盤點：網際網路上無處不在的"殭屍"

你可能聽說過殭屍網路DDOS攻擊這個詞，2016年底Mirai殭屍網路DDOS攻擊的出現將這個詞牢牢地固定在網路安全領域了。

但是，儘管這個詞可能很熟悉，但你可能並不熟悉殭屍網路的實際情況。你也可能不知道它們是網路犯罪分子的一項非常新穎的創新，殭屍網路正在更多的用於各種網路攻擊活動。

殭屍網路可以由遍佈全球的數千臺計算機組成

什麼是殭屍（Bot）網路？

殭屍網路是一種由網際網路連線的裝置組成的網路，稱為漫遊器，它們被惡意軟體感染並將其作為一個整體進行控制，控制過程通常在裝置所有者不知情的情況下進行。

它們有時被稱為“殭屍軍隊”，可用於網路犯罪分子的各種活動，包括髮送垃圾郵件和進行分散式拒絕服務（DDoS）攻擊。

任何連線網際網路的裝置都可以新增到殭屍網路中，包括膝上型電腦、臺式電腦、智慧手機、DVR播放器、無線路由器以及其他物聯網（IoT）裝置。

殭屍網路由命令和控制（C＆C）伺服器控制。C＆C伺服器是受黑客或黑客組織控制的計算機，可以向殭屍網路中的殭屍程式傳送命令，並且還可以接收殭屍程式收集的資訊。殭屍網路的控制器被稱為Bot Botder或Bot master。

IoT（物聯網）的出現意味著現在有更多的裝置可以被新增到殭屍網路中。而且，值得注意的是，現在很多物聯網裝置的安全性不足，並且大多是依賴於預設密碼和難以更新的韌體。這意味著殭屍網路的規模可以在未來很容易發展壯大。

殭屍網路有時被稱為計算機的“殭屍軍隊”

殭屍網路的控制方式

殭屍網路可以由殭屍主控制器以幾種不同的方式進行控制。

傳統上，殭屍網路可能是由一臺C＆C伺服器控制的。在這種情況下，Bot裝置會回到一個預定的位置並等待來自伺服器的命令。Bot控制者將命令傳送到伺服器，然後伺服器將命令轉發到Bot網路，然後收集的結果或資訊由Bot裝置傳送回該中央伺服器。

但是，擁有一臺集中式伺服器使得殭屍網路更易受到攻擊和破壞企圖的影響。出於這個原因，許多殭屍網路的控制者現在大多使用對等（P2P）模型。

在P2P殭屍網路中，互連的殭屍裝置共享資訊，而無需向中央伺服器報告，即被感染的殭屍裝置既傳送命令又接收命令。這些殭屍裝置然後探測隨機IP地址以聯絡其他受感染的裝置。一旦聯絡，Bot裝置會回覆諸如其軟體版本和已知裝置的列表等資訊。如果聯絡的Bot具有較新的軟體版本，則另一Bot將自動將其自身更新為該版本。這種方法允許殭屍網路增長並保持更新，而不需要聯絡中央伺服器，這使得執法機構或其他機構更難以取締殭屍網路。

殭屍網路用於做什麼？

殭屍網路最常見的兩種用途是傳送垃圾郵件活動，並進行分散式拒絕服務（DDoS）攻擊。

Bot裝置也可以用來傳送電子郵件惡意軟體，而且不同型別的惡意軟體可能有不同的目標，包括從受感染的計算機收集資訊。其中可能包括密碼、信用卡資訊以及可以在黑市上銷售的任何其他資訊。如果企業網路中的裝置變成Bot裝置，那麼敏感的公司資訊也可能有被盜的風險。

Bot裝置通常也用於點選欺詐，訪問網站建立虛假流量併為Bot裝置的所有者創造收益，它們也常常被用於比特幣挖掘。

臭名昭著的6個殭屍網路

歷史上出現了許多殭屍網路，但其中有一些殭屍網路比其他殭屍網路更有影響力，這裡有六個非常著名的殭屍網路：

Bagle

Bagle是世界上第一個殭屍網路之一，它被用來進行大規模的垃圾郵件活動。它出現在2004年，它主要是微軟Windows電腦裝置組成的。Bagle是一種感染超過20萬臺電腦的蠕蟲，據估計，該病毒發出的垃圾郵件佔全球垃圾郵件總數的10％以上。

Conficker

Conficker是一個臭名昭著的計算機蠕蟲，最早出現在2008年底，並一直是困擾著網路安全人員。

Conficker的第一個版本於2008年11月出現，它很快通過網路共享和受感染的USB驅動器傳播。據統計，它已經感染了多達1100萬臺電腦。這使得Conficker成為一個巨大的殭屍網路，如果攻擊者想要利用它進行攻擊的話，它可能會通過巨大的DDoS攻擊造成很大的損害。然而，它並沒有發出任何攻擊，甚至現在Conficker背後的作者的真實意圖仍然是一個謎，它從來沒有明確它歸於任何群體。

