近日，國家互聯網應急中心發布報告稱，2018年我國基礎電信企業、域名服務機構等成功關閉了772個規模較大的僵尸網絡。同時，網絡安全公司ESET前不久發布研究報告稱，一個名為“Stantinko”的僵尸網絡正在操控全球數以萬計的計算機挖掘加密貨幣“門羅幣”。

這一日益猖獗的僵尸網絡究竟是何方“神聖”？它的攻擊能力如何？在游戲“植物大戰僵尸”中，豌豆射手是抵御僵尸進攻的主力。那麼，目前在網絡安全領域是否有“豌豆射手”呢？

針對上述問題，科技日報記者採訪了業內相關專家。

黑客可隨意驅使被感染設備

在恐怖電影中，我們經常能看到這樣的場景：一群僵尸瘋狂地追逐、攻擊人類，卻在“趕尸人”面前非常老實、聽話。

“僵尸程序就是如此，被其感染的硬件設備，就如同僵尸群一樣可以被隨意驅使、控制，成為被人利用的工具。”北京理工大學計算機網絡及對抗技術研究所所長閆懷志對科技日報記者說，僵尸程序是指惡意控制硬件設備功能的一種程序代碼，它能夠自動執行預定義的命令。大量主機感染僵尸程序后，在僵尸程序控制者和眾多被感染主機之間會形成一對多的被控制網絡，這就是僵尸網絡。

“危害性大的僵尸網絡具有較強的傳染性，同時被嚴格地控制著。”北京交通大學計算機與信息技術學院信息安全系主任王偉在接受科技日報記者採訪時表示，所謂傳染性就是說，該“僵尸”樣本不僅具備與計算機病毒類似的特點，還可感染與其相鄰的其他硬件設備。但與計算機病毒不同的是，僵尸網絡高度可控，其具有金字塔式的控制結構：位於底層的是數量龐大的被感染主機，處在塔尖的則是網絡攻擊的發動者，即整個僵尸網絡的控制者。

王偉強調，傳統的計算機病毒具有一定的破壞性，更高級一些的病毒，如蠕虫病毒等，雖具有傳染性，但發布者很難對其進行有效控制。相比之下，僵尸網絡則既具有較強的傳染性又可被有效控制，因而危害性更大、攻擊力也更強。

閆懷志介紹道，當前，大多數僵尸網絡使用互聯網中繼聊天（Internet Relay Chat，IRC）協議來實現通信和控制。1999年，“SubSeven 2.1”發布，該程序利用IRC網絡構建出攻擊者對僵尸主機的控制信道，被認為是世界上首個真正意義上的僵尸程序。隨后，黑客們開始借助蠕虫病毒促進僵尸程序的主動傳播，並進一步採用P2P結構構建控制信道，進而加速了僵尸網絡的泛濫。

發動僵尸網絡攻擊門檻低

“近年來，僵尸網絡攻擊愈發猖獗，呈現愈演愈烈之勢。”談及原因，王偉認為，當前具有組織性的各種網絡攻擊數量上升，僵尸網絡的攻擊方式也日漸增多，甚至出現了所謂的“高級可持續威脅攻擊”（APT）。APT也被稱為定向威脅攻擊，是指針對特定對象展開的、持續有效的攻擊活動。在這類攻擊中，相當一部分攻擊發起者是具有一定背景的黑客組織，他們專門研究如何有組織性地發動僵尸網絡攻擊。

王偉介紹道，具體到攻擊手法上，僵尸網絡既可被用於直接竊取重要的機密數據或信息，也可被用於獲取群體性大數據，以分析、提煉出關鍵信息，還能用其發動拒絕服務（DOS）攻擊造成大面積網絡癱瘓，甚至可以效仿“震網”病毒攻擊電網等大型基礎設施，形成更嚴重的破壞。

