回归最本质的信息安全

从诞生到鼎盛:扒扒僵尸网络的暗黑体制

2017年5月31日发布

6,107
1
0

导语:在物联网即将到来的时代,似乎一切都是连接在一起的。烤面包机,婴儿监控,甚至咖啡机都将连接上网。

在物联网即将到来的时代,似乎一切都是连接在一起的。烤面包机,婴儿监控,甚至咖啡机都将连接上网。对于成年人来说,这些设备可以让你的生活更轻松,但是,我不得不提醒一下—方便你的同时也会让网络犯罪分子的入侵更轻松。

QQ截图20170527015959.png

想像一下,动画世界里一个孩子被玩具所包围着,玩耍着,突然间他就被和多其他孩子一起都被恶魔偷走了。每一个在地板上整齐排列的小玩具都有一个小主人,但是他们却都没有发现甚至可能没有注意到他们的玩具被恶魔控制了,而这将使得世界上所有的孩子都可能遭受危险。

不过你完全不需要害怕,因为有明确的标准判定你的电脑是否已经加入了互联网的僵尸行列。在今天的文章中,我们将解释什么是僵尸网络,僵尸网络是如何进行犯罪行为的,以及如何发现我们的设备控制在botmasters手中。

什么是僵尸网络?

为了解释这一点,首先让我们看一下bot是什么。

bot由一种特洛伊木马感染所造成的,这种恶意软件隐藏在你的操作系统中,等待着由被称为botmaster或bot herder的犯罪者的命令以及控制服务器的指令。bot可以代表其主人执行各种自动化任务,例如发送钓鱼诈骗电子邮件或运行键盘记录器来收集信用卡详细信息。所有受到这种非法活动的网络犯罪分子安全地位于互联网上的某个地方。

僵尸网络可以控制成千上万台的设备,这意味着只要这个雪球不停的滚动,网络犯罪分子的危害能力就会不断的扩大。他们不是从一台电脑发送100封垃圾邮件,而是用20万台电脑发送10封邮件。

当然,bot并不总是电脑。任何互联网设备都能被感染,闭路电视、摄像机都曾出乎意料地被劫持过。一个受感染的设备是bot,而这些bot的集合就形成了僵尸网络。

僵尸网络如何工作?

像任何恶意软件感染一样,bot感染有特定的阶段,进入系统,与botmaster进行通信并执行任务。对他们的最好解释如下:

 1495821145863834.png

感染

botmaster发送恶意软件来感染计算机。这些可以通过驱动下载,可疑电子邮件附件或社交媒体帖子中的链接进入您的计算机。bot恶意软件将利用您软件中的漏洞,通过您过时的插件或过时的操作系统寻找后门访问。然后,它就在您的系统中生根了。

联系

在您的系统中,恶意软件将使用互联网与命令和控制服务器(C2)进行联系。您的计算机将在此阶段保持闲置,bot休眠,除了定期检查botmaster的指示外。由于系统的影响如此之小,您却完全不了解这一切。

控制

僵尸网络作为一个整体可能会在等待执行任务时休息一段时间。一旦botmaster有一个僵尸网络的目标,他/她就会通过命令和控制服务器向bots发送指令。在这个阶段,僵尸网络引导程序唤醒并开始执行恶意活动,例如发送垃圾邮件或参与DDoS攻击。

滚雪球

同时,botmaster将专注于招募越来越多的电脑来扩展僵尸网络。由于这些电脑似乎没有做任何事情,僵尸网络可能会包含成千上万的僵尸电脑,而不会引起任何怀疑。

僵尸网络主要用途

僵尸网络作为非法活动的代理服务器,不会暴露犯罪者。非法活动超过数千个设备的传播隐藏了犯罪的根源,同时为网络犯罪分子提供了几乎无限的计算能力。这可以用来:

1.提交广告欺诈。可以利用数千台电脑重复点击广告,为利用广告点击赚钱的欺诈者提供充足的利润。
2.下载并分发非法材料,如儿童色情内容,或一般垃圾邮件人在线。公司将付出巨额的资金,尽可能广泛地传播广告。租用僵尸网络或雇用一个可以访问的业务是实现此目的的最简单的方法。
3.挖掘比特币可以通过将工作量分散在数千机器人上来使其变得更富有。
4.窃取您的私人数据,包括通过使用键盘记录器来窃取密码和信用卡信息。
5.提交僵尸网络DDoS攻击和重载,弄崩溃一个在线服务,如Twitter或Spotify。
6.发送垃圾邮件,以骗取新的受害者的信用卡信息和私人信息。
7.通过电子邮件附件将ransomware传播给新的受害者。
8.每个计算机都可以算作一个独一无二的投票,以僵尸网络进行投票欺诈可以极大地影响结果。
9.强力攻击企业服务器,找出一个密码,并访问一个主要的业务网络。

你可能会认为这与你无关,你的电脑绝不可能是这些里的几千之一。但是,你知道宙斯僵尸网络是由美国的360万机器人组成吗?目前世界上有四分之一的人口每月访问Facebook,这是Zbot(Zeus)和其他恶意软件的受欢迎的感染源。您的设备中至少有一个可能与其中一个机器恶意软件系统有可能接触。

请记住,这不仅影响您的计算机。所有互联网设备都是易受攻击 像之前那次攻击一样,一系列智能烤面包机,DVR和其他网络设备打破了互联网,夺走了亚马逊,纽约时报,Netflix以及我们生活中的许多其他服务。

