【云盘算网络安全】僵尸网络详解:工作原理、控制和保护方法
https://img-blog.csdnimg.cn/3ef987cda6504aa6ab00da136cf7d000.png一、什么是僵尸网络?
僵尸网络(Botnet)是一组遭到恶意软件感染并被恶意用户控制的盘算机聚集。这个术语由"呆板人(Bot)"和"网络(Net)“两个词组合而成,每一台受感染的装备被称为"呆板人”。僵尸网络被滥用来执行非法或恶意的使命,包括发送垃圾邮件、窃取数据、流传勒索软件、进行敲诈性广告点击,以及实行分布式拒绝服务(DDoS)攻击。
尽管某些恶意软件,如勒索软件,会直接影响装备的所有者,但DDoS僵尸网络的恶意软件在装备上的可见性各不雷同。有些恶意软件用于完全控制装备,而其他恶意软件则以背景历程的方式悄悄运行,等待攻击者或"僵尸掌控者"的指令。
自我流传的僵尸网络通过多种途径来招募更多的呆板人。感染路径包括使用网站漏洞、特洛伊木马恶意软件以及破解弱暗码来获取长途访问权限。一旦获得访问权限,所有这些感染方式都会在目标装备上安装恶意软件,以便僵尸网络的操作者进行长途控制。一旦装备感染,可能会试图通过向四周的网络招募其他硬件装备,以流传僵尸网络的恶意软件。
固然无法确定特定僵尸网络中呆板人的确切数量,但根据估计,复杂的僵尸网络可以包罗从几千台到数百万台不等的呆板人。
https://img-blog.csdnimg.cn/99f5378cc3fd4d5597d0d979de45e8cd.png
二、僵尸网络因为什么原因而诞生?
使用僵尸网络的原因多种多样,包括激进主义和国家支持的破坏活动,以及为了经济利益而进行的攻击。在线招募僵尸网络服务的成本相对较低,尤其是考虑到可能造成的损失时,代价优势显著。别的,创建僵尸网络的门槛也很低,因此成为某些软件开辟职员的盈利方式,尤其在羁系和执法力度有限的地域得到广泛应用。总之,提供出租招募服务的在线平台已经迅速在全球盛行开来。
https://img-blog.csdnimg.cn/fbdb881f447d4c8499807e325c9b209f.png
三、僵尸网络重要用途
僵尸网络作为非法活动的署理服务器,不会暴露犯罪者的身份。通过使用数千个装备进行非法活动,犯罪的起源得以隐匿,同时为网络犯罪分子提供了几乎无穷的盘算能力。这些能力可以用于:
[*]提交广告敲诈。可以使用数千台电脑重复点击广告,为使用广告点击赚钱的敲诈者提供富足的利润。
[*]下载并分发非法材料,如儿童色情内容,或一样寻常垃圾邮件人在线。公司将付出巨额的资金,尽可能广泛地流传广告。租用僵尸网络或雇用一个可以访问的业务是实现此目的的最简单的方法。
[*]挖掘比特币可以通过将工作量分散在数千呆板人上来使其变得更富有。
[*]窃取您的私人数据,包括通过使用键盘记录器来窃取暗码和信用卡信息。
[*]提交僵尸网络 DDoS 攻击和重载,弄崩溃一个在线服务,如Twitter或Spotify。
[*]发送垃圾邮件,以骗取新的受害者的信用卡信息和私人信息。
[*]通过电子邮件附件将勒索软件ransomware流传给新的受害者。
[*]每个盘算机都可以算作一个独一无二的投票,以僵尸网络进行投票敲诈可以极大地影响效果。
[*]强力攻击企业服务器,找出一个暗码,并访问一个重要的业务网络。
宙斯僵尸网络,由 360 万呆板人组成,可能与您的装备接触。Zbot 和其他恶意软件源自 Facebook 等受欢迎的感染渠道。互联网装备易受攻击,先前的攻击已瘫痪了多个服务。黑客可以在 15 分钟内创建僵尸网络,影响乃至包括您的冰箱和家用电脑。每个人都可能受到影响,因此纵然不知情的情况下,你的盘算机到场非法活动也必要负责任。
四、僵尸网络如何工作?
像任何恶意软件感染一样,bot 感染有特定的阶段,进入系统,与 botmaster 进行通信并执利用命。对他们的最好解释如下:
https://img-blog.csdnimg.cn/2fcee255c85a4e94a46e1dd883ee822a.png
4.1 感染
botmaster 发送恶意软件来感染盘算机。这些可以通过驱动下载,可疑电子邮件附件或社交媒体帖子中的链接进入您的盘算机。bot 恶意软件将使用您软件中的漏洞,通过你过期的插件或过期的操作系统探求后门访问。然后,它就在你的系统中生根了。
4.2 毗连
在你的系统中,恶意软件将使用互联网与下令和控礼服务器(C2)进行毗连。你的盘算机将在此阶段保持闲置,bot 休眠,除了定期查抄 botmaster 的指示外。由于系统的影响云云之小,你却完全不了解这齐备。
4.3 控制
僵尸网络作为一个团体可能会在等待执利用命时休息一段时间。一旦 botmaster 有一个僵尸网络的目标,他/她就会通过下令和控礼服务器向bots 发送指令。在这个阶段,僵尸网络引导程序唤醒并开始执行恶意活动,例如发送垃圾邮件或到场 DDoS 攻击。
4.4 滚雪球复制
同时,botmaster 将专注于招募越来越多的电脑来扩展僵尸网络。由于这些电脑似乎没有做任何事变,僵尸网络可能会包罗成千上万的僵尸电脑,而不会引起任何猜疑。
五、如何控制僵尸网络?
