一、僵尸网络的定义

僵尸网络是指被攻击者攻破的、连接了互联网的任何类型设备的集合。对于那些想要破坏或者闯入目标系统的个人攻击者、网络犯罪集团和民族国家而言，僵尸网络是他们的力量倍增器。僵尸网络通常用于分布式拒绝服务（DDoS）攻击，也可以利用其集合计算能力发送大量的垃圾邮件、大规模窃取凭证或者窥探人员和企业。

恶意行为者通过使用恶意软件感染联网的设备，然后使用命令和控制服务器管理这些设备，从而构建僵尸网络。一旦攻击者攻破了某一网络上的设备，该网络上所有易受攻击的设备都有被感染的风险。

僵尸网络攻击会是毁灭性的。2016年，Mirai僵尸网络关闭了大部分互联网，包括Twitter、Netflix、CNN和其他主要网站，以及俄罗斯的主要银行和利比里亚整个国家。僵尸网络利用了不安全的物联网（IoT）设备，例如，安防摄像头，安装恶意软件，然后攻击路由互联网数据流的DYN服务器。

业界意识到了这一问题，设备制造商、监管机构、电信公司和互联网基础设施提供商齐心协力，隔离被攻破的设备，将其关闭或者打上补丁，并确保再也不会出现类似的僵尸网络。

但只是说说而已，这些都没有发生。相反，僵尸网络还是不断地出现。

甚至Mirai僵尸网络也还在运行。据Fortinet于2018年8月发布的一份报告，Mirai是去年第二季度最活跃的一种僵尸网络。

自从两年前发布其源代码以来，Mirai僵尸网络甚至增加了新的功能，包括能够把受感染的设备转变为大量的恶意软件代理和加密货币挖矿器。据Fortinet称，这一网络还不断加强针对已知和未知漏洞的攻击。

Fortinet的高级安全策略师和研究员Tony Giandomenico评论说，事实上，加密货币挖矿标志着整个僵尸网络出现了重大变化。利用加密货币挖矿，攻击者使用受害者的计算机硬件和电力来赚取比特币、Monero和其他加密货币。他说：“这是我们在过去几个月里经历的最重大的事情。犯罪分子尝试怎样使用物联网僵尸网络来赚钱。”

Mirai只是开始。2017年秋天，Check Point的研究人员说他们发现了一种新的僵尸网络，即“IoTroop”和“Reaper”，能够比Mirai更快地攻破物联网设备。一旦用户开机，它就有可能摧毁整个互联网。

Mirai感染使用了默认用户名和密码的易受攻击的设备。Reaper不仅如此，它还瞄准了来自近十几家不同设备制造商的至少九个不同的漏洞，包括D-Link、Netgear和Linksys等主要厂商。它也很灵活，攻击者很容易更新僵尸网络代码，使其更具破坏性。

二、为什么我们阻止不了僵尸网络

关闭僵尸网络面临的难题包括其广泛的可用性、不断购买不安全的设备、几乎不可能简单地把受感染的机器锁定在互联网之外，以及难以跟踪和起诉僵尸网络创建者等。当消费者进入商店购买安防摄像头或者其他联网设备时，他们会查看功能，看看是不是知名品牌，最重要的是，他们会查看价格。

安全很少会成为最先考虑的因素。Kudelski Security公司的研究主管Ryan Spanier说：“由于物联网设备非常便宜，所以很难制定出良好的维护计划，也很难进行快速更新。”

与此同时，随着人们不断购买低成本、不安全的设备，易受攻击的终端数量也在不断增加。研究公司IHS Markit估计，连网设备的总数将从2017年的近270亿增长到2030年的1250亿。

Spanier说，制造商没什么动力去做出改变。大多数制造商对于销售不安全的设备根本不用承担任何后果。他说：“而过去的一年里，情况开始发生变化。美国政府已经处罚了几家制造商。”

例如，联邦贸易委员会在2017年起诉了D-Link公司，指控其所销售的路由器和IP摄像机都有众所周知的、可预防的安全缺陷，例如硬编码的登录凭证等。然而，一位联邦法官驳回了联邦贸易委员会一半的投诉，因为联邦贸易委员会无法确定消费者实际受到伤害的具体案例。

