什麼是 DDoS 殭屍網路?

殭屍網路攻擊負責記錄的最大 DDoS 攻擊。 瞭解裝置如何受到殭屍網路惡意程式碼的感染,如何遠端控制傀儡程式,以及如何保護網路免受殭屍網路感染。

學習目標

閱讀本文後,您將能夠:

  • 定義 DDoS 殭屍網路
  • 解釋建立殭屍網路的原因
  • 瞭解殭屍網路如何由攻擊者遠端控制
  • 關於採用停用殭屍網路和防止感染的策略的原因

複製文章連結

什麼是殭屍網路?

殭屍網路指一組電腦受惡意程式碼的感染,並受到惡意執行者的控制。殭屍網路一詞是來自於機器人與網路這兩個詞的混成詞,每個受感染的裝置都稱為傀儡程式。殭屍網路可專門用來完成非法或惡意工作,包括傳送垃圾郵件、竊取資料、勒索軟體以欺騙性手段點擊廣告分散式阻斷服務 (DDoS) 攻擊。

盡管勒索軟體等某些惡意程式碼會直接影響裝置所有者,但 DDoS 殭屍網路惡意程式碼可能具有不同層級的可見性;某些惡意程式碼專門用來整體控制裝置,而其他惡意程式碼將以背景處理程序靜默執行,同時默默等待攻擊者或「傀儡牧人」的指示。

Self-propagating botnets recruit additional bots through a variety of different channels. Pathways for infection include the exploitation of website vulnerabilities, Trojan horse malware, and cracking weak authentication to gain remote access. Once access has been obtained, all of these methods for infection result in the installation of malware on the target device, allowing remote control by the operator of the botnet. Once a device is infected, it may attempt to self-propagate the botnet malware by recruiting other hardware devices in the surrounding network.

盡管無法在特定殭屍網路中查明傀儡程式的具體數量,複雜殭屍網路中的傀儡程式預估總數的大小小至幾千,大至一百萬。

DDoS 殭屍網路攻擊動畫

為什麼建立殭屍網路?

使用殭屍網路的原因包括行動主義及國家支援的中斷,許多攻擊的執行僅僅是出於利潤。線上僱用殭屍網路服務價格相對低廉,尤其是相對於其可能造成的損壞金額時。建立殭屍網路的障礙也較低,可使其成為某些軟體開發人員有利可圖的業務,尤其對於法規和法律實施受限的地理位置。這一組合使提供 attack-for-hire 的線上服務層出不窮。

殭屍網路如何受到控制?

殭屍網路的核心特點在於能夠接收來自傀儡牧人的更新指示。與網路中的每個傀儡程式通訊的能力,使攻擊者能替代向量、變更目標 IP 位址、終止攻擊及其他自訂執行。殭屍網路在設計上各有不同,但控制結構可分為兩大類別:

用戶端/伺服器殭屍網路模型

用戶端/伺服器模型模擬每個單獨機器連線集中式伺服器 (或少量集中化伺服器) 的傳統遠端工作站工作流程,以便存取資訊。在此模型中,每個傀儡程式都會連線 Web 網域或 IRC 通道等命令與控制中心 (CnC) 資源,以便接收指示。透過使用集中式存放庫來為殭屍網路提供新命令,攻擊者僅需修改每個殭屍網路從命令中心消耗的來源資料,即可更新受感染機器的指示。由殭屍網路控制的集中式伺服器可能是由攻擊者所有且營運的裝置,或者可能為受感染裝置。

已發現大量流行的集中式殭屍網路拓撲,包括:

星型網路拓撲

星型網路拓撲動畫

多個伺服器網路拓撲

多個伺服器網路拓撲動畫

階層式網路拓撲

階層式網路拓撲動畫

在任何這些用戶端/伺服器模型中,每個傀儡程式都會連線 Web 網域或 IRC 通道等命令中心資源,以便接收指示。透過使用集中式存放庫來為殭屍網路提供新命令,攻擊者僅需修改每個殭屍網路從命令中心消耗的來源資料,即可更新受感染機器的指示。

與將指示從有限數量的集中式來源更新為殭屍網路的簡易性相伴而行,是這些機器的漏洞;若要使用集中式伺服器移除殭屍網路,僅需中斷伺服器即可。由於此漏洞,殭屍網路惡意程式碼的建立者已發展並接近一個新的模型,該模型不易受到經由單個或幾個失敗點的中斷的影響。

