僵尸網(wǎng)絡(luò)橫行,,“豌豆射手”難覓
發(fā)布日期: 2020-01-22 供稿:科技日?qǐng)?bào)
編輯:吳楠 審核:王征 閱讀次數(shù):原文標(biāo)題:僵尸網(wǎng)絡(luò)橫行,,“豌豆射手”難覓
原文鏈接:http://digitalpaper.stdaily.com/http_www.kjrb.com/kjrb/html/2020-01/22/content_439224.htm?div=-1
近日,,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布報(bào)告稱(chēng),,2018年我國(guó)基礎(chǔ)電信企業(yè),、域名服務(wù)機(jī)構(gòu)等成功關(guān)閉了772個(gè)規(guī)模較大的僵尸網(wǎng)絡(luò),。同時(shí),,網(wǎng)絡(luò)安全公司ESET前不久發(fā)布研究報(bào)告稱(chēng),,一個(gè)名為“Stantinko”的僵尸網(wǎng)絡(luò)正在操控全球數(shù)以萬(wàn)計(jì)的計(jì)算機(jī)挖掘加密貨幣“門(mén)羅幣”。
這一日益猖獗的僵尸網(wǎng)絡(luò)究竟是何方“神圣”,?它的攻擊能力如何,?在游戲“植物大戰(zhàn)僵尸”中,豌豆射手是抵御僵尸進(jìn)攻的主力,。那么,,目前在網(wǎng)絡(luò)安全領(lǐng)域是否有“豌豆射手”呢?
針對(duì)上述問(wèn)題,,科技日?qǐng)?bào)記者采訪了業(yè)內(nèi)相關(guān)專(zhuān)家,。
黑客可隨意驅(qū)使被感染設(shè)備
在恐怖電影中,我們經(jīng)常能看到這樣的場(chǎng)景:一群僵尸瘋狂地追逐,、攻擊人類(lèi),,卻在“趕尸人”面前非常老實(shí)、聽(tīng)話(huà),。
“僵尸程序就是如此,,被其感染的硬件設(shè)備,就如同僵尸群一樣可以被隨意驅(qū)使,、控制,,成為被人利用的工具,。”北京理工大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)及對(duì)抗技術(shù)研究所所長(zhǎng)閆懷志對(duì)科技日?qǐng)?bào)記者說(shuō),,僵尸程序是指惡意控制硬件設(shè)備功能的一種程序代碼,,它能夠自動(dòng)執(zhí)行預(yù)定義的命令。大量主機(jī)感染僵尸程序后,,在僵尸程序控制者和眾多被感染主機(jī)之間會(huì)形成一對(duì)多的被控制網(wǎng)絡(luò),,這就是僵尸網(wǎng)絡(luò)。
“危害性大的僵尸網(wǎng)絡(luò)具有較強(qiáng)的傳染性,,同時(shí)被嚴(yán)格地控制著,。”北京交通大學(xué)計(jì)算機(jī)與信息技術(shù)學(xué)院信息安全系主任王偉在接受科技日?qǐng)?bào)記者采訪時(shí)表示,,所謂傳染性就是說(shuō),,該“僵尸”樣本不僅具備與計(jì)算機(jī)病毒類(lèi)似的特點(diǎn),還可感染與其相鄰的其他硬件設(shè)備,。但與計(jì)算機(jī)病毒不同的是,,僵尸網(wǎng)絡(luò)高度可控,其具有金字塔式的控制結(jié)構(gòu):位于底層的是數(shù)量龐大的被感染主機(jī),,處在塔尖的則是網(wǎng)絡(luò)攻擊的發(fā)動(dòng)者,,即整個(gè)僵尸網(wǎng)絡(luò)的控制者。
王偉強(qiáng)調(diào),,傳統(tǒng)的計(jì)算機(jī)病毒具有一定的破壞性,,更高級(jí)一些的病毒,如蠕蟲(chóng)病毒等,,雖具有傳染性,,但發(fā)布者很難對(duì)其進(jìn)行有效控制。相比之下,,僵尸網(wǎng)絡(luò)則既具有較強(qiáng)的傳染性又可被有效控制,,因而危害性更大、攻擊力也更強(qiáng),。
閆懷志介紹道,,當(dāng)前,大多數(shù)僵尸網(wǎng)絡(luò)使用互聯(lián)網(wǎng)中繼聊天(Internet Relay Chat,,IRC)協(xié)議來(lái)實(shí)現(xiàn)通信和控制,。1999年,“SubSeven 2.1”發(fā)布,,該程序利用IRC網(wǎng)絡(luò)構(gòu)建出攻擊者對(duì)僵尸主機(jī)的控制信道,,被認(rèn)為是世界上首個(gè)真正意義上的僵尸程序。隨后,黑客們開(kāi)始借助蠕蟲(chóng)病毒促進(jìn)僵尸程序的主動(dòng)傳播,,并進(jìn)一步采用P2P結(jié)構(gòu)構(gòu)建控制信道,,進(jìn)而加速了僵尸網(wǎng)絡(luò)的泛濫。
發(fā)動(dòng)僵尸網(wǎng)絡(luò)攻擊門(mén)檻低
“近年來(lái),,僵尸網(wǎng)絡(luò)攻擊愈發(fā)猖獗,,呈現(xiàn)愈演愈烈之勢(shì)?!闭劶霸颍鮽フJ(rèn)為,,當(dāng)前具有組織性的各種網(wǎng)絡(luò)攻擊數(shù)量上升,,僵尸網(wǎng)絡(luò)的攻擊方式也日漸增多,甚至出現(xiàn)了所謂的“高級(jí)可持續(xù)威脅攻擊”(APT),。APT也被稱(chēng)為定向威脅攻擊,,是指針對(duì)特定對(duì)象展開(kāi)的、持續(xù)有效的攻擊活動(dòng),。在這類(lèi)攻擊中,,相當(dāng)一部分攻擊發(fā)起者是具有一定背景的黑客組織,他們專(zhuān)門(mén)研究如何有組織性地發(fā)動(dòng)僵尸網(wǎng)絡(luò)攻擊,。
王偉介紹道,,具體到攻擊手法上,僵尸網(wǎng)絡(luò)既可被用于直接竊取重要的機(jī)密數(shù)據(jù)或信息,,也可被用于獲取群體性大數(shù)據(jù),,以分析、提煉出關(guān)鍵信息,,還能用其發(fā)動(dòng)拒絕服務(wù)(DOS)攻擊造成大面積網(wǎng)絡(luò)癱瘓,,甚至可以效仿“震網(wǎng)”病毒攻擊電網(wǎng)等大型基礎(chǔ)設(shè)施,形成更嚴(yán)重的破壞,。
閆懷志也認(rèn)為,,僵尸網(wǎng)絡(luò)傳播迅速、規(guī)模龐大,,其攻擊方式復(fù)雜多變,,一旦發(fā)起攻擊,其后果十分嚴(yán)重,。
科技日?qǐng)?bào)記者了解到,,2016年10月,代號(hào)為“Mirai”的僵尸網(wǎng)絡(luò)感染了數(shù)以十萬(wàn)計(jì)的物聯(lián)網(wǎng)設(shè)備,,造成美國(guó)東部地區(qū)大面積網(wǎng)絡(luò)癱瘓,。后來(lái)發(fā)現(xiàn),“Mirai”的研制者竟是一名年僅21歲的年輕人,他研制該僵尸網(wǎng)絡(luò)的目的,,只是希望騙取錢(qián)財(cái),。很難想象,有國(guó)家背景的黑客組織精心織就的以發(fā)動(dòng)戰(zhàn)爭(zhēng)而非賺錢(qián)為目的的僵尸網(wǎng)絡(luò),,將會(huì)造成怎樣的破壞,。
說(shuō)到賺錢(qián),王偉認(rèn)為,,牟利也是僵尸網(wǎng)絡(luò)的主要研制目的之一,。例如,控制大量計(jì)算設(shè)備合力“挖礦”,,賺取數(shù)字貨幣,;利用僵尸網(wǎng)絡(luò)大范圍推送廣告,以賺取廣告費(fèi),;發(fā)動(dòng)勒索攻擊,,索要贖金等。早在2017年,,美國(guó)Proofpoint公司的研究人員就曾發(fā)現(xiàn)名為“Adylkuzz”的僵尸網(wǎng)絡(luò),,該網(wǎng)絡(luò)控制了全球數(shù)十萬(wàn)臺(tái)計(jì)的計(jì)算機(jī)或服務(wù)器,驅(qū)使其挖掘“門(mén)羅幣”,。
僵尸網(wǎng)絡(luò)的用途如此多樣,,若要發(fā)動(dòng)這種攻擊,發(fā)起者是否需要掌握高超的技術(shù)呢,?
“實(shí)際上并不需要,。”王偉指出,,現(xiàn)在互聯(lián)網(wǎng)上有大量的開(kāi)源僵尸程序,,不法分子可以直接將其下載下來(lái)使用,甚至可以在其基礎(chǔ)上進(jìn)行修改升級(jí),。
防御需技術(shù),、管理兩手抓
閆懷志談到,在實(shí)際網(wǎng)絡(luò)環(huán)境中,,很多僵尸程序兼具了病毒,、木馬、間諜軟件等多種惡意代碼的特征,,體現(xiàn)了惡意代碼的組合化,、復(fù)雜化的發(fā)展趨勢(shì),為僵尸網(wǎng)絡(luò)的檢測(cè)和防御工作帶來(lái)了極大困難,。
“很多僵尸網(wǎng)絡(luò)只在需要時(shí)才被啟動(dòng),,平時(shí)則‘潛伏’伺機(jī),,隱蔽性強(qiáng)?!蓖鮽ケ硎?,有些僵尸程序非常“聰明”,,在潛伏時(shí),,它們有的每隔一段時(shí)間有規(guī)律地向控制者匯報(bào)情況,有的則無(wú)規(guī)律地“報(bào)平安”,。常規(guī)的檢測(cè)手段很難將它們檢測(cè)出來(lái),,有時(shí)只能通過(guò)檢測(cè)同一網(wǎng)絡(luò)中不同主機(jī)與控制者間的相似數(shù)據(jù)傳輸,才能發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的“蛛絲馬跡”,。
“但是,,即使能夠發(fā)現(xiàn)它,也很難找到其背后的控制者,。”王偉解釋道,,僵尸網(wǎng)絡(luò)從控制者到受控計(jì)算機(jī)之間,,可能存在多個(gè)層級(jí),逐級(jí)進(jìn)行控制,,追蹤者需要一級(jí)級(jí)溯源才能找到“真兇”,。更為復(fù)雜的是,有些僵尸網(wǎng)絡(luò)的某些控制層級(jí)位于暗網(wǎng)之中,,控制者隱藏在暗網(wǎng)之后,,當(dāng)前的溯源技術(shù)對(duì)其幾乎起不到任何作用。
“此外,,對(duì)僵尸網(wǎng)絡(luò)的防御還面臨一個(gè)難題,。”王偉介紹道,,僵尸網(wǎng)絡(luò)往往利用操作系統(tǒng)或軟件漏洞傳染硬件設(shè)備并擴(kuò)大其規(guī)模,,現(xiàn)有的網(wǎng)絡(luò)防御系統(tǒng)大多只能檢測(cè)、抵御已知漏洞的僵尸程序,。但無(wú)論多完善的軟件系統(tǒng)都會(huì)存在未知漏洞,,黑客們只要發(fā)現(xiàn)并利用這些新的漏洞,就可以展開(kāi)僵尸網(wǎng)絡(luò)攻擊,。
隱蔽性強(qiáng),、溯源困難,我們要“種出”怎樣的“豌豆射手”才能避免“僵尸”橫行網(wǎng)絡(luò)空間,?
“現(xiàn)階段,,要想有效應(yīng)對(duì)僵尸網(wǎng)絡(luò)攻擊,需要在主機(jī)、網(wǎng)絡(luò),、管理等三個(gè)層面采取相應(yīng)措施,。”王偉認(rèn)為,,在主機(jī)層面,,我們需要為自己的計(jì)算機(jī)、手機(jī),、物聯(lián)網(wǎng)等設(shè)備安裝殺毒等防御軟件并按時(shí)更新,,保證其能抵御已知的僵尸網(wǎng)絡(luò)攻擊。在網(wǎng)絡(luò)層面,,比如一個(gè)學(xué)?;蚱髽I(yè)的局域網(wǎng),要及時(shí)進(jìn)行針對(duì)僵尸網(wǎng)絡(luò)的全網(wǎng)檢測(cè),,一旦發(fā)現(xiàn)要及時(shí)處理,。
“相比技術(shù)層面的措施,管理層面的措施更為重要,?!蓖鮽?qiáng)調(diào),企業(yè),、政府機(jī)關(guān)等各個(gè)機(jī)構(gòu)要對(duì)員工加強(qiáng)系統(tǒng)化的網(wǎng)絡(luò)安全教育,,提高網(wǎng)絡(luò)安全意識(shí)。比如,,提醒員工要按規(guī)章制度管理和維護(hù)設(shè)備,,及時(shí)更新殺毒軟件、不采用“123456”等低級(jí)密碼等,?!癕irai”就曾利用大量攝像頭,采用默認(rèn)密碼等弱口令,,發(fā)動(dòng)分布式拒絕服務(wù)攻擊,,造成了數(shù)小時(shí)的網(wǎng)絡(luò)癱瘓。
分享到: