形成僵尸网络的实体。 这样,您的网站内容就不是黑客的目标,但您网站的服务器资源在僵尸网络中却极为宝贵。 这些情况之间的主要区别在于攻击者对受感染系统的控制级别。

如果出于向僵尸网络添加资源的目的而入侵 WordPress 网站,在大多数情况下,攻击者将无法获得对服务器的根或管理员级别的访问权限。 这意味着它们将受限于服务器资源的数量和受感染网站的系统访问级别,或者更确切地说,拥有该网站的系统用户。

僵尸网络是如何创建的?

僵尸网络是通过用恶意软件感染计算机系统而创建的,在大多数情况下,恶意软件以用户可能无意下载的特洛伊木马病毒的形式出现,或者黑客在已经受损的服务器或网站上安装恶意负载。 使用这种特殊类型的恶意软件(也称为僵尸网络),黑客可以保持对受感染受害者系统的控制,并使用它通过网络发送指令来执行欺诈活动。

安装后,僵尸网络恶意软件会使受感染的系统进一步传播,感染更多将连接到欺诈网络的计算机。 僵尸网络依赖于不断扩展的主要原因之一是难以维持对受感染系统的访问。 僵尸网络创建的后门可以随时被发现和删除,这意味着端点将与僵尸网络断开连接,不再受黑客控制。

僵尸网络恶意软件的常见传播方式

僵尸网络恶意软件究竟是如何分布的? 僵尸网络恶意软件可以通过使用广泛的技术来传播,这些技术通常包括社会工程、利用漏洞或执行暴力攻击以获得对系统的未授权访问以上传恶意负载。

个人电脑和移动设备

令人惊讶的是,在控制个人计算机和移动设备时,发送恶意电子邮件附件是黑客使用的首要方法。 Excel 电子表格和 Microsoft Word 文档等文件以及文件存档是僵尸网络恶意软件最常见的传播方式。 据信,最臭名昭著的僵尸网络恶意软件之一 Emotet 是通过恶意电子邮件附件进行分发的。

然而,即使受害者下载了附件,也不足以在他们的设备上激活僵尸网络恶意软件。 用户必须确认某些看似无害的活动,例如运行宏或启用文件编辑,这将触发感染并授予攻击者对目标计算机的完整系统访问权限,包括存储在其上的所有数据。

除了这种方法,僵尸网络恶意软件还可以使用跨站点脚本攻击进行分发,或者伪装成邀请用户安装的合法软件。 破坏目标用户感兴趣的网站以感染他们的个人设备通常被称为水坑攻击,并被僵尸网络所有者广泛使用。

服务器和网站

服务器和网站通常不会像个人计算机和移动设备那样感染僵尸网络恶意软件。 攻击者通常利用漏洞获得对受害服务器的系统或网站级访问权限,然后上传恶意软件,然后允许他们建立对其的控制。

被攻击者破坏的网站将被用来通过向它们注入恶意代码来进一步分发僵尸网络恶意软件。 访问受感染网站的用户将在他们的设备上下载并激活恶意软件,这些设备将成为同一机器人网络的一部分。 确保您的站点受到像 iThemes Security 这样的安全解决方案的充分保护,不仅可以帮助您的站点抵御这些攻击,还可以帮助您的站点不感染其他站点,从而阻止僵尸网络的踪迹。

客户端-服务器和点对点:僵尸网络的架构

僵尸网络通常建立在两种主要网络应用模型之一之上:客户端-服务器和对等 (P2P) 架构。 客户端-服务器模型仍然是最流行的架构,不仅是僵尸网络,而且大多数 Web 应用程序都在利用它。

客户端-服务器架构用于创建集中式模型,攻击者的机器(也称为机器人牧民)向僵尸或机器人发送指令,形成僵尸网络。 反过来,僵尸计算机不会直接相互通信。 大型僵尸网络可以由多个僵尸牧民(代理)驱动,以帮助简化管理过程。

在某些情况下,僵尸网络可以使用采用点对点通信的分散模型。 分散的僵尸网络可以将指令从一台僵尸计算机传递到另一台僵尸计算机,随后将命令传播到整个僵尸网络。 P2P 架构使得识别牧民和揭露机器人主人的身份变得更加复杂。

随着 bot herder 启动与僵尸计算机的连接,受感染的设备通常会定期向 bot master 发送请求以检查新指令。 大多数僵尸网络恶意软件都配置为长时间保持不活动状态以逃避检测。

作为僵尸网络核心的命令和控制 (C2) 服务器

bot herder 代表 bot 所有者的计算机,用于向僵尸机器发出命令,被称为命令和控制服务器,或 C2。 命令和控制服务器位于每个僵尸网络的核心,允许攻击者使用客户端-服务器或对等网络应用程序架构与受感染的系统进行通信。