據估計，清理Conficker的成本高達90億美元，令人驚訝的是，儘管事實上它已經發布了近十年，但感染Conficker的計算機依然存在。

ZeroAccess

ZeroAccess殭屍網路是目前已知的最大的殭屍網路之一，它出現於2013年，是一隻擁有近200萬臺電腦的軍隊殭屍網路。由於使用了P2P +C＆C伺服器的模式，這是一個很難對付的殭屍網路，但賽門鐵克的研究人員在2013年對殭屍網路進行了調查，結果發現其中有近50萬臺Bot裝置擁有sandbox（瀏覽器沙箱）。

ZeroAccess主要用於點選欺詐和比特幣挖掘，考慮到該殭屍網路的規模，有人認為它在其活動高峰期為其背後的控制者帶來了大量財富。

Gameover Zeus

Gameover Zeus是一個巨大的殭屍網路，主要用於竊取人們的銀行資訊。該殭屍網路擁有高達100萬臺計算機裝置。據估計，殭屍網路已經被用來竊取超過1億美元。

Gameover Zeus是Trojan.ZBot惡意軟體的一個變體，並且現在它仍然很活躍。Gameover Zeus是原始惡意軟體的複雜變體，它可以通過劫持數千名受害者的網上銀行會話來促成大規模金融詐騙。與當前很多電子郵件惡意軟體活動一樣，它通常通過傳送郵件形式傳送。一旦受感染的使用者訪問了他們的銀行網站，惡意軟體會攔截會話，獲取受害者的資訊並竊取他們的錢。

雖然Gameover Zeus在2014年進行了刪除，但Zeus惡意軟體的許多變種目前仍處於活躍狀態。

Necurs

Necurs是現在最活躍的最著名的殭屍網路之一。它是2016年惡意電子郵件的最大分銷商之一，而且它還大規模的推廣Locky勒索軟體的活動。但是，它在2016年12月24日神祕地停止了執行，並且在近三個月內保持不活動。在此期間，賽門鐵克（一家網路安全機構）檢測到的惡意電子郵件的速度大幅下降。

3月20日恢復活動，賽門鐵克僅在當天就阻止了近200萬條惡意電子郵件。然而，自從它迴歸以來，Necurs公司一直沒有專注於傳送惡意電子郵件活動，而是一直髮送“pump and dump（拉高出貨）”股票垃圾郵件活動。它在12月份消失之前就開始發放這些型別的活動，並且在它迴歸之後加大力度繼續做這件事。

傳送股票垃圾郵件目的是通過鼓勵受害者購買同一公司的股票來太高郵件傳送者手中的股票價格。一旦股票價格被受害者購買股票推高，垃圾郵件傳送者就會賣掉所有的股票。這導致股票價格急劇下跌，並且使受害者不太可能將手中的股票拋售。

Mirai

大多數人可能對Mirai很熟悉，Mirai在2016年的最後幾個月肆虐了全球各地的網路，使用一系列物聯網裝置對全球各種目標發動DDoS攻擊。

9月份Mirai的DDoS攻擊的最初目標是主機提供商OVH以及安全專家Brian Krebs的網站。這些都是大規模的DDoS攻擊，這在當時是有史以來最大規模的攻擊，分別達到1 Tbps和620 Gbps。在9月底，Mirai在其線上黑客社群HackForums上釋出升級，三週後，它又針對DNS提供商Dyn發動了大規模DDoS攻擊以阻止使用者訪問幾個知名網站，包括Netflix、Twitter和PayPal。

11月下旬，Mirai網路的一個變種在德國利用德國家庭的路由器中的一個漏洞進行網際網路訪問，導致近100萬家庭網際網路使用者受到攻擊；同樣的漏洞也影響了愛爾蘭家庭網際網路使用者的路由器。

Mirai殭屍網路主要由受感染的路由器和安全攝像頭組成，這一事件凸顯了物聯網裝置在安全方面是非常鬆懈的。

綜述：

殭屍網路已經存在了很長一段時間，隨著技術的不斷髮展，殭屍網路已經發展壯大。物聯網裝置的增長以及與網際網路相關的裝置數量的增加，殭屍網路發展的故事可能遠未結束。未來我們可能會面臨更多的殭屍網路DDOS攻擊，如果你目前或者在未來也有這樣的憂慮，歡迎體驗網易雲易盾的抗D服務。