殭屍網絡:它們是什麼以及它們如何運作

已發表: 2023-02-21

作為受感染計算機的大型網絡,殭屍網絡已經存在多年。 創建可用於執行大規模網絡攻擊和傳播惡意軟件的受感染機器的整個網絡的想法無疑改變了我們今天所知道的互聯網。

殭屍網絡是絕大多數網絡攻擊的驅動力,不僅針對 WordPress 網站和服務器,而且針對整個網絡和計算機系統。 毫無疑問,現代網絡安全世界圍繞機器人網絡展開,機器人網絡是統治暗網的整個經濟的核心。

生態系統發展如此之快,以至於殭屍網絡的存在在網絡安全行業創造了一種新趨勢,稱為攻擊即服務或殭屍網絡即服務。 殭屍網絡創建者會將其控制下的受感染機器的計算能力和資源出租給第三方,以發動各種網絡攻擊。

WordPress 網站成為機器人驅動攻擊的受害者,並比您想像的更頻繁地被捲入殭屍網絡。 事實上,在絕大多數情況下,WordPress 網站被黑客攻擊後,它就會成為其他受感染網站和服務器網絡的一部分。 殭屍網絡惡意軟件在系統中處於休眠狀態,直到殭屍主機決定使用您的網站發起攻擊。 除了惡意軟件感染帶來的明顯負面影響外,成為殭屍網絡的一部分還會使您的網站變得極其緩慢,因為黑客現在將使用您的服務器資源來發起新的攻擊。

更糟糕的是,離開殭屍網絡絕非易事。 攻擊者會確​​保留下精心設計的後門,以便盡可能長時間地利用您的 WordPress 網站。 這就是為什麼了解殭屍網絡的確切工作原理以及如何保護您的 WordPress 網站勢在必行的原因。

在這本全面的殭屍網絡指南中,我們深入探討了殭屍網絡的歷史和架構,揭開了現代、高度分佈式、由殭屍驅動的網絡攻擊背後的奧秘。 您將了解當今存在的一些最著名的殭屍網絡,以及如何保護您自己和您的企業免受它們帶來的破壞。

殭屍網絡

什麼是殭屍網絡?

殭屍網絡代表機器人網絡,是感染了相同類型惡意軟件的受感染計算機的分佈式系統,允許攻擊者使用統一的計算資源池發起大規模網絡攻擊。 除了進行網絡攻擊外,殭屍網絡所有者還可以使用受網絡感染的計算機執行其他活動,例如挖掘加密貨幣或增加廣告或視頻的觀看次數。

運行殭屍網絡是非法的,許多已知的殭屍網絡最終被關閉,其所有者被捕。 儘管通常很難確定特定殭屍網絡的所有者,但這並非不可能。

殭屍網絡有多大,它們由哪些設備組成?

就網絡規模而言,殭屍網絡差異很大。 形成殭屍網絡的受感染實體類型也是如此。 可能只有幾個受感染的網站,也可能有數十萬個受感染的計算系統。 這取決於運行殭屍網絡的攻擊者最常針對的系統。

以下是構成殭屍網絡的主要設備類型:

  • 個人電腦和移動設備。 運行不同操作系統的台式電腦、筆記本電腦、智能手機和平板電腦。
  • 物聯網 (IoT) 設備。 智能家居設備、健身追踪器和智能手錶。
  • 網絡核心設備。 分組交換機,例如路由器。
  • 服務器和個人網站

大多數時候,黑客以個人計算機、移動設備和服務器為目標,用殭屍網絡惡意軟件感染它們並將它們連接到現有的機器人網絡。 但是,WordPress 網站也可以是形成殭屍網絡的實體。 這樣,您的網站內容就不是黑客的目標,但您網站的服務器資源在殭屍網絡中卻極為寶貴。 這些情況之間的主要區別在於攻擊者對受感染系統的控制級別。

如果出於向殭屍網絡添加資源的目的而入侵 WordPress 網站,在大多數情況下,攻擊者將無法獲得對服務器的根或管理員級別的訪問權限。 這意味著它們將受限於服務器資源的數量和受感染網站的系統訪問級別,或者更確切地說,擁有該網站的系統用戶。

殭屍網絡是如何創建的?