三、怎样检测僵尸网络：目标数据流

僵尸网络通常受到中央命令服务器的控制。从理论上讲，关闭该服务器，然后跟踪数据流返回找到受感染的设备，清理并保护好这些设备——这应该是一项简单的工作，但实际上绝非易事。

当僵尸网络如此之大以至于影响到互联网时，互联网服务提供商会联合起来搞清楚到底发生了什么，并对数据流进行研判。

NSS实验室首席技术官Jason Brvenik指出，这还涉及到合规和隐私问题，以及运营方面的问题。一个消费者的网络上可能有几台设备共享一条连接，而一家企业可能有数千台甚至更多。Brvenik说：“没有办法隔离受影响的设备。”

僵尸网络会试图掩盖自己的起源。例如，Akamai一直在跟踪一个僵尸网络，其IP地址与《财富100强》公司相关，而Akamai怀疑这一地址可能是假的。

一些安全公司正试图与基础设施提供商合作，以发现受感染的设备。CrowdStrike公司的情报副总裁Adam Meyers说：“我们与Comcasts、Verizon以及世界上几乎所有的互联网服务提供商合作，告诉他们这些机器正在与我们的诱导机器对话，他们必须找到这些设备的全部所有者，并对其进行修复。”

这可能涉及数以百万计的设备，必须移除某些设备，安装补丁。通常，没有远程更新选择。很多安防摄像头和其他联网传感器都在远程。Meyers说：“解决这些问题是一项巨大的挑战。”

另外，可能不再支持某些设备，或者可能由于这些设备的设计问题，很难对它们打补丁。这些设备通常在感染后仍能正常工作，因此所有者不会出于特别的动机而移除它们去换新的。Meyers说：“视频质量还没有下降到需要更换的程度。”

通常情况下，这些设备的所有者永远不会发现它们已经被感染了，并且成为了僵尸网络的一部分。Vectra Networks公司安全分析主管Chris Morales说：“消费者没有安全控制机制来监视他们个人网络上的僵尸网络活动。”

Morales说，企业有更多的工具可供使用，但发现僵尸网络一般不是最重要的任务。他说：“安全部门优先考虑针对自己资源的攻击，而不是从自己的网络向外部目标发起的攻击。”

如果设备制造商发现了他们的物联网设备中有无法修补的缺陷，如果他们有足够的动机，可能会进行召回，但即便如此，也可能不会产生太大的效果。

四、怎样防止僵尸网络攻击

保护数字经济委员会（CSDE）最近与信息技术产业委员会、USTelecom和其他组织合作发布了一份非常全面的指南，旨在保护企业免受僵尸网络的攻击。以下是一些最重要的建议。

1、更新，更新，还是更新

僵尸网络利用没有打上补丁的漏洞，从一台机器传播到另一台机器，从而给企业造成了很大的损害。第一道防线应该是保持所有系统及时进行更新。CSDE建议企业在更新可用时立即安装更新，最好使用自动更新。

有些企业倾向于推迟更新，直到有时间检查过兼容性和其他问题后才进行更新。这会导致严重的延迟，有些系统可能会被完全遗忘，甚至永远不会出现在更新列表中。

不使用自动更新的企业应重新考虑其策略。思科的Talos安全推广经理Craig Williams表示：“供应商在测试稳定性和功能性方面做的越来越好。”

思科是CSDE最初的合作伙伴之一，并为《反僵尸网络指南》做出了贡献。他说：“以前的风险已经减弱了。”

不仅仅是应用程序和操作系统需要自动更新。他说：“还应确保你的硬件设备也设置为自动更新。”

包括硬件和软件在内的老产品可能不再被更新，《反僵尸网络指南》建议企业停止使用它们。供应商也极不可能为盗版产品提供支持。

2、锁定访问

该指南建议企业为访问控制功能部署多重身份和基于风险的身份验证、最低权限和其他最佳实践措施。Williams说，在感染了一台机器之后，僵尸网络还会利用凭证进行传播。通过锁定访问，能够把僵尸网络控制在一个地方，尽可能减少所造成的破坏，而且也更容易根除它。

企业可以采取的最有效的一种步骤是使用物理密钥进行身份验证。例如，谷歌在2017年开始要求其所有员工使用物理安全密钥。据该指南称，从那以后，再也没有员工的工作账户被网络钓鱼了。