閆懷志也認為，僵尸網絡傳播迅速、規模龐大，其攻擊方式復雜多變，一旦發起攻擊，其后果十分嚴重。

科技日報記者了解到，2016年10月，代號為“Mirai”的僵尸網絡感染了數以十萬計的物聯網設備，造成美國東部地區大面積網絡癱瘓。后來發現，“Mirai”的研制者竟是一名年僅21歲的年輕人，他研制該僵尸網絡的目的，只是希望騙取錢財。很難想象，有國家背景的黑客組織精心織就的以發動戰爭而非賺錢為目的的僵尸網絡，將會造成怎樣的破壞。

說到賺錢，王偉認為，牟利也是僵尸網絡的主要研制目的之一。例如，控制大量計算設備合力“挖礦”，賺取數字貨幣﹔利用僵尸網絡大范圍推送廣告，以賺取廣告費﹔發動勒索攻擊，索要贖金等。早在2017年，美國Proofpoint公司的研究人員就曾發現名為“Adylkuzz”的僵尸網絡，該網絡控制了全球數十萬台計的計算機或服務器，驅使其挖掘“門羅幣”。

僵尸網絡的用途如此多樣，若要發動這種攻擊，發起者是否需要掌握高超的技術呢？

“實際上並不需要。”王偉指出，現在互聯網上有大量的開源僵尸程序，不法分子可以直接將其下載下來使用，甚至可以在其基礎上進行修改升級。

防御需技術、管理兩手抓

閆懷志談到，在實際網絡環境中，很多僵尸程序兼具了病毒、木馬、間諜軟件等多種惡意代碼的特征，體現了惡意代碼的組合化、復雜化的發展趨勢，為僵尸網絡的檢測和防御工作帶來了極大困難。

“很多僵尸網絡隻在需要時才被啟動，平時則‘潛伏’伺機，隱蔽性強。”王偉表示，有些僵尸程序非常“聰明”，在潛伏時，它們有的每隔一段時間有規律地向控制者匯報情況，有的則無規律地“報平安”。常規的檢測手段很難將它們檢測出來，有時隻能通過檢測同一網絡中不同主機與控制者間的相似數據傳輸，才能發現僵尸網絡的“蛛絲馬跡”。

“但是，即使能夠發現它，也很難找到其背后的控制者。”王偉解釋道，僵尸網絡從控制者到受控計算機之間，可能存在多個層級，逐級進行控制，追蹤者需要一級級溯源才能找到“真凶”。更為復雜的是，有些僵尸網絡的某些控制層級位於暗網之中，控制者隱藏在暗網之后，當前的溯源技術對其幾乎起不到任何作用。

“此外，對僵尸網絡的防御還面臨一個難題。”王偉介紹道，僵尸網絡往往利用操作系統或軟件漏洞傳染硬件設備並擴大其規模，現有的網絡防御系統大多隻能檢測、抵御已知漏洞的僵尸程序。但無論多完善的軟件系統都會存在未知漏洞，黑客們隻要發現並利用這些新的漏洞，就可以展開僵尸網絡攻擊。

隱蔽性強、溯源困難，我們要“種出”怎樣的“豌豆射手”才能避免“僵尸”橫行網絡空間？

“現階段，要想有效應對僵尸網絡攻擊，需要在主機、網絡、管理等三個層面採取相應措施。”王偉認為，在主機層面，我們需要為自己的計算機、手機、物聯網等設備安裝殺毒等防御軟件並按時更新，保証其能抵御已知的僵尸網絡攻擊。在網絡層面，比如一個學校或企業的局域網，要及時進行針對僵尸網絡的全網檢測，一旦發現要及時處理。

“相比技術層面的措施，管理層面的措施更為重要。”王偉強調，企業、政府機關等各個機構要對員工加強系統化的網絡安全教育，提高網絡安全意識。比如，提醒員工要按規章制度管理和維護設備，及時更新殺毒軟件、不採用“123456”等低級密碼等。“Mirai”就曾利用大量攝像頭，採用默認密碼等弱口令，發動分布式拒絕服務攻擊，造成了數小時的網絡癱瘓。

分享讓更多人看到