“當(dāng)談到僵尸網(wǎng)絡(luò)問題時，網(wǎng)絡(luò)的規(guī)模是很關(guān)鍵的問題，”網(wǎng)絡(luò)安全公司Check Point公司端點解決方案主管Scott Emo表示，這是因為僵尸網(wǎng)絡(luò)規(guī)模越大，僵尸網(wǎng)絡(luò)操作者破壞的“機(jī)器人士兵”就越多。

殺毒軟件公司Sophos的經(jīng)理Richard Wang評論說，Sophos“能夠根據(jù)垃圾郵件、惡意軟件回調(diào)更新和指示的網(wǎng)站、以及已知惡意軟件庫追蹤僵尸網(wǎng)絡(luò)的活動，但是，我們無法追蹤個體僵尸網(wǎng)絡(luò)?！?/p>

Richard繼續(xù)說，“例如Zeus（又名Zbot）僵尸網(wǎng)絡(luò)，雖然很多報告都說Zeus是很大的威脅，但他們沒有解釋它不是一個單一的僵尸網(wǎng)絡(luò)，而是一個允許攻擊者安裝類似且獨立僵尸網(wǎng)絡(luò)的工具包。”

殺毒軟件公司Kaspersky Lab的反病毒專家Timothy Armstrong表示，很難準(zhǔn)備列出最具威脅性的前五名僵尸網(wǎng)絡(luò)。Armstrong接著說，“雖然存在Conficker（也被Kaspersky成為Kido）這樣廣泛傳播的僵尸網(wǎng)絡(luò)，這個僵尸網(wǎng)絡(luò)很可能造成嚴(yán)重破壞，但到目前為止還未出現(xiàn)重大破壞事故，與其他規(guī)模較小的僵尸網(wǎng)絡(luò)相比。Zeus是目前非常具有威脅性的僵尸網(wǎng)絡(luò)，在電子郵件附件中存在大量惡意軟件?！薄癦eus不存在特定的僵尸網(wǎng)絡(luò)，最新的版本售價很高，而舊版本則可以免費獲取。每個攻擊者都可以根據(jù)自己的需求對Zeus進(jìn)行配置，從而創(chuàng)造更多獨特的Zeus僵尸網(wǎng)絡(luò)。”

當(dāng)然，我們還必須提到Koobface，開始時該僵尸網(wǎng)絡(luò)專門針對Facebook，后來發(fā)展為攻擊Twitter、Myspace和其他社交網(wǎng)絡(luò)。Kaspersky估計每天大約有50萬活躍的Koobface客戶端，。

最后，Armstrong表示，“另外還有TDSS威脅，這個工具包更新非常頻繁，以及竊取FTP驗證信息的Gumblar，它還能通過服務(wù)器層進(jìn)行自我傳播。Rustock的最新更新提供TLS（透明層安全）加密以隱藏其垃圾郵件行為?！?/p>

不過，F(xiàn)ortinet公司的網(wǎng)絡(luò)安全與威脅研究項目經(jīng)理Derek Manky表示，最大最嚴(yán)重的五個僵尸網(wǎng)絡(luò)包括以下：

1. Pushdo/Cutwail： Pushdo本身是一個“裝載機(jī)”，這意味著它只是下載其他組件來安裝在系統(tǒng)中。在商業(yè)模式中，Pushdo可以為客戶定制安裝特定惡意軟件，根據(jù)每個安裝來收取費用。Pushdo通?？偸窍螺dCutwail，一個垃圾郵件引擎和webwail。Pushdo使用Cutwail來自我復(fù)制垃圾郵件，從而不斷擴(kuò)大其僵尸網(wǎng)絡(luò)，也可通過Cutwail租出垃圾郵件服務(wù)

2. Bredolab：Bredolab也是很流行的裝載機(jī)。除了發(fā)送垃圾郵件外，Bredolab還專注于下載“Scareware”（假殺毒軟件）以及“Ransomware”產(chǎn)品。其主要商業(yè)模式是使用這些產(chǎn)品感染很多系統(tǒng)，希望受害者購買Scareware和Ransomware產(chǎn)品，然后獲取傭金利潤。

3. Zeus：Zeus作為犯罪軟件工具包出售，這意味著它不僅僅是一個大型僵尸網(wǎng)絡(luò)，而是很多獨立僵尸網(wǎng)絡(luò)。任何人都可以利用這個工具來創(chuàng)建自己的僵尸網(wǎng)絡(luò)，而且很受歡迎。最近我們檢測到很多Zeus變種。Zeus通常被配置為竊取信息，包括銀行憑證信息和返回給攻擊者的報告。

4. Waledac： 與Cutwail一樣，Waledac也可以利用其下載的定制模版發(fā)送垃圾郵件。由于它是基于模版的，Waledac也為垃圾郵件服務(wù)收費。與Pushdo不一樣，Waledac在點到點網(wǎng)絡(luò)操作，所以很難被攻破。它還可以加載惡意軟件，代理HTTP內(nèi)容來通過僵尸網(wǎng)絡(luò)傳播惡意網(wǎng)站。

5. Conficker：這個僵尸網(wǎng)絡(luò)可能不需要過多介紹。雖然歷史悠久，但Conficker從來沒有真正導(dǎo)致過重大事故。但這并不意味著不存在威脅，該僵尸網(wǎng)絡(luò)仍然很活躍。

打破僵尸網(wǎng)絡(luò)

正如上文所述，現(xiàn)在網(wǎng)路中有大量自動化敵人正虎視眈眈地準(zhǔn)備攻擊你的電腦并使之成為犯罪奴隸，那么我們該怎么做呢?