Williams说：“然而，很多企业负担不起。”除了技术的前期成本以外，员工丢失密钥的风险也很高。

基于智能手机的双重身份验证有助于解决这一问题。据Wiliams的说法，这是一种经济有效的方法，并且增加了重要的安全层。他说：“攻击者不得不对某个人的手机进行物理攻击。有可能在手机上执行代码来拦截短信，但这类问题非常罕见。”

3、不要单打独斗

《反僵尸网络指南》推荐了企业可以通过寻求外部合作伙伴帮助而受益的几个领域。例如，企业可以利用很多渠道共享威胁信息，这包括CERT、行业组织、政府和执法部门的信息共享活动，也可以利用供应商赞助的平台。

企业不应该完全依赖自身内部资源的另一领域是防范DDoS攻击。Williams指出：“一般来说，对于DDoS，企业希望在尽可能远的地方就阻止它。很多人认为，如果企业有入侵保护系统或者防火墙，就能阻止DDoS攻击。但实际上并非如此。”

4、深化防御

仅仅保护周界和终端设备是不够的。Williams说：“现在的攻击者真的很有创造力。即使网络是由不同供应商的产品构成的，他们也能让你的网络感受到压力。”他说，拥有多个防御系统就像在一扇门上安装了几把锁。如果攻击者知道了怎样打开一把锁，那么还有其他锁能阻止他们。

《反僵尸网络指南》建议企业考虑使用高级分析来保护用户、数据和网络，以确保正确的设置安全控制功能，并利用网络分段和网络架构来安全的管理数据流。Williams说，例如，物联网设备应该位于网络中一个单独而且隔离的地方。

例如，Mirai僵尸网络利用了不安全的联网设备。他说：“当你的物联网设备无法与同一网络上企业的其他设备一同打上补丁时，这就带来了本来不应存在的巨大风险。”

五、僵尸网络拖网行动也取得了一些成功

2017年底，联邦调查局与欧洲执法部门联合摧毁了Andromeda僵尸网络。在过去的6个月里，每月平均有一百多万台计算机检测到并拦截了僵尸网络。

然而，据Fortinet的数据，Andromeda僵尸网络在今年第二季度仍然非常活跃——事实上，它是规模第二大的僵尸网络，感染了企业中20%以上的设备。Fortinet的Giandomenico说，很难移除它们。“应该由谁负责？是政府出面负责清理吗？”

他补充说，这会变得更加困难。

当僵尸网络由中央服务器控制时，一旦服务器被移除，僵尸网络就不会活动了。Giandomenico说，但是僵尸网络如果开始是以网格方式运行的，采用了点对点通信，那么僵尸网络会非常有弹性。他补充说，这不仅仅是理论上的问题，因为已经知道一些僵尸网络正在以分散的网格模式运行。他说：“这是一种缓慢但不断增长的趋势。其中一些比较著名的有Hajime、Hide N的Seek和TheMoon。”

除了关闭命令和控制服务器之外，当局还可以通过跟踪他们的客户来攻击僵尸网络。例如，DDoS即服务提供商使用僵尸网络对任何在贝宝（PayPal）或者比特币（Bitcoin）钱包中有闲钱的人发起大规模攻击。

去年春天，英国和荷兰当局联手开展了“断电行动（Operation Power Off），取缔了最大的DDoS即服务运营商webstresser.org，并逮捕了位于英国、克罗地亚、加拿大和塞尔维亚的平台管理员。据Europol称，该网站拥有13.6万名注册用户，并对400万次攻击负责，其提供的服务每月仅需15欧元。

据Akamai去年夏天发布的一份报告，Webstresser.org还只是众多此类网站中的一个。到目前为止，还没有迹象表明DDoS攻击会因此而减少。

据CrowdStrike公司的情报副总裁Adam Meyers称，当局还在第一时间追捕那些制造僵尸网络的人。例如，在2017年，当局逮捕了Waledac和Kelihos垃圾邮件僵尸网络背后的黑客彼得“Severe” Levashov。Meyers介绍说：“他在西班牙度假时被捕了。这需要司法部、联邦调查局和西班牙警察之间进行协调。有很多国际合作。此外，破坏僵尸网络还需要专业技术，我们就得派遣一些技术专家到阿拉斯加帮助联邦调查局解决问题。”

