僵尸網(wǎng)絡(luò)（BotNet）是企業(yè)機構(gòu)目前面臨的最大網(wǎng)絡(luò)安全威脅之一。僵尸網(wǎng)絡(luò)可以從任意地點大量系統(tǒng)（從數(shù)千個到一百萬個系統(tǒng)）發(fā)動攻擊，犯罪分子利用它控制計算機并執(zhí)行非法的破壞性活動，例如竊取數(shù)據(jù)、非法接入未授權(quán)網(wǎng)絡(luò)資源、發(fā)起拒絕服務(wù)(DoS)攻擊或散發(fā)垃圾郵件。

僵尸網(wǎng)絡(luò)無孔不入，它并不是靜態(tài)的惡意軟件，在本質(zhì)上是動態(tài)的，可以根據(jù)犯罪分子的指令快速改變形式。僵尸工具包的網(wǎng)絡(luò)售價只有500美元，而通過它發(fā)起的攻擊會使企業(yè)損失數(shù)百萬美元，其危害可見一斑。

Bot病毒感染的巨大影響

預計所有與互聯(lián)網(wǎng)連接的個人計算機中，多達四分之一的計算機可能已成為僵尸網(wǎng)絡(luò)的一部分。2011年，有報告稱TDL僵尸網(wǎng)絡(luò)感染了450多萬臺計算機，每天約感染100，000個不重復的地址。另外，在整個行業(yè)中，有將近一半的IT安全專業(yè)人員發(fā)現(xiàn)惡意軟件的攻擊在迅速增加。

這種爆炸式增長源于以下核心原因：

惡意軟件已成為一個龐大的產(chǎn)業(yè)

犯罪分子不再是彼此孤立的非專業(yè)人員，他們隸屬于具有完善的組織結(jié)構(gòu)的團體，與恐怖組織類似，涉及金錢、動機和目標。他們可以部署相當多的情報人員、時間和資源，以便執(zhí)行可導致企業(yè)損失數(shù)百萬美元的僵尸網(wǎng)絡(luò)。

信息已成為黑客的金礦。但是，不只有財務(wù)信息是值得竊取的有價值數(shù)據(jù)。我們發(fā)現(xiàn)，越來越多的黑客開始尋找更多的一般客戶信息，而對特定賬單或信用卡數(shù)據(jù)的關(guān)注度有所下降。對黑客來說，此類信息非常有利可圖，通過它們可以在以后實施定制攻擊或散發(fā)垃圾郵件，提高成功的可能性。例如，通過電子郵件向500，000人發(fā)送購買某些產(chǎn)品的廣告。即使1000人中只有1人訂購了產(chǎn)品，那么就已經(jīng)有了500個新訂單?，F(xiàn)在，設(shè)想一下垃圾郵件發(fā)送者可以利用7000萬個電子郵件地址獲得巨額潛在利潤。

有一個例子可以說明僵尸網(wǎng)絡(luò)的威力，"Rustock"僵尸網(wǎng)絡(luò)在被美國聯(lián)邦執(zhí)法機構(gòu)于2011年3月取締之前，其僵尸病毒大軍每天可生成多達140億封垃圾郵件。

威脅的復雜性不斷增加

企業(yè)機構(gòu)正在面臨一個由各種類型的惡意軟件組成的"動物園"，從而導致廣泛的安全威脅，包括病毒、蠕蟲、特洛伊木馬、間諜軟件、廣告軟件和僵尸網(wǎng)絡(luò)等。這些都是由高級持續(xù)性威脅(APT)的犯罪分子使用的工具，其中把個人或企業(yè)機構(gòu)成為特定的攻擊目標。另外，僵尸網(wǎng)絡(luò)從本質(zhì)上具有多種形態(tài)，可以模仿正常的應用程序和流量模式，使防病毒軟件等基于簽名的解決方案難以單獨防御僵尸網(wǎng)絡(luò)。因此，企業(yè)需要采取多層次的方法有效抵御Bot威脅。

多種攻擊途徑

有多個進入點可以突破企業(yè)現(xiàn)有的安全防線，包括基于瀏覽器的漏洞、移動電話、惡意附件和可移動的介質(zhì)等。另外，Web2.0應用的爆炸式增長和社交網(wǎng)絡(luò)被作為業(yè)務(wù)工具使用，也給黑客提供了大量機會，從而可以引誘受害者點擊惡意鏈接或在合法網(wǎng)站上運行的"惡意廣告"。

僵尸網(wǎng)絡(luò)的演進過程

如果查看僵尸網(wǎng)絡(luò)威脅的演進過程，就會發(fā)現(xiàn)名為"GMBot"的第一個Bot并不是惡意的。事實上，它在20世紀80年代末期被創(chuàng)建，目的是模擬互聯(lián)網(wǎng)中繼聊天(IRC)會話中的真實用戶。但是，大約在1999年，Bot開始出于有害的目的而被設(shè)計出來。從那以后，僵尸病毒變得越來越復雜，在某些情況下被作為產(chǎn)品而商業(yè)化。例如，2006年的ZeusBot，其原始售價為幾千美元。在2011年中期，Zeus和SpyEye僵尸網(wǎng)絡(luò)包的源代碼被泄露，使這些強大的僵尸網(wǎng)絡(luò)創(chuàng)建工具幾乎可以被想要建立其自己的僵尸網(wǎng)絡(luò)的任何人利用。

CheckPoint軟件技術(shù)有限公司中國區(qū)技術(shù)經(jīng)理劉剛表示："目前，僵尸網(wǎng)絡(luò)主要用作進入企業(yè)網(wǎng)絡(luò)的后門。一旦進入，黑客會十分謹慎地操作，在其被檢測出之前，它會在防御系統(tǒng)內(nèi)部竊取盡可能多的信息。然而，因為僵尸病毒非常隱蔽，所以許多企業(yè)無法在其計算機受到感染時察覺出來，對于僵尸網(wǎng)絡(luò)創(chuàng)建的威脅，安全團隊往往缺乏適當?shù)挠^察。"

未來的威脅

在未來幾年中，僵尸網(wǎng)絡(luò)將繼續(xù)演進，并結(jié)合社交工程、零日攻擊以及移動計算和社交網(wǎng)絡(luò)的廣泛應用。

過去，可以認為大多數(shù)常見的僵尸網(wǎng)絡(luò)都運行在Windows計算機中，而今天已不再是這種情況。Linux和Mac系統(tǒng)也不能幸免。新的僵尸網(wǎng)絡(luò)變體是跨平臺的，業(yè)界將出現(xiàn)更多的Apple、Android和其他基于移動技術(shù)的僵尸網(wǎng)絡(luò)，它們通過3G或Wi-Fi網(wǎng)絡(luò)與命令和控制服務(wù)器(C&C)通信。

一個令人不安的趨勢是社交網(wǎng)絡(luò)被用作指揮和控制中心。社交網(wǎng)絡(luò)和IM等基于Web的服務(wù)被用于向受害網(wǎng)絡(luò)中安裝的惡意程序發(fā)送指令，并使黑客可以發(fā)送加密的命令。通過使用Twitter等社交網(wǎng)絡(luò)，網(wǎng)絡(luò)犯罪分子可以快速建立店鋪并隨時將其關(guān)閉，沒有管理整個服務(wù)器而產(chǎn)生的費用。

利用社交工程技術(shù)

另外，黑客還利用新型社交工程黑客技術(shù)驅(qū)動僵尸網(wǎng)絡(luò)活動。通過社交網(wǎng)絡(luò)還可以更加容易地獲取關(guān)于個人的私人和工作信息，創(chuàng)建新的進入點來執(zhí)行社交工程攻擊、僵尸網(wǎng)絡(luò)和APT。CheckPoint的調(diào)查顯示，社交工程攻擊的主要動機是經(jīng)濟利益(51%)，然后依次是訪問專有信息(46%)、獲得競爭優(yōu)勢(40%)和復仇(14%)，對于任何地點的企業(yè)來說，每次安全事件都會導致25，000至100，000美元的損失。

劉剛總結(jié)到："目前，黑客可以輕松獲得成功執(zhí)行僵尸網(wǎng)絡(luò)攻擊所需的工具和資源。每次新的防病毒軟件發(fā)布文件簽名，惡意軟件的編寫者都會創(chuàng)建新的惡意軟件變體?？上驳氖牵芏嗥髽I(yè)和安全專家已經(jīng)開始關(guān)注這一問題。隨著數(shù)以千計的公司已經(jīng)成為僵尸病毒和APT的目標，企業(yè)有責任阻止其擴散。CheckPoint推出防僵尸軟件刀片，就是為了幫助企業(yè)應對此等威脅。其專注于對僵尸防患于未然，使客戶在僵尸威脅到安全和業(yè)務(wù)流程前，就能夠迅速地發(fā)現(xiàn)并堵截它們。"

CheckPoint防僵尸軟件刀片它可以幫助客戶發(fā)現(xiàn)僵尸病毒，并通過阻止受感染主機和遠程操作員通訊來防止損害。防僵尸解決方案將集成至每個安全網(wǎng)關(guān)，以便針對惡意軟件威脅為企業(yè)提供多層僵尸防御，確保所有業(yè)務(wù)通信渠道都處于安全狀態(tài)。
 

【編輯推薦】

1. 五大高危險僵尸網(wǎng)絡(luò)攻擊模式全解析
2. 十大垃圾郵件的僵尸網(wǎng)絡(luò)
3. TDL-4僵尸網(wǎng)絡(luò)大屠殺
4. 僵尸網(wǎng)絡(luò)已成為政治武器