面向企业用户和安全管理员的备忘单

几乎所有具有Internet连接的东西都可以被劫持并用于恶意的僵尸网络攻击-IoT设备是特别受欢迎的目标。了解如何发现和防止这种恶意软件威胁。

当计算机或任何其他设备连接到Internet时，它将面临来自恶意软件和黑客的大量风险。我们经常假设我们的个人设备是潜在的受害者，而不是假定它们可能构成网络攻击的组成部分，但是如果它们成为僵尸网络中的节点，则可能是这样。

僵尸网络用于执行各种恶意行为，例如发起分布式拒绝服务(DDoS)攻击，传播恶意软件和挖掘加密货币-所有这些都没有使设备所有者知道被劫持了。

这并不意味着没有迹象表明互联网连接的设备已经被劫持，僵尸网络受害者也无法幸免。但是，务必要迅速采取行动：除了使攻击者可以访问设备上的个人信息之外，僵尸网络节点还可以工作到由于过热而造成的物理损坏，从而使所有者无法进行维修或更换。(下载本文的免费PDF版本： 备忘单：僵尸网络。)

什么是僵尸网络?

僵尸网络的定义很简单：一堆计算机共同作用以完成共享任务。如果该定义似乎模棱两可，那是因为：僵尸网络从定义上来说并不是恶意的。

僵尸网络的最初用途之一是进行互联网中继聊天(IRC)，这是对连接计算机的完全合法使用。IRC使用服务器和其他计算机来中继发件人与收件人之间的聊天，网络中的每台计算机都用来中继数据。

另一方面，现代恶意僵尸网络通常出于恶意目的进行操作，计算机不是通过安装程序而是通过被黑客直接劫持或通过安装恶意软件而成为节点的节点。

僵尸网络使用许多不同的协议进行通信：IRC，HTTP，Telnet，ToR，甚至社交媒体站点都可以用于发出命令并逃避检测。

从最基本的意义上讲，僵尸网络与从命令和控制(C&C)服务器接受命令的任何其他恶意软件没有什么不同，除了在这种情况下，僵尸网络恶意软件不太关心它可以从特定计算机上获取的信息，而更多利用计算资源，它可以从受感染的计算机中提取。

请注意，这并不意味着僵尸网络恶意软件将不会被用来收集有关被劫持机器所有者的个人识别信息(PII)：它完全能够窃取凭据，银行信息和其他个人详细信息。

使用C&C方法的传统僵尸网络有一个严重的缺陷：如果将其C&C服务器脱机，僵尸网络将停止运行。出于这个原因，更复杂的僵尸网络已成为点对点(P2P)的网络，这使它们实际上毫无头绪，而且很难被删除。分布式P2P僵尸网络仍然为将命令引入网络的操作员服务，但是这些命令可以来自任何地方。

SEE： 社会工程：商业专业人士备忘单(免费PDF) (TechRepublic)

诸如ZeroAccess之类的僵尸网络利用P2P模型，拥有网络私钥的任何人都可以将命令部署到其节点。为了进行通信，受感染的计算机会在Internet上探测其他节点，这些节点将转移其已知受感染计算机的列表，从而使僵尸网络增长得异常迅速。

不管如何控制，僵尸网络通常以窃取节点所有者的PII作为次要目标。对受感染机器的计算资源的关注意味着僵尸网络不仅仅针对计算机：它们还通过互联网连接来针对任何对象。智能手机，路由器，打印机以及现在的物联网(IoT)设备都是僵尸网络恶意软件的流行目标。

尤其是IoT设备正成为僵尸网络管理员的首选产品。在过去的几年中，物联网得到了长足的发展，并不是所有的硬件都得到应有的保护。

物联网本质上是设计成隐形的。为其供电的设备通常被放置在偏僻的地方或长时间未被人注意。大规模成功的Mirai僵尸网络以2016年对DNS提供商Dyn的撤消而闻名，这导致Twitter，Amazon，Reddit等站点和其他高流量站点的中断。

Mirai成功地攻击了IoT设备，因为许多产品附带了众所周知的默认用户名和密码，并且许多人在部署设备时无法更改它们。就像Mirai一样，攻击者所需要做的就是扫描IoT设备，使用这些默认凭据登录并安装恶意固件更新，从而将设备变成僵尸网络僵尸。

僵尸网络通常通过类似的方法传播：寻找无需登录即可直接攻击设备的不安全设备。传统上，它们还通过恶意软件，恶意电子邮件附件，包含恶意代码的智能手机应用程序以及其他常用方法传播到计算机

当攻击者控制了成千上万个(甚至数百万个)设备时，他们可以做很多事情来充实自己，使他人难以生存。

恶意僵尸网络最常见的用途是发起DDoS攻击，从而破坏网站，DNS提供商和其他Internet服务。DDoS攻击依赖使供应商瘫痪的大量流量，从而使合法流量无法传播，最终将其关闭。

DDoS攻击几乎不是僵尸网络拥有的唯一应用程序。它们还通常用于：

将自己分散到敏感的网络中，例如企业和政府拥有的网络，以窃取有价值的信息，

暗中开采诸如比特币之类的加密货币，它们会烧毁设备并将其销毁，

发送垃圾邮件，通常附有僵尸网络安装的恶意软件，指向收集PII或安装其他恶意软件的恶意网站的链接，或意图进行欺诈，

实施点击欺诈，即反复点击广告以产生收入，

提交广告欺诈，类似于点击欺诈，但发生在带有隐藏广告的网站或仅用于托管欺诈性广告的网站上。

除了这些用途外，许多僵尸网络也可以出租给希望将其用于自己目的的网络分子。考虑到这一点，以发动一种攻击而闻名的僵尸网络可以用于上述任何目的，或者是进取的攻击者可以幻想的任何其他事情。

该僵尸网络已重新采取行动，通过网络钓鱼电子邮件(ZDNet)传播了一个新的勒索软件活动

设备被僵尸网络感染的迹象是什么?

与其他种类的恶意软件一样，这种将互联网连接的设备转变为僵尸网络节点的恶意软件的设计目的是尽可能地不引起人们的注意。用户发现其计算机，智能手机或IoT设备有些奇怪之处，可能会变得可疑，这

这并不意味着不会留下任何痕迹。僵尸网络使用其他人的计算资源来完成其任务，这意味着如果您知道要寻找的内容，就会看到明显的迹象。

防病毒软件制造商ESET的一篇博客文章列出了10种迹象，以备不时之需。如果您担心自己的计算机上可能装有僵尸网络恶意软件，请注意。此列表仅适用于PC和macOS设备-智能手机和IoT设备上的恶意软件症状可能有所不同，下面将进行讨论。

闲置计算机时，计算机的风扇是否正在运转?

这可能是您的计算机在您不知情的情况下正在努力工作的迹象，但再次可能是正在下载更新的迹象。检查您的计算机以查看运行情况，如果找不到正在下载的更新并且风扇干净，则该扫描恶意软件了。

您在关闭计算机时遇到问题吗?

关闭故障或计算机需要很长时间才能关闭电源，这可能表明恶意软件在后台运行并中断了正常的关闭周期。同样，这也可能是由合法软件中的错误引起的，因此请不要自动认为是僵尸网络恶意软件。

您是否注意到帐户中的神秘社交媒体帖子?

试图传播自身的恶意软件可以使用一些巧妙的传播方法，而不会被发现。一种方法是通过社交媒体。如果您发现有些帖子不是您自己制作的，或者别人警告您您已发送直接邮件，则说明您没有发送邮件，可能是您被感染了。

与上述情况一样，您的计算机上的恶意软件可能不是造成这种情况的原因-您的帐户可能已被黑客入侵，您的密码因数据泄露而被盗或其他设备可能遭到破坏。

您的机器运行缓慢吗?

您的计算机速度显着突然下降是使用大量资源的信号，这可能表明您不知道在后台运行的软件。同样，这也可能是由其他问题引起的。

您无法下载系统更新吗?

某些恶意软件，特别是依赖于已知漏洞的恶意软件，将阻止计算机下载更新，以保持其基本漏洞可利用。如果您无法下载更新，则这是一个严重的问题，需要立即解决。

您是否无法下载新的防病毒定义?

如果您由于注意到其他症状而尝试更新防病毒软件以进行扫描，但又无法下载更新，则很有可能是您感染了阻止防病毒更新的恶意软件。这也表明无法访问防病毒供应商的网站，该网站也经常阻止恶意软件。

您的上网速度是否太慢?

如果您的计算机被用来发送垃圾邮件或作为DDoS攻击的一部分，则它可能会占用大量带宽，这可能会导致您的Internet连接速度变慢。关闭机器，或断开其与互联网的连接，然后使用另一台机器查看问题是否仍然存在。如果嫌疑人断开连接时互联网速度很快，但是当其在线时互联网速度很慢，则很有可能取决于情况。

朋友，家人或同事是否告诉过您，他们收到了您发来的可疑电子邮件?

