殭屍網絡對您的組織構成越來越大的威脅：原因如下

如今，網絡犯罪分子可以使用各種各樣的工具。 殭屍網絡是最基本和最危險的工具之一。

今天幾乎所有的網絡攻擊都以一種或另一種形式使用殭屍網絡。 即使是由人類黑客直接發起的攻擊，例如手動滲透嘗試，通常也會在殭屍網絡探測目標網絡並執行漏洞掃描之前進行。 因此，對於高管來說，了解殭屍網絡的工作原理以及如何保護他們的網絡免受殭屍網絡攻擊至關重要。

什麼是殭屍網絡？

顧名思義，殭屍網絡是殭屍網絡。

“Bot”是網絡機器人的縮寫，也稱為“互聯網機器人”或“萬維網機器人”。 機器人是一種軟件應用程序，可以自動執行人類可能會執行的活動。 機器人今天被廣泛使用，因為機器人可以比人類更快、更大規模地執行許多活動。

並不是所有的機器人都是壞的。 事實上，有不同類型的機器人，包括許多在大多數網站上都受歡迎的好機器人。 搜索引擎蜘蛛和網絡購物引擎可能是最常見的優秀機器人示例。

但是，殭屍網絡由敵對機器人組成； 在受感染設備的大型網絡上運行的惡意軟件程序。 每個機器人定期與中央 C&C（命令和控制）服務器通信； 這就是黑客控制殭屍網絡並向殭屍程序發出指令，命令它們發動各種攻擊的方式。 運行機器人的受感染設備的所有者通常不知道正在發生任何這種情況。

殭屍網絡可以根據它們運行的設備類型進行分類。 最強大的殭屍網絡往往是大型個人計算機網絡。 黑客通過在機器上安裝惡意軟件來構建這些網絡； 一種常見的方法是發送包含特洛伊木馬附件的垃圾郵件，或者可能是惡意鏈接，單擊該鏈接會導致安裝機器人程序。 無論構建如何，在受感染 PC 上運行的殭屍網絡都是黑客夢寐以求的工具，因為底層 PC 具有多種功能。

另一端是由物聯網 (IoT) 設備組成的殭屍網絡。 在過去的幾年裡，市場上出現了許多聯網的“智能”設備：從恆溫器到門鈴再到安全攝像頭，應有盡有。 不幸的是，這些設備中的許多都沒有強大的安全性，黑客已經能夠破壞無數的設備，奴役它們並將它們整合到大型殭屍網絡中。

由於物聯網設備比 PC 更簡單且功能更有限，因此物聯網殭屍網絡能夠進行的攻擊不如基於 PC 的殭屍網絡複雜。 例如，大多數物聯網設備沒有電子郵件軟件，而大多數 PC 有； 因此，PC 殭屍網絡可用於大型垃圾郵件活動，而物聯網殭屍網絡則不能。

然而，凡是缺乏質量的東西，都可以用數量來彌補； 一些物聯網殭屍網絡非常龐大，包含數十萬個被奴役的設備。 這些網絡往往用於更簡單的容量攻擊，如 DDoS，其中產生的流量是攻擊的主要特徵。

殭屍網絡可以用於哪些類型的攻擊？

今天，殭屍網絡被用於許多不同類型的攻擊。 以下是一些最常見的。

DDoS（分佈式拒絕服務）

在 DDoS 攻擊中，殭屍網絡會產生大量流量，全部針對一個目標。 黑客的目標是向目標站點或 Web 應用程序發送大量傳入的 HTTP 請求，使其對目標用戶不可用。 理想的結果（從黑客的角度來看）是使目標完全崩潰並使其脫機。

但是，即使性能嚴重下降也將被視為成功。 現代 DDoS 攻擊可以達到驚人的數量； 在撰寫本文時，當前記錄是針對使用 Amazon Web Services 的組織的 2.3 Tbps 攻擊。 毫無疑問，這個記錄很快就會被更大的攻擊打破。