殭屍網絡是通過用惡意軟件感染計算機系統而創建的,在大多數情況下,惡意軟件以用戶可能無意下載的特洛伊木馬病毒的形式出現,或者黑客在已經受損的服務器或網站上安裝惡意負載。 使用這種特殊類型的惡意軟件(也稱為殭屍網絡),黑客可以保持對受感染受害者係統的控制,並使用它通過網絡發送指令來執行欺詐活動。

安裝後,殭屍網絡惡意軟件會使受感染的系統進一步傳播,感染更多將連接到欺詐網絡的計算機。 殭屍網絡依賴於不斷擴展的主要原因之一是難以維持對受感染系統的訪問。 殭屍網絡創建的後門可以隨時被發現和刪除,這意味著端點將與殭屍網絡斷開連接,不再受黑客控制。

殭屍網絡惡意軟件的常見傳播方式

殭屍網絡惡意軟件究竟是如何分佈的? 殭屍網絡惡意軟件可以通過使用廣泛的技術來傳播,這些技術通常包括社會工程、利用漏洞或執行暴力攻擊以獲得對系統的未授權訪問以上傳惡意負載。

個人電腦和移動設備

令人驚訝的是,在控制個人計算機和移動設備時,發送惡意電子郵件附件是黑客使用的首要方法。 Excel 電子表格和 Microsoft Word 文檔等文件以及文件存檔是殭屍網絡惡意軟件最常見的傳播方式。 據信,最臭名昭著的殭屍網絡惡意軟件之一 Emotet 是通過惡意電子郵件附件進行分發的。

然而,即使受害者下載了附件,也不足以在他們的設備上激活殭屍網絡惡意軟件。 用戶必須確認某些看似無害的活動,例如運行宏或啟用文件編輯,這將觸發感染並授予攻擊者對目標計算機的完整系統訪問權限,包括存儲在其上的所有數據。

除了這種方法,殭屍網絡惡意軟件還可以使用跨站點腳本攻擊進行分發,或者偽裝成邀請用戶安裝的合法軟件。 破壞目標用戶感興趣的網站以感染他們的個人設備通常被稱為水坑攻擊,並被殭屍網絡所有者廣泛使用。

服務器和網站

服務器和網站通常不會像個人計算機和移動設備那樣感染殭屍網絡惡意軟件。 攻擊者通常利用漏洞獲得對受害服務器的系統或網站級訪問權限,然後上傳惡意軟件,然後允許他們建立對其的控制。

被攻擊者破壞的網站將被用來通過向它們注入惡意代碼來進一步分發殭屍網絡惡意軟件。 訪問受感染網站的用戶將在他們的設備上下載並激活惡意軟件,這些設備將成為同一機器人網絡的一部分。 確保您的站點受到像 iThemes Security 這樣的安全解決方案的充分保護,不僅可以幫助您的站點抵禦這些攻擊,還可以幫助您的站點不感染其他站點,從而阻止殭屍網絡的踪跡。

客戶端-服務器和點對點:殭屍網絡的架構

殭屍網絡通常建立在兩種主要網絡應用模型之一之上:客戶端-服務器和對等 (P2P) 架構。 客戶端-服務器模型仍然是最流行的架構,不僅是殭屍網絡,而且大多數 Web 應用程序都在利用它。

客戶端-服務器架構用於創建集中式模型,攻擊者的機器(也稱為機器人牧民)向殭屍或機器人發送指令,形成殭屍網絡。 反過來,殭屍計算機不會直接相互通信。 大型殭屍網絡可以由多個殭屍牧民(代理)驅動,以幫助簡化管理過程。

在某些情況下,殭屍網絡可以使用採用點對點通信的分散模型。 分散的殭屍網絡可以將指令從一台殭屍計算機傳遞到另一台殭屍計算機,隨後將命令傳播到整個殭屍網絡。 P2P 架構使得識別牧民和揭露機器人主人的身份變得更加複雜。

隨著 bot herder 啟動與殭屍計算機的連接,受感染的設備通常會定期向 bot master 發送請求以檢查新指令。 大多數殭屍網絡惡意軟件都配置為長時間保持不活動狀態以逃避檢測。

作為殭屍網絡核心的命令和控制 (C2) 服務器

bot herder 代表 bot 所有者的計算機,用於向殭屍機器發出命令,被稱為命令和控制服務器,或 C2。 命令和控制服務器位於每個殭屍網絡的核心,允許攻擊者使用客戶端-服務器或對等網絡應用程序架構與受感染的系統進行通信。

一旦將新的殭屍計算機添加到殭屍網絡,命令和控制中心就會強制它為攻擊者創建一個通信通道,以便在受感染的設備上建立動手鍵盤。 這是通過遠程訪問工具實現的。

C2C 服務器通常使用受信任且很少受監控的流量(例如 DNS)來向受感染的主機發送指令。 為了避免被執法部門發現,殭屍主機經常更改命令和控制服務器的位置,並且經常採用域生成算法 (DGA) 等惡意技術。

創建的前 3 個最大和最受歡迎的殭屍網絡

殭屍網絡被認為是在 2000 年代初期出現的,並且從那以後一直在發展。 2001 年發現了第一個已知的殭屍網絡。創建了一個龐大的機器人網絡來發起垃圾郵件活動,這些垃圾郵件佔當時發送的所有未經請求的電子郵件的 25% 左右。