對于不懂技術(shù)的人來說，只需要替換windows操作系統(tǒng)就可以避免僵尸網(wǎng)絡(luò)的威脅。在Linux或者M(jìn)ac操作系統(tǒng)還沒有出現(xiàn)重大的僵尸網(wǎng)絡(luò)，這只是windows面臨的問題。即使你知道如何進(jìn)行正確的操作來阻止惡意軟件：及時進(jìn)行windows系統(tǒng)和應(yīng)用程序更新，保持殺毒程序更新等等，你仍然無法確保windows操作系統(tǒng)的安全性。

你堅持使用Windows還有什么需要做？

Manky強(qiáng)烈建議，不要觸碰來自公司或者家庭網(wǎng)絡(luò)外部的文件，除非你知道這些文件來自可信任來源。他表示，“當(dāng)心文件中毒，PDF、XLS和DOC文件經(jīng)常被利用來感染僵尸網(wǎng)絡(luò)?！?/p>

特別是Adobe PDF，經(jīng)常被僵尸網(wǎng)絡(luò)用戶和惡意軟件編寫者濫用。更糟糕的是，很少有人會更新PDF閱讀器，即使出現(xiàn)越來越多的PDF攻擊。雖然更新軟件并不能完全確保安全性，但是不更新軟件絕對會增強(qiáng)受到攻擊的可能。

M86安全公司的技術(shù)策略副總裁Bradley Anstis表示，“事實證明，企業(yè)保護(hù)公司計算機(jī)首先需要采取的步驟是取消用戶管理員訪問權(quán)限。很多惡意軟件安裝都是因為系統(tǒng)未修復(fù)以及用戶運行未打補(bǔ)丁的瀏覽器，例如IE?！倍脩魬?yīng)該使用允許白名單JavaScript的瀏覽器，F(xiàn)irefox插件NoScript可以幫助解決這個問題，能夠幫助確保系統(tǒng)免受惡意JavaScript的攻擊。

當(dāng)然，NoScript和類似程序的缺點就是很多網(wǎng)站依賴于JavaScript來顯示，如果設(shè)置讓正確網(wǎng)頁使用JavaScript顯示會很耗時間，并且，總是存在廣告網(wǎng)站感染Javascript腳本的問題，這意味著，即使是信任的網(wǎng)頁也可能成為感染源。

然后，正如Richard所說，“在企業(yè)設(shè)置web過濾可以幫助防止僵尸網(wǎng)絡(luò)進(jìn)入企業(yè)網(wǎng)絡(luò)，網(wǎng)站是惡意軟件傳播的主要途徑，所以阻止對某些已知惡意軟件源的訪問和掃描網(wǎng)絡(luò)內(nèi)容是任何安全設(shè)置的必要步驟?！?/p>

好的防火墻也可以幫助提高安全性。雖然防火墻不能夠阻止僵尸網(wǎng)絡(luò)感染，但它可以阻止僵尸網(wǎng)絡(luò)控制者使用的網(wǎng)絡(luò)端口指向和發(fā)動僵尸網(wǎng)絡(luò)軟件。

雖然僵尸網(wǎng)絡(luò)曾使用相對模糊的端口如IRC（互聯(lián)網(wǎng)中繼聊天）的TCP 6660-6669，這很容易進(jìn)行阻止。但現(xiàn)在，僵尸網(wǎng)絡(luò)已經(jīng)發(fā)展為使用通用端口（如HTTP80和HTTPS443）且有通用協(xié)議，使用它們自己的算法進(jìn)行加密以逃避檢測，還建立了點到點網(wǎng)絡(luò)來加強(qiáng)僵尸網(wǎng)絡(luò)。

總結(jié)來說，沒有簡單的辦法阻止僵尸網(wǎng)絡(luò)。我們能做的就是采取常用的安全措施，確保防火墻的開啟，隨時監(jiān)測網(wǎng)絡(luò)流量日志中任何不正常的活動。

【編輯推薦】

1. 小技巧：防僵尸網(wǎng)絡(luò)威脅
2. 中美歐聯(lián)手打擊Waledac僵尸網(wǎng)絡(luò) 深化網(wǎng)絡(luò)安全合作
3. 從發(fā)現(xiàn)Kneber僵尸網(wǎng)絡(luò)揭秘惡意軟件黑幫