垃圾郵件

在互聯網的早期，垃圾郵件發送者會使用少量計算機發送大量消息。 安全公司適應並開始公佈這些計算機的 IP 地址，使安全軟件很容易阻止它們。

今天，垃圾郵件發送者通過使用大型殭屍網絡來實現他們的目標來避免這種情況。 每個被奴役的設備發送的消息相對較少，這使得安全組織更難識別垃圾郵件活動的來源。 然而，殭屍網絡的規模意味著垃圾郵件發送者仍然可以在短時間內發送數千甚至數百萬條消息。 此外，一些殭屍網絡不僅可以通過電子郵件執行此操作，還可以生成 SMS 垃圾郵件。

漏洞掃描

殭屍網絡進行漏洞掃描； 他們系統地探測互聯網上的網絡，尋找具有尚未修補的已知漏洞的系統。 當發現可利用的系統時，黑客會跟進直接破壞嘗試和其他攻擊。

惡意軟件安裝

有時，漏洞掃描後不會進行人工干預。 對於某些類型的漏洞，當發現大量潛在受害者時，會使用殭屍網絡訪問易受攻擊的系統並感染惡意軟件。 這裡流行的選擇包括勒索軟件，或者對於個別機器，有時會安裝殭屍軟件，它將每台新機器吸收到殭屍網絡中。

SEO鏈接和垃圾內容

接受用戶生成內容（如產品評論、評論等）的站點和 Web 應用程序經常受到殭屍網絡的困擾。 機器人創建虛假帳戶，然後嘗試添加虛假“內容”，例如包含指向特定站點的反向鏈接的小塊文本。 黑客的主要目標是提高鏈接站點在搜索引擎中的可見性，甚至可能讓一些訪問者通過受害 Web 應用程序中的這些鏈接直接到達。

賬戶接管

當黑客入侵大型網站時，他們通常會收集數千個憑據集，例如用戶名和密碼組合。 他們知道，不幸的是，許多人仍然在許多不同的網站上使用相同的憑據。 因此，一旦黑客從一個站點獲得了帳戶憑據列表，他們就會嘗試使用被盜憑據登錄到許多其他站點。

這種憑證填充很常見； 殭屍網絡將訪問黑客想要接管帳戶的知名網站，並系統地將竊取的憑據“填充”到該網站的登錄表單中。 通常，至少其中一些登錄嘗試會成功，這意味著攻擊者可以控制新站點上的這些帳戶。 殭屍網絡是這一過程的重要組成部分，因為它通常涉及成千上萬甚至數百萬的系統登錄嘗試，這超出了人類攻擊者的能力。

支付卡欺詐

威脅參與者使用殭屍網絡來驗證被盜的支付卡。 機器人將卡號填充到 Web 應用程序中，以查看它們是被接受還是被拒絕。 類似的技術用於發現新卡片； 機器人循環遍歷潛在的數字並將它們輸入到 Web 應用程序中。 這是竊取攻擊者以前不知道的額外卡片的一種粗略但有效的方法。

抓取和數據盜竊

黑客使用殭屍網絡來抓取網站和 Web 應用程序，複製數據用於各種非法目的。 在某些行業（例如電子商務、保險等），定價數據是有價值的信息； 事實上，不正當的企業有時會僱用威脅行為者來抓取競爭對手的網站以獲取它。 在其他行業，例如數據聚合，企業正在出售對內容的訪問權，而殭屍網絡抓取是對商業模式的直接威脅。

應用程序濫用

威脅行為者經常將殭屍網絡用於高度專業化的目的，針對目標組織進行定制。 一個常見的例子是庫存拒絕，其中殭屍網絡用於訪問商業網站或移動應用程序，並開始購買過程，而從未完成交易。 這可以在指定的時間內從庫存中刪除物品，從而使實際客戶無法購買它們。 除了被阻止的銷售收入損失外，這可能會給受害者帶來額外的問題。

殭屍網絡攻擊旅遊網站和應用程序很常見； 機器人查詢航班時刻表並開始進行預訂——這會將座位從庫存中移除一段時間，通常是 10 或 15 分鐘——但從不購買機票。 這不僅會在任何給定時間從可用庫存中刪除許多座位，而且還會為旅遊網站產生大量數據查找費用。

