1、僵尸网络概念
僵尸网络(Bontnet)是指采用一种或多种转播手段,将大量主机感染bot程序(僵尸程序)病毒,从而控制这和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络
控制僵尸网络的攻击者称为“僵尸主控机(Botmaster)”。僵尸主控机通过僵尸网络的命令与控制(Command and Control, C&C)服务器向bot发布命令,C&C充当僵尸主控机和僵尸网络之间的接口。如果没有C&C服务器,僵尸网络将退化为一组无法协同运行的独立的受恶意软件入侵的机器。这就是可控性成为僵尸网络的主要特点之一的原因。
2、主要特点
根据我们对僵尸网络的定义,它主要有一下几种特点:
受感染计算机组成的网络:僵尸网络不仅是对许多计算机的大规模感染,更是一个由受感染计算机组织成的网络,并且相互之间或者和一个中间实体之间能够进行通信,并根据指令以协作的方式采取行动。
能远程调度:僵尸网络必须能够接收并执行攻击者或者僵尸主控机发送的命令,并且根据这些指令以协作的方式采取行动。这就是僵尸网络和其他恶意软件,例如远程控制木马的不同之处。
用来进行恶意活动:威胁存在的主要原因是它实施恶意活动,其主要目的是执行攻击者的指令。
3、僵尸网络的危害
随着僵尸网络的不断渗透和扩散,公司必须比以往更加重视和了解边界安全。为此,公司不仅需要了解僵尸网络的功能和运行机制,也需要了解它们所带来的安全威胁。
对僵尸网络非法入侵做出快速有效的响应,对企业来说可能是一项最为紧迫的挑战。不幸的是,光靠利用基于签名的技术来消除这些安全威胁是远远不够的。使用这种技术往往会花费数小时甚至是数天时间,才能检测到僵尸网络并对其做出响应。僵尸网络最容易吸引各类高科技网络犯罪分子,他们可以借助僵尸网络的温床酝酿和实施各种网络攻击和其他非法活动。
僵尸网络的所有者会利用僵尸网络的影响力对企业展开有针对性的攻击。除了分布式垃圾邮件和攻击电子邮件数据库之外,他们还会发动分布式拒绝服务攻击。僵尸网络越来越喜欢利用窃取企业财务信息或者商业机密,进而对企业进行敲诈勒索和追逐其他利益活动。 另外,他们还可以利用企业与企业之间的网络互联或者其他同行合作伙伴来扩大攻击。这也就是为什么企业已经成为僵尸网络重点攻击的受害群体之一的重要原因。
当僵尸网络获得访问公司网络的权限之后,它们就可以肆意捕捉和偷窃公司客户的银行卡、交易和其他重要数据。这样一来,不仅严重危害了客户的私人利益,也损害了公司的宝贵资源和企业形象,从而对企业造成致命创伤。
4、如何阻止僵尸网络:
确保你的VPN设置了一个终止开关
开发强大的系统来捕获和阻止BEC
建立严防BEC的文化
切换到手动软件安装
启用Windows防火墙
使用数据过滤
打破域信任关系
采取额外的预防措施
增强和增加网络监控
使用代理服务器控制网络访问
应用最低特权原则
监视对域名系统的查询响应