點對點殭屍網路模型

若要規避用戶端/伺服器模型的漏洞,近期使用非集中式點對點檔案共用元件設計了殭屍網路。將控制結構嵌入殭屍網路內,可減少帶有集中化伺服器的殭屍網路中存在的單個失敗點,使防護變得更難。P2P 傀儡程式可以是用戶端,也可以是命令中心,與其相鄰節點相伴而行有助於傳播資料。

點對點殭屍網路存有一份受信電腦清單,透過此清單,可建立和接收通訊並更新其惡意程式碼。透過限制傀儡程式連線的其他機器數量,每個傀儡程式僅公開至相鄰裝置,這使追蹤和緩解更加困難。缺少集中式命令伺服器會使點對點殭屍網路更容易受殭屍網路的建立者以外的某些人的控制。為避免失去控制,通常會對非集中式殭屍網路進行加密以便限制存取。

點對點網路拓撲動畫

IoT 裝置如何成為殭屍網路?

沒有人會透過 CCTV 無線相機執行網路銀行業務,他們將該相機置於後院是為了觀察喂鳥器,但這並不意味著該裝置不能執行必要的網路要求。IoT 裝置的功能結合設定較弱或不佳的安全性,為殭屍網路惡意程式碼向該整體中增補新傀儡程式創造了機會。IoT 裝置的增長為 DDoS 攻擊造就了新的環境,因為許多裝置的設定都不佳,並且易受攻擊。

如果 IoT 裝置的漏洞已硬式編碼至韌體,更新便會更為困難。若要緩解風險,帶有過期韌體的 IoT 裝置應按預設認證進行更新,通常自初始安裝該設備後保持不變。許多硬體折扣製造商不愿意主動提高其裝置的安全性,這就使從殭屍網路惡意程式碼到 IoT 裝置的漏洞一直成為尚未解決的安全性風險。

如何停用現有殭屍網路?

停用殭屍網路的控制中心:

一旦可以識別控制中心,便可更輕松地停用在設計上採用命令與控制架構的殭屍網路。在失敗點切斷要害可能會使整個殭屍網路離線。因此,系統管理員和執法人員會重點停用這些殭屍網路的控制中心。如果命令中心在執法機關不太能夠或不愿意干預的國家營運,此程序將更為困難。

消除單獨裝置的感染:

對於個人電腦,重新控制機器的策略包括執行防毒軟體、從安全備份中重新安裝軟體,或重新格式化系統後從清潔機器開始。對於 IoT 裝置,策略包括刷新韌體、執行出廠預設值或格式化裝置。如果上述選項不可行,可從裝置製造商或系統管理員處獲得其他策略。

如何避免裝置成為部分殭屍網路?

建立安全密碼:

For many vulnerable devices, reducing exposure to botnet vulnerability can be as simple as changing the administrative credentials to something other than the default username and password. Creating a secure password makes brute force cracking difficult, creating a very secure password makes brute force cracking virtually impossible. For example, a device infected with the Mirai malware will scan IP addresses looking for responding devices. Once a device responds to a ping request, the bot will attempt to login to that found device with a preset list of default credentials. If the default password has been changed and a secure password has been implemented, the bot will give up and move on, looking for more vulnerable devices.

僅允許第三方代碼的受信執行:

如果您採用軟體執行的行動電話模型,僅可執行設有白名單的應用程式,允許更多控制以對惡意程式碼(包括殭屍網路)進行殺毒。只有管理軟體(如內核)被利用,才會導致設備被利用。這取決於首先具有安全內核,而大多數 IoT 設備並沒有安全內核,此方法更適用於運行協力廠商軟體的機器。

定期系統抹除/還原:

自設定時間後還原為已知良好狀態,將移除系統收集的任何垃圾(包括殭屍網路)。此策略在作为預防措施使用時,即便在默默執行惡意程式碼,也可確保與垃圾一同移除。

執行良好的連入和連出篩選操作:

Other more advanced strategies include filtering practices at network routers and firewalls. A principle of secure network design is layering: you have the least restriction around publicly accessible resources, while continually beefing up security for things you deem sensitive. Additionally, anything that crosses these boundaries has to be scrutinized: network traffic, usb drives, etc. Quality filtering practices increase the likelihood that DDoS malware and their methods of propagation and communication will be caught before entering or leaving the network.

如果您目前受到攻擊,您可以采取措施來擺脫此壓力。如果您已登入 Cloudflare,您可以按照這些步驟緩解攻擊。我們在 Cloudflare 執行的 DDoS 保護是多層面的,目的是為了緩解許多可能的攻擊向量。瞭解更多有關 Cloudflare DDoS 保護的資訊。