一旦将新的僵尸计算机添加到僵尸网络,命令和控制中心就会强制它为攻击者创建一个通信通道,以便在受感染的设备上建立动手键盘。 这是通过远程访问工具实现的。

C2C 服务器通常使用受信任且很少受监控的流量(例如 DNS)来向受感染的主机发送指令。 为了避免被执法部门发现,僵尸主机经常更改命令和控制服务器的位置,并且经常采用域生成算法 (DGA) 等恶意技术。

创建的前 3 个最大和最受欢迎的僵尸网络

僵尸网络被认为是在 2000 年代初期出现的,并且从那以后一直在发展。 2001 年发现了第一个已知的僵尸网络。创建了一个庞大的机器人网络来发起垃圾邮件活动,这些垃圾邮件占当时发送的所有未经请求的电子邮件的 25% 左右。

从那时起,发现并拆除了许多大型僵尸网络。 然而,一些包含数十万甚至数百万台受感染计算机的机器人网络如今仍然存在,并被积极用于执行大规模网络攻击。

当今存在的前三个最大和最受欢迎的僵尸网络是 Mantis、Srizbi 和 Emotet 僵尸网络。

螳螂僵尸网络

2022 年,CloudFlare 报告称其网络成为大规模 DDoS 攻击的目标,每秒有 2600 万个 Web 请求攻击基础设施。 CloudFlare 将其称为他们曾经缓解过的最大的 DDos 攻击,并透露 Mantis 僵尸网络仅使用了大约 5000 个机器人,这只是僵尸网络总计算能力的一小部分。

更进一步,所有请求都通过 HTTPS 发送,就 DDoS 攻击而言,这要昂贵得多且难以实现。 这使得 Mantis 僵尸网络成为当前运行的最强大的僵尸网络之一。

Srizbi 僵尸网络

Srizbi 僵尸网络已经存在了十多年,据信发送的垃圾邮件占所有其他主要僵尸网络发送的垃圾邮件总数的一半以上。 据估计,该僵尸网络控制着大约 50 万个受感染端点,并通过分发所谓的 Srizbi 特洛伊木马迅速扩大。

Emotet 僵尸网络

Emotet 最初是一个旨在从受感染计算机窃取信用卡信息的银行木马,但它已迅速发展成为一个庞大的僵尸网络,在全球范围内拥有超过 50 万个受损端点。 已知 Emotet 恶意软件通过从受感染计算机发送的恶意电子邮件附件进行分发。 Emotet 是暗网上最流行的僵尸网络之一,可以出租给各种被黑组织,我们将在本文中进一步详细讨论。

僵尸网络执行的 5 种常见攻击类型

僵尸网络是可用于执行各种欺诈活动的多功能工具。 除了使用受感染计算机网络攻击其他网络端点和传播恶意软件外,机器人所有者还可以从僵尸设备中窃取敏感信息。 这使得僵尸网络成为网络犯罪的核心。

以下是僵尸网络用于的前五种网络攻击类型:

  • 分布式拒绝服务 (DDoS) 和暴力攻击。
  • 网络钓鱼攻击。
  • 垃圾邮件活动。
  • 恶意软件分发。
  • 数据盗窃和勒索软件攻击。

DDoS 和蛮力攻击

分布式拒绝服务和暴力攻击是僵尸网络最常见的网络攻击。 攻击者使用僵尸设备网络创建的计算资源池,发起大规模攻击,目标是数十万台服务器和网站,每秒发出数百万个恶意 Web 请求。

网络钓鱼

受感染的网站网络通常用于发起大规模网络钓鱼攻击。 命令和控制服务器在僵尸网络中分发一系列钓鱼页面,用于诱骗用户泄露他们的登录凭证和其他敏感信息。

垃圾邮件

发起大规模垃圾邮件活动是僵尸网络服务的首要目的之一。 僵尸网络所有者会创建一系列未经请求的电子邮件,其中包含受感染网站的链接或恶意附件,以分发恶意软件或促进网络钓鱼攻击。

恶意软件分发

恶意软件分发是确保僵尸网络能够长期生存、危害更多设备的关键。 僵尸计算机不断扫描大型网络的漏洞,随后利用它们来分发僵尸网络恶意软件。 形成僵尸网络的受感染网站和服务器用于托管恶意网页或恶意重定向,这将触发恶意软件出于相同目的下载到访问者的设备。

数据盗窃和勒索软件攻击

有时,僵尸网络所有者可以针对特定组织及其网络窃取机密信息并安装勒索软件。 然后,所获得的数据可用于勒索金钱并破坏受害公司的声誉和运营,或在暗网上出售。 为了获得对大型计算机网络的未授权访问,攻击者可以结合使用社会工程学和上述欺诈活动。

攻击即服务:僵尸网络如何在暗网上出租

僵尸网络作为一种托管犯罪服务在暗网上越来越受欢迎,可以从僵尸网络所有者那里购买或出租。 黑客无需创建新的机器人网络,而是可以访问已建立的僵尸网络的计算资源来执行欺诈活动。 这为网络安全领域带来了一个新术语——攻击即服务,它在某些方面类似于基础设施即服务 (IaaS) 的成熟概念。

