什麼是殭屍網路攻擊？安全專業人員指南

什麼是殭屍網路攻擊，如何阻止?殭屍網路(源自“機器人網路”)是一大群受惡意軟體感染的網際網路連線裝置和由單個操作員控制的計算機。攻擊者使用這些受感染的裝置發起大規模攻擊，以破壞服務、竊取憑據並未經授權訪問關鍵系統。殭屍網路命令和控制模型允許攻擊者接管這些裝置的操作以遠端控制它們。殭屍網路的優勢在於包含的受感染機器的數量。攻擊者可以遠端控制殭屍網路並從它們那裡接收軟體更新，使用這些更新快速改變他們的行為。

什麼是殭屍網路攻擊?

殭屍網路攻擊是由遠端控制的受惡意軟體感染的裝置進行的大規模網路攻擊。將受感染的裝置變成殭屍網路控制器的“殭屍機器人”。與在單個機器或系統中自我複製的其他惡意軟體不同，殭屍網路構成了更大的威脅，因為其讓威脅參與者同時執行大量操作。殭屍網路攻擊類似於讓威脅行為者在網路中工作，而不是自我複製的惡意軟體。

它們正變得比其他惡意軟體攻擊型別更加複雜，因為可以按比例放大或動態更改以造成更大的破壞。通過殭屍網路傳播的惡意軟體通常包括網路通訊功能，允許攻擊者使用殭屍網路通過龐大的受感染機器網路路由與其他威脅參與者的通訊。

攻擊者使用殭屍網路來破壞系統、分發惡意軟體並招募(感染)新裝置。殭屍網路攻擊可能主要是為了破壞或開闢道路以發起二次攻擊。

最常見的殭屍網路攻擊型別有哪些?

1. 暴力破解攻擊

當攻擊者不知道目標密碼時，會選擇使用暴力攻擊。這種攻擊方法使用快速、重複的密碼猜測技術。在暴力攻擊期間，惡意軟體直接與受影響的服務互動，以獲取有關密碼嘗試的實時反饋。暴力攻擊也可能利用洩露的憑據或個人身份資訊嘗試密碼。

2. 分散式拒絕服務 (DDoS) 攻擊

殭屍網路 DDoS 攻擊是一種非常常見的殭屍網路攻擊。在這種情況下，DDoS 會用網路流量淹沒服務，使其崩潰並中斷服務。2016年，Mirai殭屍網路分兩個階段對域名服務商Dyn進行了攻擊，導致部分地區Twitter、Soundcloud等主要客戶網站效能下降或中斷。

3. 垃圾郵件和網路釣魚

攻擊者使用垃圾郵件進行網路釣魚活動，旨在誘騙員工共享敏感資訊或登入憑據。網路釣魚還用於訪問更多裝置以發展殭屍網路。

4. 裝置變磚

攻擊者在多個階段啟動機器人進行裝置磚砌攻擊。當裝置感染了刪除其內容的惡意軟體時，就會發生變磚，通常是為了刪除主要攻擊的證據。變磚會導致裝置停止工作，使其無法使用。

殭屍網路攻擊的數量是否有優勢?

殭屍網路之所以如此重要，是因為它們大量部署。但是，殭屍網路中的機器人總數並不能決定它可以造成的損害程度。

儘管如此，DDoS 殭屍網路攻擊仍在上升。2010 年，Kneber 殭屍網路控制了來自知名公司和政府機構的 75,000 臺機器。殭屍網路攻擊竊取了超過 68,000 個被盜登入憑據和 1,972 個數字證書。最近的殭屍網路攻擊使用較少的機器，並且傾向於專注於發起 DDoS 攻擊。2021 年，Cloudflare 挫敗了最大的 DDoS 殭屍網路攻擊，攻擊者在 125 個國家/地區發起了 20,000 個機器人。

惡意軟體即服務是另一種與殭屍網路攻擊相關的流行工具。攻擊者可以使用租用的殭屍網路進行這些攻擊。任何可以自動化的攻擊型別都有可能成為可轉售的殭屍網路服務。

為什麼會發生殭屍網路攻擊?

