一. 什么是僵尸网络
Wikipedia(https://en.wikipedia.org/wiki/Botnet)对僵尸网络如此定义:A botnet
is a number of Internet-connected
devices, each of which is running one or more bots.
Botnets can be used to perform distributed denial-of-service attack (DDoS attack), steal data, send spam, and allows the attacker to access the
device and its connection. The owner can control the botnet using command and
control (C&C) software. The word “botnet” is a combination of the
words “robot”
and “network“. The term is usually used with a negative
or malicious connotation.
可以理解为僵尸网络(Botnet)是连接在互联网上的若干设备,它们运行着一个或数个自动程序。僵尸网络常被用于发起DDoS攻击、盗取数据、发送垃圾邮件,允许攻击者访问该设备以及连接。僵尸网络的主人可以使用命令和控制(C&C)程序。Botnet一词是机器人(robot)和网络(network)联合衍生而成。通常带有负面的或恶意的含义。
僵尸网络是在互联网广泛应用的前提下,在特洛伊木马、后门工具、蠕虫等恶意代码的基础上产生新型攻击方法。除了wikipedia所提到的危害意外,随着时代的发展,僵尸网络的攻击者越来越关注其兑现,近日则发现僵尸网络被广泛用于恶意挖矿。
二. 僵尸网络危害规模日益递增
IoT(物联网)设备的普遍应用。IoT的特征之一是同一网络中存在的大量高度一致性的智能设备,为形成僵尸网络所需的大量“肉鸡”提供了数量基础;补丁修复不及时、缺乏相应的深层防护措施、运行维护和监管不到位,提高了僵尸网络攻破这些智能设备的可能性。IoT智能设备也是目前僵尸网络最为青睐的攻击目标。
云计算的普及。云计算服务商在同一个云服务体内提供相同或相似的基础架构、安全防护架构,而云用户越来越不具备自我防护意识和能力,使得防护层一旦被突破,攻击者可以获得大量相似的“肉鸡”。
人工智能/机器学习或将被用于僵尸网络。攻击者或将利用人工智能/机器学习来建立僵尸网络,形成杀伤力更加强大的能够自学习的僵尸网络。虽然物联网智能设备的计算能力有限,难以被利用为人工智能/机器学习的节点,但组成云计算能力的节点却不难形成这一能力。更让人沮丧的是,当实施了相应的应对措施,僵尸网络也能够升级其攻击方法。
甚至,区块链技术也被应用于僵尸网络的建立,区块链技术不仅能建立分布式的僵尸网络,还提高了僵尸网络的隐秘性和可用性,以用来和监管、防御方进行对抗。
三. 治理僵尸网络,需要内治外防的主动防御策略
面对强大的僵尸网络,企业是否就束手无策了呢?正因为僵尸网络的危害性,企业更需要主动的防御策略,进行内治外防。内治即避免被攻击成为僵尸网络,或在受到攻击时/已经发现僵尸网络的迹象时能够及时、有效地响应;外防即防范外部僵尸网络对企业的攻击,例如:防范DDoS、垃圾邮件等。
首先,让我们来看一下僵尸网络侵入到企业内部的方法,由此选择和利用适当的技术进行多方位防护。
1、首当其冲的就是利用系统漏洞。攻击者利用系统获得系统访问权,植入相应攻击工具,并消除攻击痕迹。网络所有者在系统安全管理上的疏忽是系统漏洞被利用的最根本原因。
2、通过网络下载的软件作为载体。版权意识的不足,给攻击者带来可乘之机,恶意软件通过某些共享软件、免费软件进行传播。
3、通过邮件进行传播。钓鱼邮件也是攻击者的常用手法之一。
4、通过网站传播恶意代码。攻击者通过攻陷或自建网站,植入恶意代码,受害者在访问网站时遭受感染。
5、通过即时通信工具传播。
进行内治外防,需要结合多种有效的手段,除了成熟的信息安全管理体系外,它们还包括威胁情报管理、防御系统、检测系统、拦截/隔离系统、杀灭系统等技术的应用。通过对威胁情报的主动运用,形成主动性的网络僵尸防御体系。
- 威胁情报管理:无论是内治还是外防,威胁情报管理体系都能够发挥作用。首先,威胁情报商通常能够提供外部僵尸网络信息、C&C信息、DGA网站信息,这为企业针对性的防护提供了情报基础。其次,针对僵尸网络兑现所需的特洛伊木马、网络蠕虫、后门工具所提供的情报,可以有效的改善企业内部查杀策略,为内部治理提供情报基础。再者,威胁情报系统和安全防御系统的协同,可以有效提高安全防御系统的时效。同时,不间断的威胁情报,也是企业员工信息安全意识提高的途径,而员工信息安全意识是信息安全防护的第一道防线,也是最基础的防线。
- 系统防御:系统防御主要关注内治,避免企业网络成为僵尸网络,既是网络僵尸的受害者,同时也可能成为网络僵尸主人的帮凶。通过对网络脆弱性进行管理,可以有效防御僵尸网络所用的恶意软件的入侵,例如:关闭其传播的网络端口、安装推荐的防御软件、安装系统补丁包等。同时,系统性防御还需要关注来自外部僵尸网络发起的DDoS、垃圾邮件攻击。
- 检测技术:安装企业级检测软件(例如:恶意软件防护软件,并结合统计分析技术,发现僵尸网络的蛛丝马迹;监测系统资源使用,以检测是否被用于恶意挖矿),在数据关键通道上进行安全分析检测(例如:DFI深度/动态流检测、DPI深度报文检测,分析数据是否被盗取、监测不明流量),可以有效的提高僵尸网络的检出率。除了依靠企业级/个人终端检测软件外,增强信息安全意识,例如:对所下载的软件进行MD5校验码确认,也是避免感染的可行方法。
- 拦截/隔离:无论是对外拦截,还是对内拦截,都可以利用威胁情报,在僵尸网络发起攻击时动态调用威胁情报,生成实时拦截策略进行拦截,这一技术的运用,需要打通威胁情报管理系统和信息安全设备,目前这一技术已得到应用,防火墙、IPS等设备与威胁情报系统的集成已有先行者,NGFW(下一代防火墙)等采用了人工智能/机器学习的新一代安全设备,也让威胁情报的直接得以实现;执行隔离策略,例如:安全边界细分,形成节点级边界,随着SDP(软件定义的边界)技术逐渐成熟,通过细分安全边界,对僵尸网络进行隔离就具备了技术可行性;
- 杀灭:利用查杀软件/设备,对僵尸网络所用恶意代码进行杀灭,需要注意的是,杀灭时需要避免对原生系统的影响,避免次生事故。
总结:
僵尸网络攻击在短时间不会消失,甚至有愈演愈烈的趋势。企业应对僵尸网络,需采用管理、技术双管齐下的方法,进行综合治理。