從那時起,發現並拆除了許多大型殭屍網絡。 然而,一些包含數十萬甚至數百萬台受感染計算機的機器人網絡如今仍然存在,並被積極用於執行大規模網絡攻擊。

當今存在的前三個最大和最受歡迎的殭屍網絡是 Mantis、Srizbi 和 Emotet 殭屍網絡。

螳螂殭屍網絡

2022 年,CloudFlare 報告稱其網絡成為大規模 DDoS 攻擊的目標,​​每秒有 2600 萬個 Web 請求攻擊基礎設施。 CloudFlare 將其稱為他們曾經緩解過的最大的 DDos 攻擊,並透露 Mantis 殭屍網絡僅使用了大約 5000 個機器人,這只是殭屍網絡總計算能力的一小部分。

更進一步,所有請求都通過 HTTPS 發送,就 DDoS 攻擊而言,這要昂貴得多且難以實現。 這使得 Mantis 殭屍網絡成為當前運行的最強大的殭屍網絡之一。

Srizbi 殭屍網絡

Srizbi 殭屍網絡已經存在了十多年,據信發送的垃圾郵件佔所有其他主要殭屍網絡發送的垃圾郵件總數的一半以上。 據估計,該殭屍網絡控制著大約 50 萬個受感染端點,並通過分發所謂的 Srizbi 特洛伊木馬迅速擴大。

Emotet 殭屍網絡

Emotet 最初是一個旨在從受感染計算機竊取信用卡信息的銀行木馬,但它已迅速發展成為一個龐大的殭屍網絡,在全球範圍內擁有超過 50 萬個受損端點。 已知 Emotet 惡意軟件通過從受感染計算機發送的惡意電子郵件附件進行分發。 Emotet 是暗網上最流行的殭屍網絡之一,可以出租給各種被黑組織,我們將在本文中進一步詳細討論。

殭屍網絡執行的 5 種常見攻擊類型

殭屍網絡是可用於執行各種欺詐活動的多功能工具。 除了使用受感染計算機網絡攻擊其他網絡端點和傳播惡意軟件外,機器人所有者還可以從殭屍設備中竊取敏感信息。 這使得殭屍網絡成為網絡犯罪的核心。

以下是殭屍網絡用於的前五種網絡攻擊類型:

  • 分佈式拒絕服務 (DDoS) 和暴力攻擊。
  • 網絡釣魚攻擊。
  • 垃圾郵件活動。
  • 惡意軟件分發。
  • 數據盜竊和勒索軟件攻擊。

DDoS 和蠻力攻擊

分佈式拒絕服務和暴力攻擊是殭屍網絡最常見的網絡攻擊。 攻擊者使用殭屍設備網絡創建的計算資源池,發起大規模攻擊,目標是數十萬台服務器和網站,每秒發出數百萬個惡意 Web 請求。

網絡釣魚

受感染的網站網絡通常用於發起大規模網絡釣魚攻擊。 命令和控制服務器在殭屍網絡中分發一系列釣魚頁面,用於誘騙用戶洩露他們的登錄憑證和其他敏感信息。

垃圾郵件

發起大規模垃圾郵件活動是殭屍網絡服務的首要目的之一。 殭屍網絡所有者會創建一系列未經請求的電子郵件,其中包含受感染網站的鏈接或惡意附件,以分發惡意軟件或促進網絡釣魚攻擊。

惡意軟件分發

惡意軟件分發是確保殭屍網絡能夠長期生存、危害更多設備的關鍵。 殭屍計算機不斷掃描大型網絡的漏洞,隨後利用它們來分發殭屍網絡惡意軟件。 形成殭屍網絡的受感染網站和服務器用於託管惡意網頁或惡意重定向,這將觸發惡意軟件出於相同目的下載到訪問者的設備。

數據盜竊和勒索軟件攻擊

有時,殭屍網絡所有者可以針對特定組織及其網絡竊取機密信息並安裝勒索軟件。 然後,所獲得的數據可用於勒索金錢並破壞受害公司的聲譽和運營,或在暗網上出售。 為了獲得對大型計算機網絡的未授權訪問,攻擊者可以結合使用社會工程學和上述欺詐活動。

攻擊即服務:殭屍網絡如何在暗網上出租

殭屍網絡作為一種託管犯罪服務在暗網上越來越受歡迎,可以從殭屍網絡所有者那裡購買或出租。 黑客無需創建新的機器人網絡,而是可以訪問已建立的殭屍網絡的計算資源來執行欺詐活動。 這為網絡安全領域帶來了一個新術語——攻擊即服務,它在某些方麵類似於基礎設施即服務 (IaaS) 的成熟概念。

如今,暗網由圍繞殭屍網絡和殭屍網絡惡意軟件的整個經濟體系所控制。 除了出租或出售殭屍網絡外,黑客還出售對受感染網站和服務器的訪問權限,以擴展現有殭屍網絡並傳播殭屍網絡惡意軟件。