这是一个特别可怕的想法,完整的初学者可以在不到15分钟内在自己的家中舒适地创建一个僵尸网络。想象一下,现如今的黑客们,无限资源可以做些什么呢?这里面甚至会包括您的冰箱或家用电脑。

这会影响每个人。如果你的电脑进行非法活动,不知道显然不能作为借口。甚至如果非法行为来自您的计算机,您是需要负责任的。

2.png

值得注意的僵尸网络攻击

攻击者的主要优点之一是使用僵尸网络来隐藏其身份。这样可以实现较大规模的攻击,对botmaster的影响最小。以下是一些值得注意的最近的例子:

Mirai僵尸网络

Mirai的名字来自日语,意思是“未来”。相信是来自一个名叫未来Nikki的动漫系列。Mirai,通过不断扫描互联网,获取物联网(IoT)设备的 IP地址。扫描时会识别易受攻击的小工具并登录到其中。一旦进入,它就会被恶意软件感染。

就像计算机上的机器人一样,Mirai的远程恶意软件在系统影响很小的设备上运行。Mirai的僵尸网络近来被用于一些最大规模的DDoS攻击,其中包括:

在2016年9月袭击的安全博客 Krebs on Security.。
对法国网络运营商OVH的攻击也是利用Mirai的僵尸网络。
2016年10月的攻击,DNS服务提供商Dyn成为其目标。这次僵尸网络攻击有具有非常大的影响,它使Twitter,Amazon,Netflix,AirBnB和Reddit离线了。并且利比里亚的整个互联网基础设施也成为了其攻击目标。
Mirai已经成为迄今为止记录的最大的攻击,并且其仍在继续向僵尸网络部队感染设备。

Hajime僵尸网络

Hajime僵尸网络在2015年10月由Rapidity Networks发现,Hajime试图尽可能多地寻找机器人。留下的注销声明声称,Hajime的唯一目标是在Mirai或任何其他botherder可以访问之前保护IoT设备。然而,一些安全专家质疑Hajime是否真的是一个白帽子的操作,声称虽然其关闭了Mirai的大门,但却打开了自己的。

Hajime已经控制了超过30万个受感染设备,主要是DVR,路由器和互联网连接的摄像机,但目前并不用于任何恶意活动。我个人比较关心的是,如果这个僵尸网络被劫持了,那么谁知道可以被用来做什么。

宙斯/ Zbot僵尸网络

宙斯与Mirai的传播方式相同,多年来一直这样做。并且它是窃取银行信息的首选木马,它通过浏览器中的键盘记录器攻击工作,接收所有的网络银行和信用卡详细信息。它也被用来欺骗每天的PC用户认为他们的计算机感染了一些其他类型的病毒通过技术支持诈骗弹出窗口。

在其活动的峰值时间段,宙斯危及了美国银行,NASA,ABC,思科和亚马逊。在Mirai之前,这是最大的僵尸网络,它并不是执行DDoS攻击,而是传播了CryptoLocker Ransomware。

你知道一旦感染了bot恶意软件,你可以永远感染吗?

如果对您的计算机的影响是如此难以察觉,您怎么知道这个恶意软件已经扎根于您的系统?别担心,还是有一些明显的迹象可以发现的。

僵尸网络感染症状

系统速度突然减慢

如果您的设备突然降低到僵尸速度,可能是您的系统太忙,才能执行攻击者发出的命令来完成您的常规任务。看看你的任务管理器,看看发生了什么。如果您看不到任何解释系统滞后的过程,您可能需要更深入一些—检查在后台运行的内容,以及是否在系统上托管不需要的数据。

不明原因的系统卷更改

同样,请检查您的硬盘空间。你没有理由突然失去数量吗?这可能是因为一个隐藏的主机正在使用这个空间并隐藏自身。检查硬盘驱动器有三个非常简单的步骤:

1.打开文件资源管理器 您可以使用键盘快捷键,Windows键+ E或点击任务栏中的文件夹图标。
2.从左侧窗口点击或单击此PC。
3.你可以在Windows(C :)驱动器下看到硬盘上的可用空间量。

4.png

突然的网页浏览器或电子邮件问题

你的网络浏览器是否经常无缘无故地崩溃?您是否收到首先没有发送的退回邮件?这些都是你的计算机被用于你不知道的目的的所有可能的迹象。

如何防止感染

防止僵尸网络恶意软件就像防止任何其他类型的恶意软件,并且因为在系统中很难删除,所以预防是你唯一真正要做的。

对于PC

定期软件更新至关重要。确保将你的操作系统和应用程序保持最新,作为常规电脑清洁的一部分。

点击一些邮件之前想一想。不要从你不认可的发件人(或发件人您认可但没有要求的附件)打开邮件附件。同样,请注意任何电子邮件,要求您点击链接。通过网络钓鱼欺诈以及恶意软件的典型方式来不断的学习教育提高自己的意识。

使用优质的反恶意软件套件保持拒绝0day威胁。

对于其他互联网设备

更改默认密码。我们收到的许多产品都设置了默认密码。这些包括WiFi路由器,如果您没有设置唯一的密码,可以非常快速地访问。

关闭您的设备的远程访问,以免他人未经授权访问。

在连接到互联网之前研究新产品。制造商可能已经有安全漏洞。在连接互联网之前对所有修补程序进行修复。

本文翻译自:http://blog.emsisoft.com/2017/05/23/what-is-a-botnet/amp/ ,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/5006.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

Change

Change

嘶吼编辑

发私信

发表评论

    高坂穗乃果
    高坂穗乃果 2017-05-31 18:23

    原来僵尸网络首要功能不是用来攻击而是用来刷广告的….