越來越多的連線裝置支援更多的殭屍網路攻擊。畢竟，物聯網裝置無處不在。全球有超過310 億臺物聯網裝置活躍，包括智慧家居和企業裝置。消費物聯網裝置在家中用於控制電器、燈、門鎖、相機、恆溫器、智慧插頭、數字助理等。醫療保健和關鍵基礎設施也有自己的連線裝置套件。任何連線到網際網路的裝置都可以被招募為殭屍機器人。防禦對這些的攻擊從預防開始。

畢竟，任何連線到網際網路的裝置都存在風險。更多不安全的物聯網裝置通過提供對大量裝置的隨時訪問來擴大攻擊面。

物聯網裝置的錯誤配置和糟糕的安全配置協議導致殭屍網路日益流行。員工從個人裝置和家庭網路遠端訪問公司網路的增加也是一個促成因素。

如何在殭屍網路攻擊發生之前防禦它?

專家預測，物聯網裝置的採用將隨著時間的推移而增加，到 2023 年，全球聯網裝置的總數將達到4300 萬。當今市場上種類繁多的裝置已經對裝置管理和監控提出了挑戰。隨著連線裝置總數的增加，保護的複雜性也在增加。

網路釣魚和社會工程仍然是獲取系統和裝置訪問許可權的主要方法。在2021費用資料洩露的報告發現網路釣魚是成本第二昂貴的方法。

為防止這種情況發生，請採用網路安全最佳實踐，併為各級員工提供持續的網路安全意識培訓。只有在確定新裝置的安全設定滿足組織的最低標準後，才能將新裝置新增到網路。

殭屍網路攻擊預防需要定期主動關注。首先，確保系統和裝置軟體是最新的。特別是，監視較少使用的裝置以獲取安全更新。開發人員釋出這些更新後立即應用這些更新。

IoT 裝置配置也很重要。始終更改預設裝置登入憑據。從網路中淘汰(移除)舊的、未使用的裝置也會將它們作為攻擊媒介移除。

還可以通過限制對合適主機裝置的訪問來防止殭屍網路攻擊。監控和限制對網路上物聯網裝置的訪問。將物聯網裝置與其他關鍵系統隔離或隔離也有助於減輕攻擊的影響。在裝置上啟用多重身份驗證並限制可以訪問它們的使用者數量。

獲得更好的網路運營可見性也會有所不同。網路監控和分析工具可以深入瞭解裝置和流量模式。如果需要，部署人工智慧網路監控以確定基線使用情況並監控異常情況。這有助於檢測攻擊的開始並允許安全團隊做出響應。

如何阻止殭屍網路攻擊?

阻止殭屍網路攻擊始於重新獲得對受感染裝置的控制。可以通過禁用對中央伺服器的訪問來阻止在命令和控制模型上執行的殭屍網路攻擊，中央伺服器是受惡意軟體感染的群體的主要資源。

相關地，另一種從網路中切斷機器人的方法是切斷與控制伺服器的連線。掃描受影響裝置中的惡意軟體，並根據需要重新格式化或重新安裝系統軟體。物聯網裝置可能需要全新安裝裝置韌體(完全恢復出廠設定)才能恢復正常功能並移除惡意軟體。

完全關閉大型殭屍網路可能是一個挑戰。在 Trickbot 的情況下，多個命令和控制中央伺服器可以相互通訊。這使他們能夠在防禦者使伺服器離線時快速啟動新例項。

對於殭屍網路攻擊，早期檢測是關鍵

複雜殭屍網路攻擊的演變繼續對系統和網路造成嚴重破壞。安全性有問題的新物聯網裝置只會增加整體攻擊面。預防和早期檢測仍然是防止系統和裝置嚴重損壞的關鍵。