殭尸网络
主页 > 
殭尸网络
< 返回

殭尸网络

甚么是殭尸网络?

殭尸网络(Botnet)一词是取自「机械人」(robot)和「网络」(network)而来。殭尸装置(bots)意指自动执行特定恶意任务的装置,包括个人电脑、笔记簿型电脑、智能电话、伺服器、家居路由器等。殭尸网络是由被入侵的装置连结而成的网络,攻击者可以控制殭尸网络为其执行有组织且有恶意意图的任务,而操控殭尸网络的攻击者被称为「殭尸牧人」(bot herder)。殭尸网络为互联网带来严重的保安威胁,大部分的滥发电子邮件、身分盗用、仿冒诈骗和分布式拒绝服务(DDoS)攻击均由殭尸网络引致。

殭尸网络是如何运作的?

以下例子说明殭尸网络怎样建成并发动攻击的:

1.
找出漏洞
一个殭尸网络的建成需要数百个,甚至数百万个殭尸装置。攻击者会找出装置和系统的漏洞,或增加用户接触恶意软件的机会,以取得大量的殭尸装置。
2.
感染装置
社交工程和恶意网站是黑客常用的攻击方式,用以诱使用户下载或执行恶意档案。
3.
控制装置
当黑客认为被入侵的装置已足够,殭尸牧人便可远端控制这些装置以发动网络攻击或其他具有恶意意图的行为。
殭尸网络的威胁

由于殭尸牧人可以将攻击活动分散在互联网上不同地方,所累积的庞大带宽和大量的攻击源头,令以殭尸网络为基础的攻击十分危险而且难以防御。殭尸牧人可以传递指令予殭尸装置以进行恶意活动:

散播讯息(例如滥发电子邮件、发动拒绝服务攻击、提供来自非法控制来源的虚假讯息)。
讯息收集(例如获取身分、登入凭证、财务数据和敏感数据)。
讯息处理(例如挖掘加密货币和破解密码)。
殭尸网络攻击的类型

殭尸网络可用以发动各种网络攻击。常见的殭尸网络攻击如下:

1.
分布式拒绝服务(DDoS)攻击
DDoS攻击是殭尸网络经常发动的一种攻击。殭尸网络中大量被利用的殭尸装置是令互联网通讯超出负荷的理想来源。攻击者可以远端控制每个殭尸装置,并通过向这些装置发送指令来发动攻击。每个殭尸装置都可以向目标伺服器、服务或网络发送请求,大量通讯涌入目标的网络,使其超出负荷并耗尽其资源。
2.
滥发电子邮件攻击
滥发电子邮件是将一些非应邀和不需要的讯息,无差别地发送给大量收件人。殭尸网络通常用于改变滥发电邮通讯,以防止滥发电邮的发送者被发现和被列入黑名单。虽然部分滥发电邮只造成滋扰,此类电邮多为一些商业广告,并不会招致损失,但大多数滥发电邮都可能导致仿冒诈骗攻击和散播恶意软件等不良后果。
3.
仿冒诈骗攻击
仿冒诈骗电子邮件通常包含欺诈连结,这些连结会将受害者连接到冒充为可信赖机构的虚假和恶意网站,并收集受害者的个人和敏感资料,例如登入凭证、银行账户和信用卡详细资料。
4.
暴力攻击
暴力攻击是通过从尝试和错误中,试图以所有可能的组合来猜测受害者的登入凭证。殭尸网络中的殭尸装置可以运行强行入侵网上帐户的程式。弱密码很容易被攻击,导致个人和敏感数据泄漏。
5.
点击欺诈
殭尸牧人可以控制殭尸装置进行点击欺诈,这些装置又名点击殭尸装置,冒充成正当的装置浏览网页,点击网页内的目标超文本连结。每个点击殭尸装置都具有不同互联网规约地址,因此每次点击看起来都像来自不同的用户,不会引起怀疑。对于按点击率付费的线上广告,点击殭尸装置所创造的大量点击率可以带来可观收益。点击率高更可以令恶意网站在搜索引擎中有更高的排名,使其看似合法。
6.
挖掘加密货币
加密货币挖掘者可以从验证加密货币交易的合法性而获得奖励。挖掘加密货币需要具竞争力的挖掘电脑和电源,殭尸网络中的殭尸装置可提供处理能力、电力和互联网带宽来挖掘加密货币。这些装置所累积的能力可以为挖掘带来高计算能力,提高挖掘者的产量。
被殭尸网络感染的征兆
1.
装置的应用程序或系统经常无故终止执行。
2.
网络连线变慢。
3.
装置无法正常关机。
4.
装置出现异常,如电池电量急跌、网络连线突然中断等。
5.
系统内置记忆体或可用磁碟空间突然减少。
6.
屏幕在未有使用网页浏览器的情况下弹出广告。
7.
在你不知情的情况下从你的帐户发送电子邮件/短讯。
8.
IRC通讯由特定范围的连接埠发出。
9.
同时发出相同的域名系统(DNS)请求,或预设的DNS伺服器被修改。
10.
发出大量的外发简单邮递传送规约(SMTP)等。
如果被感染应如何应对
1.
切断受影响装置与互联网的连线。
2.
使用抗恶意程式码软件扫描受影响的装置。
3.
立即为所有系统、应用程式、抗恶意程式码软件安装最新的修补程式和更新。
4.
为受影响的装置进行格式化,并将其重设为出厂设置。
保护自己免受殭尸网络感染
1.
及时更新操作系统、应用程式和浏览器
当发现操作系统、应用程式、软件和浏览器存有漏洞时,产品供应商会发布新的修补程式来修补漏洞。如未有及时进行更新,攻击者便有机可乘,利用漏洞取得过大权限从而控制你的装置,所以更新你的系统并确保没有漏洞是十分重要的。
2.
使用防火墙
防火墙是过滤恶意讯息并防止未获授权的装置连接到你的网络的第一道防线。适当配置的防火墙可以阻挡不同的网络攻击。
3.
安装抗恶意程式码软件
一个优良的抗恶意程式码软件可以防御、侦测和移除各种殭尸网络的恶意软件。为你的电子装置安装抗恶意程式码软件和定期进行扫描,对保护你的装置至关重要。
4.
适当地配置系统
适当地配置系统,例如停止使用“AutoRun”和避免安装来源不可靠的软件。
AutoRun功能允许装置自动安装软件,停用此功能可以防止系统盲目地执行外来的指令。
将流动装置配置为只从可信或官方应用程式商店下载应用程式,并禁止从非官方应用程式商店下载应用程式、取得根权限/越狱等。
5.
使用抽取式储存器前先进行扫描
抽取式磁碟常用来在装置间转移数据。如果抽取式磁碟已被感染但未被发现,并在工作站使用,便有可能损害企业的网络。为避免出现此情况,使用抽取式储存器前应先用抗恶意程式码软件进行扫描,以确保储存器并没有恶意软件。
6.
注意弹出式视窗和可疑网站
攻击者可能会使用弹出式视窗或虚假软件下载网站来诱使你下载恶意软件。弹出式视窗可能会声称你的装置已被恶意软件感染,需要安装抗恶意程式码软件。你点击弹出式视窗中的「下载」按钮便可能会下载恶意软件,故此所有软件都应从官方或可信的网站下载。
7.
提防可疑电子邮件
经电子邮件散播恶意软件是一种常见的方法,攻击者可以将恶意软件嵌入电子邮件的附件中。如果你未能辨识电子邮件的发件人,应保持警惕,切勿从这些可疑电子邮件下载任何附件。
保护你的企业免受殭尸网络感染

为了保护你的企业免受殭尸网络感染,除了上述的保安措施外,你亦应采取以下措施:

1.
实施网络区隔
你可将用户及其工作站划分成不同组别,并最好把各组别分成不同的网络区段。不同网络区段的工作站无法相互通讯。万一有工作站被感染,位于其他网络区段的装置并不会受到影响,有助阻止殭尸网络的传播。
2.
加强监控
密切监察失败的登录尝试或DNS查询等系统异常事件,有助及早侦测感染,令系统管理员得以在感染散播并危害整个网络的装置前及时采取行动。
3.
提高员工的意识
提高员工的网络安全意识是预防网络攻击的关键。应定期为员工安排培训,提高员工对防御网络攻击的认识,当中包括但不限于:
识别仿冒电邮/网站。
只会从官方网站或可信来源下载软件。
及时向相关人员(例如IT支援人员)报告异常事件。
避免浏览可疑网站或从中下载任何档案。
定期为员工安排网络安全意识培训,让员工了解最新的保安威胁趋势和良好作业模式。
让员工了解企业的保安政策和指引等。
延伸阅读
1.
香港网络安全事故协调中心(HKCERT) - 殭尸网络侦测及清理
2.
European Union Agency for Cybersecurity(ENISA) - Botnets(只提供英文版)

免责声明:用户亦应留意本网站的免责声明。在下载和使用保安软件和工具前,应细阅相关的用户协议和私隐政策。