僵尸網(wǎng)絡(luò)橫行,,“豌豆射手”難覓
發(fā)布日期: 2020-01-22 供稿:科技日報
編輯:吳楠 審核:王征 閱讀次數(shù):原文標(biāo)題:僵尸網(wǎng)絡(luò)橫行,,“豌豆射手”難覓
原文鏈接:http://digitalpaper.stdaily.com/http_www.kjrb.com/kjrb/html/2020-01/22/content_439224.htm?div=-1
近日,,國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布報告稱,2018年我國基礎(chǔ)電信企業(yè)、域名服務(wù)機構(gòu)等成功關(guān)閉了772個規(guī)模較大的僵尸網(wǎng)絡(luò)。同時,,網(wǎng)絡(luò)安全公司ESET前不久發(fā)布研究報告稱,一個名為“Stantinko”的僵尸網(wǎng)絡(luò)正在操控全球數(shù)以萬計的計算機挖掘加密貨幣“門羅幣”,。
這一日益猖獗的僵尸網(wǎng)絡(luò)究竟是何方“神圣”,?它的攻擊能力如何?在游戲“植物大戰(zhàn)僵尸”中,,豌豆射手是抵御僵尸進攻的主力,。那么,目前在網(wǎng)絡(luò)安全領(lǐng)域是否有“豌豆射手”呢,?
針對上述問題,,科技日報記者采訪了業(yè)內(nèi)相關(guān)專家。
黑客可隨意驅(qū)使被感染設(shè)備
在恐怖電影中,,我們經(jīng)常能看到這樣的場景:一群僵尸瘋狂地追逐,、攻擊人類,卻在“趕尸人”面前非常老實,、聽話。
“僵尸程序就是如此,,被其感染的硬件設(shè)備,,就如同僵尸群一樣可以被隨意驅(qū)使、控制,,成為被人利用的工具,?!北本├砉ご髮W(xué)計算機網(wǎng)絡(luò)及對抗技術(shù)研究所所長閆懷志對科技日報記者說,僵尸程序是指惡意控制硬件設(shè)備功能的一種程序代碼,,它能夠自動執(zhí)行預(yù)定義的命令,。大量主機感染僵尸程序后,在僵尸程序控制者和眾多被感染主機之間會形成一對多的被控制網(wǎng)絡(luò),,這就是僵尸網(wǎng)絡(luò),。
“危害性大的僵尸網(wǎng)絡(luò)具有較強的傳染性,同時被嚴(yán)格地控制著,?!北本┙煌ù髮W(xué)計算機與信息技術(shù)學(xué)院信息安全系主任王偉在接受科技日報記者采訪時表示,所謂傳染性就是說,,該“僵尸”樣本不僅具備與計算機病毒類似的特點,,還可感染與其相鄰的其他硬件設(shè)備。但與計算機病毒不同的是,,僵尸網(wǎng)絡(luò)高度可控,,其具有金字塔式的控制結(jié)構(gòu):位于底層的是數(shù)量龐大的被感染主機,處在塔尖的則是網(wǎng)絡(luò)攻擊的發(fā)動者,,即整個僵尸網(wǎng)絡(luò)的控制者,。
王偉強調(diào),傳統(tǒng)的計算機病毒具有一定的破壞性,,更高級一些的病毒,,如蠕蟲病毒等,雖具有傳染性,,但發(fā)布者很難對其進行有效控制,。相比之下,僵尸網(wǎng)絡(luò)則既具有較強的傳染性又可被有效控制,,因而危害性更大,、攻擊力也更強。