如果创建者仍然逍遥法外，那么关闭僵尸网络的服务器还不足以解决问题。Meyers说：“对于Kelihos来说，它曾被中断了五次左右。但由于该僵尸网络的作者没有被逮捕，他能够把僵尸网络重新组织起来，在某些情况下，在中断后的几个小时内就能重新组织好。几次之后，人们意识到，除非我们把这家伙抓起来，否则这件事还会发生。”

在Andromeda僵尸网络的案例中，仅仅逮捕创建者还不够。这需要国际执法机构、技术和安全供应商的大规模合作，才能摧毁这一网络，该网络涉及464个僵尸网络、1214个命令和控制域，以及80个系列恶意软件。

Andromeda从2011年就开始出现了，在暗网上以随时可用的僵尸网络套件进行出售，也称为Gamarue和Wauchos。它造成了每月有110多万个系统被感染。ESET有限责任公司是一家致力于追缉僵尸网络的组织，其高级恶意软件研究员Jean-Ian Boutin说，执法部门从2015年开始着手将其取缔。他说：“这种行动需要时间。在此期间，安全部门分析了数千个Andromeda样本。在此基础上，我们相信这次行动导致了目前所有Andromeda僵尸网络的中断。”

然而，Andromeda不仅仍然还在，而且规模仍然很大，在追缉过程中被逮捕的创建者也被释放了。Sergei Yarets被处以很少的罚款（只相当于5500美元），在服刑6个月后，去年夏天被白俄罗斯当局释放。

Recorded Future公司的研究员Alexandr Solad在2018年8月的一份报告中指出：“这起案件是前苏联国家起诉网络罪犯分子双重标准的另一个例子，在这些国家，他们以不同的方式处理自己的网络犯罪分子，使得这类人避免受到公正的惩罚，然后为了国家的利益而利用这些犯罪分子，让国际社会打击网络犯罪所付出的努力付诸东流。”

六、僵尸网络的永久解决方案还需假以时日

甚至很难在第一时间逮捕黑客。Meyers说，问题在于该被逮捕的还是会逍遥法外。他说：“俄罗斯黑客Evgeniy Bogachev在2014年6月的Gameover Zeus攻击中被指认出来，但他仍然在俄罗斯的某个地方逍遥快活。很多这些家伙不必担心会被逮捕。如果他们在俄罗斯工作，不是发起针对俄罗斯系统的攻击，那么他们几乎都能逍遥法外。”Bogachev目前在联邦调查局的网络头号通缉犯名单上。

IOActive公司的咨询服务主管Daniel Miessler说，要想永久解决僵尸网络问题，除了解决技术难题，还需要一个全球性的网络犯罪解决方案。这种情况在可预见的未来不会发生。他说：“僵尸网络是由于社会上存在的漏洞和刺激因素而存在的一种突发性社会疾病。在解决这些问题之前，我们应永远同等的对待僵尸网络与突然出现的恶意软件和漏洞。”

除了建立一个全球共同的网络犯罪执法系统外，还需要为制造商制定标准法规，要求在物联网设备中具有一定程度的最低安全性。人工智能网络安全初创公司Jask的安全研究主管Rod Soto表示：“任何法规都必须适用于所有制造商，因为很多市场往往充斥着在互联网法律非常宽松或者根本没有法律的地区所生产的非常便宜的设备。”

Incapsula公司的产品拓展专员Igal Zeifman评论说：“很难想象世界上所有的国家和受影响的行业能够团结在一起，就一种共同的做法达成一致，然后再加以实施。”他说：“所有通过行业标准和立法来打击僵尸网络发展的举措可能只会继续在地区或者国家层面上进行。”

这意味着，即使个别国家能够减缓其所在地区内僵尸网络的增长，但仍有很多其他地方会继续不断增长。Zeifman说：“考虑到互联网的全球性质，这意味着僵尸网络攻击在未来的很多年里将继续对数字业务和在线社区构成威胁。”

作者：Maria Korolov过去20年一直涉足新兴技术和新兴市场。

编译：Charles

原文网址：https://www.csoonline.com/article/3240364/what-is-a-botnet-and-why-they-arent-going-away-anytime-soon.html?nsdr=true

责任编辑：周星如