許多旅遊網站依賴外部數據源獲取航班時刻表信息，並按查詢付費； 因此，機器人活動會對目標造成直接的經濟損失。

為什麼殭屍網絡攻擊如今如此普遍？

任何參與網絡安全的人都知道，如今，針對敵對機器人的強大防禦至關重要。 上述殭屍網絡攻擊非常頻繁地發生。

機器人佔當今網絡流量的近三分之二。 有些是很好的機器人，例如搜索引擎蜘蛛。 其餘的——超過一半的機器人——是敵對的。 來源：Reblaze 處理的流量（每天超過 80 億個 HTTP/S 請求）

這件事情是由很多原因導致的。 殭屍網絡很常見，並且總是在構建新的。 網絡犯罪分子使用殭屍網絡是因為它們是必要的。 沒有它們，前面描述的大多數攻擊都是不可能的。

今天的威脅參與者包括從俄羅斯的有組織犯罪團伙到中國的國家支持的黑客。 大多數黑客都是老練和高技能的。 許多人也有充足的資金。 他們將使用任何必要的工具來實現他們的目標。 因此，總是在構建更大更好的殭屍網絡。

他們對黑客有利可圖

控制強大殭屍網絡的威脅參與者有很多獲利機會。 這裡有幾個。

DDoS 勒索

黑客將對網站發起大規模 DDoS，然後向網站所有者發送贖金要求。 他們威脅要維持攻擊，直到支付贖金。 成功的 DDoS 可以阻止客戶訪問網站或應用程序，因此網站所有者通常會支付贖金，而不是承受攻擊帶來的持續收入損失。

出售被盜數據

如前所述，殭屍網絡可用於竊取多種有價值的信息。 某些類型的數據，例如支付卡號，可以被黑客直接使用和/或在暗網上轉售，那裡有大型成熟的市場用於此目的。 有效的帳戶憑據也很有價值。

電子郵件和短信垃圾郵件

多年前，大多數垃圾郵件發送者都在發送大量電子郵件來銷售不正當產品或實施其他詐騙。 今天，網絡釣魚活動和其他非法活動猖獗。 此外，殭屍網絡所有者不僅可以通過發送自己的消息來獲利，還可以通過向其他犯罪分子提供垃圾郵件即服務來獲利。

搜索引擎優化垃圾郵件

殭屍網絡通常出租給所謂的“SEO 服務”，他們在網絡上執行鏈接刪除活動。

其他惡意軟件服務

除了垃圾郵件和 SEO，黑客還可以出於多種目的出租殭屍網絡資源：廣告欺詐、應用程序濫用、抓取等。 現在有一個活躍的市場，我們將在下面討論。

殭屍網絡便宜、數量多且易於租用

暗網可能以文件共享和非法藥物銷售而聞名。 但它也是許多網絡犯罪論壇和地下市場的所在地。

具有各種專業和技能的黑客提供他們的服務以供出租。 攻擊工具和其他軟件在在線市場上銷售，買家可以對產品進行評分並留下評論。 殭屍網絡可以按小時、天或週租用。

多年前，想要構建殭屍網絡的威脅參與者必須從頭開始構建一個，這是一項艱鉅且昂貴的任務。 今天，一個通用的 DDoS 殭屍網絡可以以每天 50 美元的價格租用。 當攻擊資源如此豐富且價格低廉時，殭屍網絡攻擊如此普遍也就不足為奇了。

如何保護您的網絡免受殭屍網絡攻擊

由於殭屍網絡攻擊有不同的形式，因此必須在幾個不同的戰線上對它們進行適當的防禦。 最佳實踐可分為針對 DDoS 的具體措施、針對其他容量攻擊的具體措施以及適用於所有機器人攻擊的一般原則。

在所有殭屍網絡攻擊中，DDoS 攻擊是最引人注目的類型。 現代 DDoS 攻擊的規模和規模可能是驚人的，資源不足的 Web 應用程序可能會很快被淹沒。

幸運的是，一個站點擁有足夠的帶寬和其他資源來抵禦當今的 DDoS 是很簡單的。 現代云平台使為 Web 應用程序設置自動擴展變得簡單，以便在需求升級時快速自動地上線更多資源。

如果您的網站還沒有此功能，您應該盡快添加。 此外，如果您當前沒有將 Web 安全解決方案運行到雲中，請考慮將其遷移到那裡。 然後它也將能夠動態地自動擴展以響應不斷變化的威脅條件。 受保護的 Web 應用程序很少需要自動擴展，因為 DDoS 流量永遠不會到達它們。