閆懷志介紹道,,當(dāng)前,,大多數(shù)僵尸網(wǎng)絡(luò)使用互聯(lián)網(wǎng)中繼聊天(Internet Relay Chat,IRC)協(xié)議來實現(xiàn)通信和控制,。1999年,,“SubSeven 2.1”發(fā)布,該程序利用IRC網(wǎng)絡(luò)構(gòu)建出攻擊者對僵尸主機的控制信道,,被認為是世界上首個真正意義上的僵尸程序,。隨后,黑客們開始借助蠕蟲病毒促進僵尸程序的主動傳播,,并進一步采用P2P結(jié)構(gòu)構(gòu)建控制信道,,進而加速了僵尸網(wǎng)絡(luò)的泛濫,。
發(fā)動僵尸網(wǎng)絡(luò)攻擊門檻低
“近年來,僵尸網(wǎng)絡(luò)攻擊愈發(fā)猖獗,,呈現(xiàn)愈演愈烈之勢,。”談及原因,,王偉認為,,當(dāng)前具有組織性的各種網(wǎng)絡(luò)攻擊數(shù)量上升,僵尸網(wǎng)絡(luò)的攻擊方式也日漸增多,,甚至出現(xiàn)了所謂的“高級可持續(xù)威脅攻擊”(APT),。APT也被稱為定向威脅攻擊,是指針對特定對象展開的,、持續(xù)有效的攻擊活動,。在這類攻擊中,相當(dāng)一部分攻擊發(fā)起者是具有一定背景的黑客組織,,他們專門研究如何有組織性地發(fā)動僵尸網(wǎng)絡(luò)攻擊,。
王偉介紹道,具體到攻擊手法上,,僵尸網(wǎng)絡(luò)既可被用于直接竊取重要的機密數(shù)據(jù)或信息,,也可被用于獲取群體性大數(shù)據(jù),以分析,、提煉出關(guān)鍵信息,,還能用其發(fā)動拒絕服務(wù)(DOS)攻擊造成大面積網(wǎng)絡(luò)癱瘓,甚至可以效仿“震網(wǎng)”病毒攻擊電網(wǎng)等大型基礎(chǔ)設(shè)施,,形成更嚴(yán)重的破壞,。
閆懷志也認為,僵尸網(wǎng)絡(luò)傳播迅速,、規(guī)模龐大,,其攻擊方式復(fù)雜多變,一旦發(fā)起攻擊,,其后果十分嚴(yán)重,。
科技日報記者了解到,2016年10月,,代號為“Mirai”的僵尸網(wǎng)絡(luò)感染了數(shù)以十萬計的物聯(lián)網(wǎng)設(shè)備,,造成美國東部地區(qū)大面積網(wǎng)絡(luò)癱瘓。后來發(fā)現(xiàn),,“Mirai”的研制者竟是一名年僅21歲的年輕人,,他研制該僵尸網(wǎng)絡(luò)的目的,只是希望騙取錢財。很難想象,,有國家背景的黑客組織精心織就的以發(fā)動戰(zhàn)爭而非賺錢為目的的僵尸網(wǎng)絡(luò),將會造成怎樣的破壞,。
說到賺錢,,王偉認為,牟利也是僵尸網(wǎng)絡(luò)的主要研制目的之一,。例如,,控制大量計算設(shè)備合力“挖礦”,賺取數(shù)字貨幣,;利用僵尸網(wǎng)絡(luò)大范圍推送廣告,,以賺取廣告費;發(fā)動勒索攻擊,,索要贖金等,。早在2017年,美國Proofpoint公司的研究人員就曾發(fā)現(xiàn)名為“Adylkuzz”的僵尸網(wǎng)絡(luò),,該網(wǎng)絡(luò)控制了全球數(shù)十萬臺計的計算機或服務(wù)器,,驅(qū)使其挖掘“門羅幣”。
僵尸網(wǎng)絡(luò)的用途如此多樣,,若要發(fā)動這種攻擊,,發(fā)起者是否需要掌握高超的技術(shù)呢?