僵尸网络通常会发送垃圾邮件，如果有人感染了您的计算机，它可以使用您的帐户向您的联系人发送恶意消息。

即使您不在线，弹出窗口也会随机出现吗?

这通常是其他类型的恶意软件的迹象，但是计算机上的僵尸网络恶意软件也可以安装其他恶意软件。至少，如果您看到此消息，则可能是某种感染。

任务管理器中是否存在无法识别的程序名称?

合法的程序和服务的名称很难辨认，但是奇怪的名称和总的乱码可能表示恶意软件，尤其是在它们占用大量资源的情况下。

迹象表明智能手机感染了僵尸网络恶意软件

对于Android用户而言，这是一个更大的问题。iPhone仍然可以被恶意软件感染，但是除非设备被越狱并且正在使用第三方应用程序商店，否则它很少见。另一方面，Android更加开放，而Google在Google Play应用商店中的放映范围要宽得多。

无论您使用什么平台，智能手机恶意软件的迹象都包括：

固定广告，与您使用的应用程序无关

新安装的应用程序的图标消失了

大大减少了电池寿命

您无法识别的设备上的应用

快速减速和严重过热

物联网设备已被僵尸网络恶意软件感染的迹象

几乎不可能检测到受损的IoT设备，但是司法部表示，有一些迹象，例如Mirai僵尸网络爆发期间出现的性能缓慢和响应缓慢。

受损的IoT设备也可能拒绝更新，并且可能会在防火墙或路由器上注意到异常的Internet活动，这表明IoT设备正在发送不该发送的流量。

保护互联网连接的设备免于成为最新僵尸网络的奴隶有很多方面，而且并非所有事情都像良好的网络安全卫生措施一样简单。正如安全提供商Norton指出的那样，良好的安全习惯通常足以保护计算机，但是在智能手机和IoT设备方面，预防措施有所不同，如果您拥有后两种类型的设备，则所有这些同样重要。

为了保护计算机，请确保：

安装了可靠的安全套件，保持其更新，并运行常规扫描

每当有新更新发布时，请始终更新您的操作系统

切勿从可疑来源下载附件，或从您认识的人那里下载可疑电子邮件

不要单击电子邮件中的登录链接，而是手动导航到网站并从那里登录

确保操作系统的防火墙处于活动状态。Windows 10和macOS都内置了它们

保持良好的密码卫生：不要重复使用密码，不要让密码变得复杂或定期更改密码

对提供身份验证的任何服务使用多重身份验证

计算机保护技巧也适用于其他设备：保持它们的更新状态，不要单击错误的链接，也不要下载可疑的附件。但是，在使用智能手机时，需要牢记一些不同的安全注意事项：

请勿使用.apk或.ipa文件手动安装应用程序：可以修改由第三方网站重新分发的应用程序以包含恶意软件

不要生根或越狱您的设备以安装第三方应用程序商店，这些应用程序通常充满了装有恶意软件的应用程序

在安装前查看用户评论和应用程序评级：如果用户提及潜在的骗局或恶意软件，请不要安装该应用程序并将其报告给Google或Apple。

对于物联网设备安全建议，司法部建议：

购买之前，请研究IoT设备制造商。确保公司在制造安全设备方面享有盛誉，并确定其是否带有众所周知的或经过硬编码的默认密码。

在将物联网设备连接到互联网之前，请花一些时间保护它们的安全。首先下载更新，更改默认密码并启用安全功能。

为IoT设备使用安全密码，甚至比普通帐户使用更安全的密码。应使用由数字，字母，大写字母和特殊字符组成的长而随机的密码，以确保设备尽可能安全。如果可能的话，还可以将管理员帐户名更改为其他名称。

请始终安装可用的固件更新。

断开无法保护的设备的连接，或者断开制造商发布的安全公告但尚未针对该漏洞进行更新的设备。

定期重新启动IoT设备的电源。僵尸网络恶意软件通常存在于IoT设备的内存中，只需将其关闭电源并关闭几分钟就可以消除。

关闭未使用的端口，启用MAC地址过滤并禁用通用即插即用，以确保Wi-Fi网络和路由器的安全。

确保物理保护网络边缘的IoT设备免受篡改。

对物联网网络进行分段，以防止它们访问整个网络或不需要连接的其他物联网设备。

额外资源