僵尸网络的核心特征是可以或许接收僵尸牧人(bot herder)发出的更新指令。由于可以或许与网络中每个呆板人进行通讯,攻击者可改变攻击本领、更改目标IP 地址、终止攻击或进行其他自定义行动。
僵尸网络设计各不雷同,但控制布局可分为两大类:
https://img-blog.csdnimg.cn/c42335f45e4b45338e8709c7d209eb1d.png
5.1 客户端/服务器僵尸网络模子
客户端/服务器模子模拟传统长途工作站的工作流程,其中每台呆板都毗连到集中式服务器(或少数集中式服务器),以便访问信息。在这种模子中,每个呆板人将毗连到下令和控制中心(CnC)资源(例如 Web 域或 IRC 通道),以便接收指令。通过使用这些集中式存储库向僵尸网络传达新下令,攻击者只需修改每个僵尸网络从下令中心获取的原始资源,即可向受感染呆板传达最新指令。控制僵尸网络的集中式服务器可以是攻击者自有及操控的装备,也可以是一台受感染的装备。
目前已发现大量流传甚广的集中式僵尸网络拓扑,包括:
5.1.1 星形网络拓扑
https://img-blog.csdnimg.cn/24aa77a1f9674b98be2156d25a6f632d.png
5.1.2 多服务器网络拓扑
https://img-blog.csdnimg.cn/45c1c33aa67046cf895e221157845b59.png
5.1.3 分层网络拓扑
https://img-blog.csdnimg.cn/35017187387840149991ee8b78bb0503.png
在以上各类客户端/服务器模子中,每个呆板人均毗连下令中心资源(如 Web 域或 IRC 通道)以接收指令。鉴于使用这些集中式存储库向僵尸网络传达新下令,攻击者只需从一个下令中心修改各个僵尸网络占用的原始资源,即可向受感染呆板传达最新指令。
同时,使用有限数量的集中泉源即可向僵尸网络发送最新指令,这种轻便性成为此类呆板的又一漏洞;若要移除使用集中式服务器的僵尸网络,只需停止这台服务器便可。在这一漏洞的驱使下,僵尸网络恶意软件创建者不断发展,探索出一种不易受到单一或少量故障点干扰的新模子。
5.2 点对点僵尸网络模子
为规避客户端/服务器模子漏洞,最近恶意用户一直使用分散式对等文件共享组件设计僵尸网络。在僵尸网络中嵌入控制布局,消除采用集中式服务器的僵尸网络的单点故障,缓解攻击的难度随之进步。P2P 呆板人可以同时是客户端和下令中心,协同相邻节点流传数据。
点对点僵尸网络会维护受信托的盘算机列表,僵尸网络可根据列表往来通信并更新其恶意软件。限制呆板人毗连的其他呆板数量,使每个呆板人仅对相邻装备公开,这使得跟踪和缓解难度相应增高。由于缺乏集中式下令服务器,点对点僵尸网络更轻易受到僵尸网络创建者以外的其他用户的控制。为防止失控,分散式僵尸网络通常经过加密以限制访问。
https://img-blog.csdnimg.cn/a6372d664bbd47cd8351ca57c45af98c.png
六、IoT 装备如何变身为僵尸网络?
固然无人会使用后院观鸟器的无线 CCTV 摄像头进行在线银行业务,但这并不意味着这些装备不能发出必要的网络请求。物联网(IoT)装备的强大功能,结合薄弱的安全性和不当的配置,为僵尸网络恶意软件吸纳新的呆板人提供了机会。随着物联网装备的不断增加,DDoS攻击也在升级,因为许多装备轻易受到攻击,配置不当。
如果物联网装备的漏洞嵌入在固件中,更新变得更加困难。为减少风险,应定期更新使用过期固件的 IoT 装备,因为默认凭据通常不会改变。由于许多便宜硬件制造商不注意装备安全性,因此僵尸网络恶意软件使用物联网装备的漏洞仍然存在,这一安全风险尚未消除。
七、如何禁用现有的僵尸网络?
7.1 禁用僵尸网络的控制中心
如果可以辨认控制中心,禁用按照下令和控制模式设计的僵尸网络也会变得更加轻松。切断故障点的头节点可以使整个僵尸网络进入离线状态。因此,系统管理员和执法职员可集中精力关闭这些僵尸网络的控制中心。如果下令中心地点的国家/地域执法力度较弱或不愿做出干预,实行难度将进一步加大。
7.2 制止个人装备感染
对于个人盘算机,若要重新获得对盘算机的控制权,可以采用以下计谋:运行防病毒软件、使用安全备份重新安装软件,或者在重新格式化系统后使用初始状态的盘算机重新启动。对于 IoT 装备,则可采用以下计谋:刷新固件、恢复出厂设置或以其他方式格式化装备。如果这些方案不可行,装备制造商或系统管理员有可能提供其他计谋。
八、如何保护装备,防止其参加僵尸网络?
https://img-blog.csdnimg.cn/357f1f8d2aaf4df6beff57bc435b5770.png
8.1 创建安全暗码
对于许多易受攻击的装备,减少遭受僵尸网络攻击的危险,可能只必要更改管理凭据,以制止使用默认用户名和暗码。创建安全暗码可增加暴力破解的难度,创建了高度安全的暗码,则暴力破解几乎不再可能。例如,感染 Mirai 恶意软件的装备将扫描 IP 地址,查找相应装备。一旦装备对 Ping 请求做出相应,呆板人将尝试使用一个预设默认凭据列表登录找到的装备。如果更改了默认暗码并且采用了安全暗码,呆板人将放弃并继续探求更轻易攻击的装备。
8.2 仅答应通过可信方式执行第三方代码
如果采用手机的软件执行模式,则仅答应的应用可以运行,赋予更多控制来终止被认定为恶意的软件(包括僵尸网络)。只有管理软件(如内核)被使用才会导致装备被使用。这取决于首先具有安全内核,而大多数 IoT 装备并没有安全内核,此方法更适用于运行第三方软件的呆板。
8.3 定期擦除/还原系统
在过了设定的时间后还原为已知良好状态,从而删除系统收集的各种垃圾,包括僵尸网络软件。如果用作防备措施,此计谋可确保纵然恶意软件静默运行也会遭到抛弃。
8.4 实行良好的入口和出口过滤实践
其他更高级的计谋包括在网络路由器和防火墙执行过滤。安全网络设计的一个原则是分层:在公共可访问资源四周的限制最小,同时对您以为敏感的内容增强安全保护。别的,对凌驾界限的任何内容进行过细查抄:包括网络流量、U 盘等。采用高质量过滤的做法后,更有可能在 DDoS 恶意软件及其流传方法和通讯进入或离开网络前将其拦截。
文末送书《云盘算安全——呆板学习与大数据挖掘应用实践》
今天博主保举的是:国内首本“数据要素安全流通”主题的著作 --《数据要素安全流通》
[*] 到场方式:关注博主,评论区留言即可到场
[*] 送出数量:暂定送出 1~2 本给粉丝
https://img-blog.csdnimg.cn/0145478f3ac844d091bca65fc5405f71.png
[*]京东官方购买链接:https://item.jd.com/13075223.html
本书扼要介绍了人工智能、云盘算、大数据挖掘等基础知识,重点阐述了人工智能和大数据挖掘技能应用在云盘算安全范畴,用于解决云盘算场景所面临的系列信息安全难题,如传统的网络信息安全防护措施无法直接部署到云盘算场景、云内病毒感染成指数级扩散、针对云基础办法的高级威胁攻击难以被及时发现等。别的,详细阐述了人工智能的呆板学习算法在解决云网络微隔离、云主机防恶意代码、云东西向流量全息剖析和云安全运维主动化等方面的应 用,并用现实实现原型来深入探究实践过程中所碰到的难题及解决思路。
内容简介
本书既有理论研究,又有实践探究,共分为6章,讲解了云盘算安全中人工智能与大数据挖掘技能的应用实践。
[*]第1章从概念、发展、标准等角度宏观地介绍了云盘算安全;
[*]第2章从云盘算安全需求的角度阐释云盘算安全的核心目标、公有云场景下的安全需求和私有云场景下的安全需求;
[*]第3章全面、系统地介绍了公有云安全技能体系和私有云安全技能体系;
[*]第4章详细介绍了人工智能技能在云盘算安全范畴的应用实践;
[*]第5章详细介绍了大数据挖掘技能在云盘算安全范畴的应用实践;
[*]第6章介绍了人工智能和大数据挖掘技能的综合应用,提出云数据中心安全防护框架,并详细介绍了云数据中心安全态势感知系统。
本书是人工智能与大数据挖掘技能在云盘算安全范畴的应用实践参考书,适用于人工智能、大数据挖掘、云盘算、网络信息安全相关范畴的从业职员。
关于作者
王智民,男,清华大学物理学硕士,经管学院MBA。曾任职华为、华三、遐想等企业,现就职于北京六方云科技有限公司,联合创始人,CTO。2003年进入网络安全范畴从事产品研发与技能管理至今,在工控安全、云安全、人工智能安全等范畴有多年的深入研究和产品研发经验,申请30多个相关发明专利,到场多个国家标准撰写。
[ 本文作者 ] bluetata
[ 原文链接 ] https://bluetata.blog.csdn.net/article/details/133608132
[ 最后更新 ] 10/10/2023 1:47
[ 版权声明 ] 如果您在非 CSDN 网站内看到这一行,
说明网络爬虫可能在本人还没有完整发布的时候就抓走了我的文章,
可能导致内容不完整,请去上述的原文链接查看原文。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]