“實際上并不需要,?!蓖鮽ブ赋觯F(xiàn)在互聯(lián)網(wǎng)上有大量的開源僵尸程序,,不法分子可以直接將其下載下來使用,,甚至可以在其基礎(chǔ)上進行修改升級。
防御需技術(shù),、管理兩手抓
閆懷志談到,,在實際網(wǎng)絡(luò)環(huán)境中,很多僵尸程序兼具了病毒,、木馬,、間諜軟件等多種惡意代碼的特征,體現(xiàn)了惡意代碼的組合化,、復(fù)雜化的發(fā)展趨勢,,為僵尸網(wǎng)絡(luò)的檢測和防御工作帶來了極大困難。
“很多僵尸網(wǎng)絡(luò)只在需要時才被啟動,,平時則‘潛伏’伺機,,隱蔽性強?!蓖鮽ケ硎?,有些僵尸程序非?!奥斆鳌保跐摲鼤r,,它們有的每隔一段時間有規(guī)律地向控制者匯報情況,,有的則無規(guī)律地“報平安”。常規(guī)的檢測手段很難將它們檢測出來,,有時只能通過檢測同一網(wǎng)絡(luò)中不同主機與控制者間的相似數(shù)據(jù)傳輸,,才能發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的“蛛絲馬跡”。
“但是,,即使能夠發(fā)現(xiàn)它,,也很難找到其背后的控制者?!蓖鮽ソ忉尩?,僵尸網(wǎng)絡(luò)從控制者到受控計算機之間,可能存在多個層級,,逐級進行控制,,追蹤者需要一級級溯源才能找到“真兇”。更為復(fù)雜的是,,有些僵尸網(wǎng)絡(luò)的某些控制層級位于暗網(wǎng)之中,,控制者隱藏在暗網(wǎng)之后,當(dāng)前的溯源技術(shù)對其幾乎起不到任何作用,。
“此外,,對僵尸網(wǎng)絡(luò)的防御還面臨一個難題?!蓖鮽ソ榻B道,,僵尸網(wǎng)絡(luò)往往利用操作系統(tǒng)或軟件漏洞傳染硬件設(shè)備并擴大其規(guī)模,現(xiàn)有的網(wǎng)絡(luò)防御系統(tǒng)大多只能檢測,、抵御已知漏洞的僵尸程序,。但無論多完善的軟件系統(tǒng)都會存在未知漏洞,黑客們只要發(fā)現(xiàn)并利用這些新的漏洞,,就可以展開僵尸網(wǎng)絡(luò)攻擊,。
隱蔽性強、溯源困難,,我們要“種出”怎樣的“豌豆射手”才能避免“僵尸”橫行網(wǎng)絡(luò)空間,?
“現(xiàn)階段,要想有效應(yīng)對僵尸網(wǎng)絡(luò)攻擊,,需要在主機,、網(wǎng)絡(luò)、管理等三個層面采取相應(yīng)措施?!蓖鮽フJ為,,在主機層面,我們需要為自己的計算機,、手機,、物聯(lián)網(wǎng)等設(shè)備安裝殺毒等防御軟件并按時更新,保證其能抵御已知的僵尸網(wǎng)絡(luò)攻擊,。在網(wǎng)絡(luò)層面,比如一個學(xué)?;蚱髽I(yè)的局域網(wǎng),,要及時進行針對僵尸網(wǎng)絡(luò)的全網(wǎng)檢測,一旦發(fā)現(xiàn)要及時處理,。
“相比技術(shù)層面的措施,,管理層面的措施更為重要?!蓖鮽娬{(diào),,企業(yè)、政府機關(guān)等各個機構(gòu)要對員工加強系統(tǒng)化的網(wǎng)絡(luò)安全教育,,提高網(wǎng)絡(luò)安全意識,。比如,提醒員工要按規(guī)章制度管理和維護設(shè)備,,及時更新殺毒軟件,、不采用“123456”等低級密碼等?!癕irai”就曾利用大量攝像頭,,采用默認密碼等弱口令,發(fā)動分布式拒絕服務(wù)攻擊,,造成了數(shù)小時的網(wǎng)絡(luò)癱瘓,。
分享到: