什么是僵尸網(wǎng)絡(luò)攻擊，如何阻止?僵尸網(wǎng)絡(luò)(源自“機(jī)器人網(wǎng)絡(luò)”)是一大群受惡意軟件感染的互聯(lián)網(wǎng)連接設(shè)備和由單個(gè)操作員控制的計(jì)算機(jī)。攻擊者使用這些受感染的設(shè)備發(fā)起大規(guī)模攻擊，以破壞服務(wù)、竊取憑據(jù)并未經(jīng)授權(quán)訪問關(guān)鍵系統(tǒng)。僵尸網(wǎng)絡(luò)命令和控制模型允許攻擊者接管這些設(shè)備的操作以遠(yuǎn)程控制它們。僵尸網(wǎng)絡(luò)的優(yōu)勢(shì)在于包含的受感染機(jī)器的數(shù)量。攻擊者可以遠(yuǎn)程控制僵尸網(wǎng)絡(luò)并從它們那里接收軟件更新，使用這些更新快速改變他們的行為。

什么是僵尸網(wǎng)絡(luò)攻擊?

僵尸網(wǎng)絡(luò)攻擊是由遠(yuǎn)程控制的受惡意軟件感染的設(shè)備進(jìn)行的大規(guī)模網(wǎng)絡(luò)攻擊。將受感染的設(shè)備變成僵尸網(wǎng)絡(luò)控制器的“僵尸機(jī)器人”。與在單個(gè)機(jī)器或系統(tǒng)中自我復(fù)制的其他惡意軟件不同，僵尸網(wǎng)絡(luò)構(gòu)成了更大的威脅，因?yàn)槠渥屚{參與者同時(shí)執(zhí)行大量操作。僵尸網(wǎng)絡(luò)攻擊類似于讓威脅行為者在網(wǎng)絡(luò)中工作，而不是自我復(fù)制的惡意軟件。

它們正變得比其他惡意軟件攻擊類型更加復(fù)雜，因?yàn)榭梢园幢壤糯蠡騽?dòng)態(tài)更改以造成更大的破壞。通過僵尸網(wǎng)絡(luò)傳播的惡意軟件通常包括網(wǎng)絡(luò)通信功能，允許攻擊者使用僵尸網(wǎng)絡(luò)通過龐大的受感染機(jī)器網(wǎng)絡(luò)路由與其他威脅參與者的通信。

攻擊者使用僵尸網(wǎng)絡(luò)來破壞系統(tǒng)、分發(fā)惡意軟件并招募(感染)新設(shè)備。僵尸網(wǎng)絡(luò)攻擊可能主要是為了破壞或開辟道路以發(fā)起二次攻擊。

最常見的僵尸網(wǎng)絡(luò)攻擊類型有哪些?

1. 暴力破解攻擊

當(dāng)攻擊者不知道目標(biāo)密碼時(shí)，會(huì)選擇使用暴力攻擊。這種攻擊方法使用快速、重復(fù)的密碼猜測(cè)技術(shù)。在暴力攻擊期間，惡意軟件直接與受影響的服務(wù)交互，以獲取有關(guān)密碼嘗試的實(shí)時(shí)反饋。暴力攻擊也可能利用泄露的憑據(jù)或個(gè)人身份信息嘗試密碼。

2. 分布式拒絕服務(wù) (DDoS) 攻擊

僵尸網(wǎng)絡(luò) DDoS 攻擊是一種非常常見的僵尸網(wǎng)絡(luò)攻擊。在這種情況下，DDoS 會(huì)用網(wǎng)絡(luò)流量淹沒服務(wù)，使其崩潰并中斷服務(wù)。2016年，Mirai僵尸網(wǎng)絡(luò)分兩個(gè)階段對(duì)域名服務(wù)商Dyn進(jìn)行了攻擊，導(dǎo)致部分地區(qū)Twitter、Soundcloud等主要客戶網(wǎng)站性能下降或中斷。

3. 垃圾郵件和網(wǎng)絡(luò)釣魚

攻擊者使用垃圾郵件進(jìn)行網(wǎng)絡(luò)釣魚活動(dòng)，旨在誘騙員工共享敏感信息或登錄憑據(jù)。網(wǎng)絡(luò)釣魚還用于訪問更多設(shè)備以發(fā)展僵尸網(wǎng)絡(luò)。

4. 設(shè)備變磚

攻擊者在多個(gè)階段啟動(dòng)機(jī)器人進(jìn)行設(shè)備磚砌攻擊。當(dāng)設(shè)備感染了刪除其內(nèi)容的惡意軟件時(shí)，就會(huì)發(fā)生變磚，通常是為了刪除主要攻擊的證據(jù)。變磚會(huì)導(dǎo)致設(shè)備停止工作，使其無法使用。

僵尸網(wǎng)絡(luò)攻擊的數(shù)量是否有優(yōu)勢(shì)?

僵尸網(wǎng)絡(luò)之所以如此重要，是因?yàn)樗鼈兇罅坎渴?。但是，僵尸網(wǎng)絡(luò)中的機(jī)器人總數(shù)并不能決定它可以造成的損害程度。

盡管如此，DDoS 僵尸網(wǎng)絡(luò)攻擊仍在上升。2010 年，Kneber 僵尸網(wǎng)絡(luò)控制了來自知名公司和政府機(jī)構(gòu)的 75,000 臺(tái)機(jī)器。僵尸網(wǎng)絡(luò)攻擊竊取了超過 68,000 個(gè)被盜登錄憑據(jù)和 1,972 個(gè)數(shù)字證書。最近的僵尸網(wǎng)絡(luò)攻擊使用較少的機(jī)器，并且傾向于專注于發(fā)起 DDoS 攻擊。2021 年，Cloudflare 挫敗了最大的 DDoS 僵尸網(wǎng)絡(luò)攻擊，攻擊者在 125 個(gè)國(guó)家/地區(qū)發(fā)起了 20,000 個(gè)機(jī)器人。

惡意軟件即服務(wù)是另一種與僵尸網(wǎng)絡(luò)攻擊相關(guān)的流行工具。攻擊者可以使用租用的僵尸網(wǎng)絡(luò)進(jìn)行這些攻擊。任何可以自動(dòng)化的攻擊類型都有可能成為可轉(zhuǎn)售的僵尸網(wǎng)絡(luò)服務(wù)。

為什么會(huì)發(fā)生僵尸網(wǎng)絡(luò)攻擊?

越來越多的連接設(shè)備支持更多的僵尸網(wǎng)絡(luò)攻擊。畢竟，物聯(lián)網(wǎng)設(shè)備無處不在。全球有超過310 億臺(tái)物聯(lián)網(wǎng)設(shè)備活躍，包括智能家居和企業(yè)設(shè)備。消費(fèi)物聯(lián)網(wǎng)設(shè)備在家中用于控制電器、燈、門鎖、相機(jī)、恒溫器、智能插頭、數(shù)字助理等。醫(yī)療保健和關(guān)鍵基礎(chǔ)設(shè)施也有自己的連接設(shè)備套件。任何連接到互聯(lián)網(wǎng)的設(shè)備都可以被招募為僵尸機(jī)器人。防御對(duì)這些的攻擊從預(yù)防開始。

畢竟，任何連接到互聯(lián)網(wǎng)的設(shè)備都存在風(fēng)險(xiǎn)。更多不安全的物聯(lián)網(wǎng)設(shè)備通過提供對(duì)大量設(shè)備的隨時(shí)訪問來擴(kuò)大攻擊面。

物聯(lián)網(wǎng)設(shè)備的錯(cuò)誤配置和糟糕的安全配置協(xié)議導(dǎo)致僵尸網(wǎng)絡(luò)日益流行。員工從個(gè)人設(shè)備和家庭網(wǎng)絡(luò)遠(yuǎn)程訪問公司網(wǎng)絡(luò)的增加也是一個(gè)促成因素。

如何在僵尸網(wǎng)絡(luò)攻擊發(fā)生之前防御它?

專家預(yù)測(cè)，物聯(lián)網(wǎng)設(shè)備的采用將隨著時(shí)間的推移而增加，到 2023 年，全球聯(lián)網(wǎng)設(shè)備的總數(shù)將達(dá)到4300 萬。當(dāng)今市場(chǎng)上種類繁多的設(shè)備已經(jīng)對(duì)設(shè)備管理和監(jiān)控提出了挑戰(zhàn)。隨著連接設(shè)備總數(shù)的增加，保護(hù)的復(fù)雜性也在增加。

網(wǎng)絡(luò)釣魚和社會(huì)工程仍然是獲取系統(tǒng)和設(shè)備訪問權(quán)限的主要方法。在2021費(fèi)用數(shù)據(jù)泄露的報(bào)告發(fā)現(xiàn)網(wǎng)絡(luò)釣魚是成本第二昂貴的方法。

為防止這種情況發(fā)生，請(qǐng)采用網(wǎng)絡(luò)安全最佳實(shí)踐，并為各級(jí)員工提供持續(xù)的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)。只有在確定新設(shè)備的安全設(shè)置滿足組織的最低標(biāo)準(zhǔn)后，才能將新設(shè)備添加到網(wǎng)絡(luò)。

僵尸網(wǎng)絡(luò)攻擊預(yù)防需要定期主動(dòng)關(guān)注。首先，確保系統(tǒng)和設(shè)備軟件是最新的。特別是，監(jiān)視較少使用的設(shè)備以獲取安全更新。開發(fā)人員發(fā)布這些更新后立即應(yīng)用這些更新。

IoT 設(shè)備配置也很重要。始終更改默認(rèn)設(shè)備登錄憑據(jù)。從網(wǎng)絡(luò)中淘汰(移除)舊的、未使用的設(shè)備也會(huì)將它們作為攻擊媒介移除。

還可以通過限制對(duì)合適主機(jī)設(shè)備的訪問來防止僵尸網(wǎng)絡(luò)攻擊。監(jiān)控和限制對(duì)網(wǎng)絡(luò)上物聯(lián)網(wǎng)設(shè)備的訪問。將物聯(lián)網(wǎng)設(shè)備與其他關(guān)鍵系統(tǒng)隔離或隔離也有助于減輕攻擊的影響。在設(shè)備上啟用多重身份驗(yàn)證并限制可以訪問它們的用戶數(shù)量。

獲得更好的網(wǎng)絡(luò)運(yùn)營(yíng)可見性也會(huì)有所不同。網(wǎng)絡(luò)監(jiān)控和分析工具可以深入了解設(shè)備和流量模式。如果需要，部署人工智能網(wǎng)絡(luò)監(jiān)控以確定基線使用情況并監(jiān)控異常情況。這有助于檢測(cè)攻擊的開始并允許安全團(tuán)隊(duì)做出響應(yīng)。

如何阻止僵尸網(wǎng)絡(luò)攻擊?

阻止僵尸網(wǎng)絡(luò)攻擊始于重新獲得對(duì)受感染設(shè)備的控制?？梢酝ㄟ^禁用對(duì)中央服務(wù)器的訪問來阻止在命令和控制模型上運(yùn)行的僵尸網(wǎng)絡(luò)攻擊，中央服務(wù)器是受惡意軟件感染的群體的主要資源。

相關(guān)地，另一種從網(wǎng)絡(luò)中切斷機(jī)器人的方法是切斷與控制服務(wù)器的連接。掃描受影響設(shè)備中的惡意軟件，并根據(jù)需要重新格式化或重新安裝系統(tǒng)軟件。物聯(lián)網(wǎng)設(shè)備可能需要全新安裝設(shè)備固件(完全恢復(fù)出廠設(shè)置)才能恢復(fù)正常功能并移除惡意軟件。

完全關(guān)閉大型僵尸網(wǎng)絡(luò)可能是一個(gè)挑戰(zhàn)。在 Trickbot 的情況下，多個(gè)命令和控制中央服務(wù)器可以相互通信。這使他們能夠在防御者使服務(wù)器脫機(jī)時(shí)快速啟動(dòng)新實(shí)例。

對(duì)于僵尸網(wǎng)絡(luò)攻擊，早期檢測(cè)是關(guān)鍵

復(fù)雜僵尸網(wǎng)絡(luò)攻擊的演變繼續(xù)對(duì)系統(tǒng)和網(wǎng)絡(luò)造成嚴(yán)重破壞。安全性有問題的新物聯(lián)網(wǎng)設(shè)備只會(huì)增加整體攻擊面。預(yù)防和早期檢測(cè)仍然是防止系統(tǒng)和設(shè)備嚴(yán)重?fù)p壞的關(guān)鍵。