如何保護您的 WordPress 網站免於成為殭屍網絡的一部分? 3 大安全建議

作為世界上最受歡迎的內容管理系統,WordPress 成為殭屍網絡和機器人驅動的網絡攻擊的高優先級目標。 由於 WordPress 站點非常普遍,使用它們來分發殭屍網絡惡意軟件和進行網絡攻擊仍然是惡意攻擊的一種有吸引力的方法。

許多 WordPress 網站因成功的機器人驅動攻擊而受到損害,然後成為其背後的殭屍網絡的一部分。 攻擊者留下的後門極難刪除,這可能會使受感染的網站在攻擊者的控制下數月甚至數年。

成為殭屍網絡的一部分可能會嚴重損害您的企業聲譽,並導致巨大的經濟損失,在某些情況下,還會因數據洩露而產生法律後果。 減少攻擊面是確保針對常見攻擊媒介提供充分保護的關鍵。

配置自動更新並僅安裝來自可信來源的軟件

攻擊者不斷掃描網站以尋找可利用的漏洞。 說到 WordPress,使網站受到威脅的主要安全漏洞是過時且不可靠的軟件。 這包括安裝的 WordPress 核心、主題和插件,以及使用的 PHP 版本。

針對 WordPress 生態系統的所有關鍵方面發布定期更新,快速修補所有發現的關鍵漏洞。 值得信賴的插件和主題開發公司確保為其產品保持高水平的安全性。

配置自動軟件更新是確保 WordPress 網站安全的重要部分。 iThemes Security Pro 可以跟踪所有核心、插件和主題更新,並自動安裝已發布的新版本軟件。 如果您擁有多個基於 WordPress 的博客或商業網站,iThemes Sync Pro 會提供一個單一的儀表板來處理更新並跟踪您管理的所有網站的正常運行時間和 SEO 指標。

設置多重身份驗證

針對 WordPress 的機器人驅動的暴力攻擊具有驚人的高成功率。 獲得對 WordPress 管理儀表板的訪問權限後,攻擊者便可以完全控制您的網站。 僅使用基於密碼的身份驗證意味著黑客距離成功冒充您作為合法網站所有者僅一步之遙。

密碼被破解,殭屍網絡進行的暴力攻擊可以很容易地破解您的 WordPress 管理員帳戶。 使用多重身份驗證,例如 iThemes Security Pro 提供的具有生物識別身份驗證的密碼,可以有效消除因暴力攻擊成功而接管您的管理員帳戶的風險。

使用 Web 應用程序防火牆

基於雲和基於主機的 Web 應用程序防火牆是抵禦絕大多數針對 WordPress 網站的分佈式機器人驅動網絡攻擊的強大第一道防線。 通過過濾掉與已知模式匹配的惡意 Web 請求,WAF 可以成功緩解拒絕服務和暴力攻擊,以及 SQL 注入等數據注入攻擊。

使用大量託管規則集配置強大的 Web 應用程序防火牆。 這與使用多因素身份驗證相結合,將大大減少攻擊面和您的 WordPress 網站成為機器人網絡一部分的可能性。

讓 iThemes Security Pro 保護您的 WordPress 網站

殭屍網絡是互聯網上發起的大多數大規模網絡攻擊的幕後黑手。 使用高度分佈式的機器人網絡,黑客執行範圍廣泛的欺詐活動,從拒絕服務攻擊到數據竊取。 殭屍網絡通過分發一種旨在完全控制受害設備的特殊類型的惡意軟件,不斷擴展其基礎設施。

殭屍計算機與殭屍主機的設備(稱為命令和控制服務器)建立組合通道,用於發送和接收進一步的指令。 為避免被起訴,殭屍網絡所有者採用了一系列複雜的技術來保持匿名。

WordPress 網站是殭屍網絡的頭號目標。 通過定期漏洞修補、使用 Web 應用程序防火牆和配置多因素身份驗證來減少攻擊面是保護 WordPress 免受機器人驅動攻擊的安全標準。

通過三十種保護 WordPress 網站關鍵區域的方法,iThemes Security Pro 可以成為您的個人安全助手。 將安全插件的強大功能與 BackupBuddy 可以幫助您構建的強大備份策略相結合,將幫助您為您的企業及其客戶實現高級別的安全性。

保護和保護 WordPress 的最佳 WordPress 安全插件

WordPress 目前為超過 40% 的網站提供支持,因此它很容易成為懷有惡意的黑客的目標。 iThemes Security Pro 插件消除了 WordPress 安全性的猜測,使保護和保護您的 WordPress 網站變得容易。 這就像擁有一名全職安全專家,不斷為您監控和保護您的 WordPress 網站。

獲取 iThemes 安全專業版