如今,暗网由围绕僵尸网络和僵尸网络恶意软件的整个经济体系所控制。 除了出租或出售僵尸网络外,黑客还出售对受感染网站和服务器的访问权限,以扩展现有僵尸网络并传播僵尸网络恶意软件。

如何保护您的 WordPress 网站免于成为僵尸网络的一部分? 3 大安全建议

作为世界上最受欢迎的内容管理系统,WordPress 成为僵尸网络和机器人驱动的网络攻击的高优先级目标。 由于 WordPress 站点非常普遍,使用它们来分发僵尸网络恶意软件和进行网络攻击仍然是恶意攻击的一种有吸引力的方法。

许多 WordPress 网站因成功的机器人驱动攻击而受到损害,然后成为其背后的僵尸网络的一部分。 攻击者留下的后门极难删除,这可能会使受感染的网站在攻击者的控制下数月甚至数年。

成为僵尸网络的一部分可能会严重损害您的企业声誉,并导致巨大的经济损失,在某些情况下,还会因数据泄露而产生法律后果。 减少攻击面是确保针对常见攻击媒介提供充分保护的关键。

配置自动更新并仅安装来自可信来源的软件

攻击者不断扫描网站以寻找可利用的漏洞。 说到 WordPress,使网站受到威胁的主要安全漏洞是过时且不可靠的软件。 这包括安装的 WordPress 核心、主题和插件,以及使用的 PHP 版本。

针对 WordPress 生态系统的所有关键方面发布定期更新,快速修补所有发现的关键漏洞。 值得信赖的插件和主题开发公司确保为其产品保持高水平的安全性。

配置自动软件更新是确保 WordPress 网站安全的重要部分。 iThemes Security Pro 可以跟踪所有核心、插件和主题更新,并自动安装已发布的新版本软件。 如果您拥有多个基于 WordPress 的博客或商业网站,iThemes Sync Pro 会提供一个单一的仪表板来处理更新并跟踪您管理的所有网站的正常运行时间和 SEO 指标。

设置多重身份验证

针对 WordPress 的机器人驱动的暴力攻击具有惊人的高成功率。 获得对 WordPress 管理仪表板的访问权限后,攻击者便可以完全控制您的网站。 仅使用基于密码的身份验证意味着黑客距离成功冒充您作为合法网站所有者仅一步之遥。

密码被破解,僵尸网络进行的暴力攻击可以很容易地破解您的 WordPress 管理员帐户。 使用多重身份验证,例如 iThemes Security Pro 提供的具有生物识别身份验证的密码,可以有效消除因暴力攻击成功而接管您的管理员帐户的风险。

使用 Web 应用程序防火墙

基于云和基于主机的 Web 应用程序防火墙是抵御绝大多数针对 WordPress 网站的分布式机器人驱动网络攻击的强大第一道防线。 通过过滤掉与已知模式匹配的恶意 Web 请求,WAF 可以成功缓解拒绝服务和暴力攻击,以及 SQL 注入等数据注入攻击。

使用大量托管规则集配置强大的 Web 应用程序防火墙。 这与使用多因素身份验证相结合,将大大减少攻击面和您的 WordPress 网站成为机器人网络一部分的可能性。

让 iThemes Security Pro 保护您的 WordPress 网站

僵尸网络是互联网上发起的大多数大规模网络攻击的幕后黑手。 使用高度分布式的机器人网络,黑客执行范围广泛的欺诈活动,从拒绝服务攻击到数据窃取。 僵尸网络通过分发一种旨在完全控制受害设备的特殊类型的恶意软件,不断扩展其基础设施。

僵尸计算机与僵尸主机的设备(称为命令和控制服务器)建立组合通道,用于发送和接收进一步的指令。 为避免被起诉,僵尸网络所有者采用了一系列复杂的技术来保持匿名。

WordPress 网站是僵尸网络的头号目标。 通过定期漏洞修补、使用 Web 应用程序防火墙和配置多因素身份验证来减少攻击面是保护 WordPress 免受机器人驱动攻击的安全标准。

通过三十种保护 WordPress 网站关键区域的方法,iThemes Security Pro 可以成为您的个人安全助手。 将安全插件的强大功能与 BackupBuddy 可以帮助您构建的强大备份策略相结合,将帮助您为您的企业及其客户实现高级别的安全性。

保护和保护 WordPress 的最佳 WordPress 安全插件

WordPress 目前为超过 40% 的网站提供支持,因此它很容易成为怀有恶意的黑客的目标。 iThemes Security Pro 插件消除了 WordPress 安全性的猜测,使保护和保护您的 WordPress 网站变得容易。 这就像拥有一名全职安全专家,不断为您监控和保护您的 WordPress 网站。

获取 iThemes 安全专业版