在考慮 DDoS 防禦時，請確保您了解當前可用的所有選項。 DDoS 保護服務正在變得廣泛可用； 例如，頂級雲平台現在包括針對網絡和傳輸層上的容量 DDoS 的內置緩解措施。 您應該利用您可以使用的任何服務。

其他技巧包括使用 CDN 提供靜態內容； 這可以減少體積攻擊的影響。 傳統上，這主要是針對單個文件（圖像、媒體、腳本等）完成的，但今天有一個更大的趨勢是盡可能使整個頁面保持靜態。 這可以減少站點對非容量威脅的攻擊面，並且作為獎勵，還將提高系統對用戶的感知響應能力。

其他類型的體積攻擊

某些形式的殭屍攻擊仍然需要殭屍網絡發送大量流量，但其目標不是壓倒目標。 一個常見的例子是憑證填充：殭屍網絡可能會嘗試訪問一個登錄表單數千次。 因此，攻擊是容量性的（它包括發送到目標的大量請求），但並非旨在造成 DDoS。

擊敗這些攻擊可能具有挑戰性，因為它需要目標 Web 應用程序識別出大規模攻擊正在發生，因此它可以拒絕請求。 然而，一個複雜的殭屍網絡將通過其被奴役的設備快速輪換其請求。 目標可能只接收來自任何給定 IP 地址的一個請求。 由於傳統的限速算法對來自每個流量源的請求進行計數，因此這些算法無法防禦這些類型的攻擊。

因此，當今強大的防禦必須包括可靠的機器人管理和人工驗證能力。 Web 安全解決方案必須能夠檢測自動流量，無論該特定流量源向受保護應用程序發送了多少（或多少）請求。

較舊的安全解決方案依賴於黑名單、簽名、瀏覽器驗證和一些其他技術來檢測惡意機器人。 這些技術已經不夠用了。 為了可靠地檢測最新一代的機器人程序和應用程序級攻擊（例如庫存拒絕），現代安全解決方案包括行為分析等功能。 他們學習並理解合法用戶對他們所保護的應用程序的特徵和行為模式。 這使他們能夠識別惡意流量來源並阻止它們。

最後，我們應該提到一些看似顯而易見但經常被忽視的最佳實踐。 首先，您的 Web 應用程序應該強制執行嚴格的安全策略，例如，當一個站點遇到給定帳戶的多次失敗登錄嘗試時，應該暫時禁止/禁用該帳戶以防止 ATO（帳戶接管）攻擊。

其次，您的網絡必須盡可能不透明。 當錯誤情況發生時，它應該以最少的信息做出適當的響應。 這將防止黑客學習後端實現細節，這將使他們更難發現漏洞。

說到漏洞，我們將以看似非常明顯但必須說的建議結束本節：您的網絡必須保持最新！ 您的組織需要嚴格的內部政策，以確保安全補丁和升級在發布後立即安裝，因為殭屍網絡一直在尋找具有未修補漏洞的系統。

你可能已經無數次聽到這個建議了。 是的，其他人也是如此。 儘管如此，它仍然經常被大型組織忽視，這些組織當然應該知道得更好。

最近最臭名昭著的例子是 Equifax 洩露事件，它洩露了 1.47 億消費者的私人財務信息。 該公司被 Apache Struts 中的一個漏洞滲透，在漏洞發生前幾個月發布了一個補丁（但 Equifax 未應用該補丁）。

不要像 Equifax 一樣。 請記住：如果您在網絡中留下安全漏洞，機器人會找到它——保證。

結論

殭屍網絡是現代威脅環境中無處不在的一部分。 未能對它們保持足夠的防禦將使您的組織容易受到各種攻擊，包括 DDoS、垃圾郵件、漏洞掃描——隨後是滲透測試嘗試和系統破壞、帳戶接管攻擊、抓取和數據盜竊、應用程序濫用等。

幸運的是，遵循最佳實踐可以將惡意機器人從您的網絡中排除。 這項任務並不容易。 除其他外，它需要一個現代的網絡安全解決方案，該解決方案能夠檢測最新一代的惡意機器人。 但這是有可能的，而且對於您的組織而言，確保其擁有足夠的保護從未像現在這樣重要。