过去的2021 Q3是僵尸网络攻击再度创造历史的一季度。

Cloudflare的DDoS攻击趋势报告指出，僵尸网络Mēris对其保护的企业进行了每秒1720万次的虚假请求攻击，俄罗斯最大的搜索引擎Yandex每秒遭到2180万次攻击请求。DDoS攻击一直都是僵尸网络攻击的形式之一，而随着攻击者技术的迭代，僵尸网络的危害逐渐不止于DDoS。

僵尸网络攻击危害有多大

僵尸网络攻击是由远程控制的受恶意软件感染的设备，进行的大规模网络攻击。它能够将受感染设备变成僵尸网络控制的主机。与在单个机器或系统中自我复制的恶意软件不同，僵尸网络产生的威胁更大，因为它们受背后的攻击者控制在同一时间大批量进行恶意行为，好比乌央乌央的僵尸牧群。

2010 年，Kneber僵尸网络控制了全球2500家知名企业和*机构的75000台电脑，此次攻击共窃取了超过68000个登录凭据和1972个数字证书。而根据今年Cloudflare披露的数据显示，在一次DDoS攻击中，攻击者在125个国家和地区发动了20000台“肉鸡”。感染量巨大，让僵尸网络攻击成为了一种极其可怕的威胁。

此外，由于僵尸网络攻击能够成倍放大或迅速调整，造成极大的破坏，所以此类攻击相比其他恶意攻击更为复杂。通过僵尸网络传播的恶意软件通常包含网络通信功能，能够允许攻击者通过庞大的受感染机器网络，路由与其他威胁参与者的通信。利用僵尸网络，攻击者足以破坏系统，分发恶意软件，“拉更多的设备下水”，并且通常用于大型破坏或开辟新的入口，进而发起第二次攻击。

常见僵尸网络攻击类型

具体来说，僵尸网络攻击包括以下几种常见的类型：

**暴力破解**

当攻击者不知道目标设备密码时，就会通过快速、重复的密码猜测技术进行破解，因此这种攻击方式也被称为暴力猜解。在暴力破解攻击中，恶意软件直接与受影响的服务交互，获得密码尝试的实时反馈。另外，暴力破解攻击还会利用已泄露的凭据或个人身份信息来尝试破解密码。

**分布式拒绝服务（DDoS）攻击**

DDoS攻击是一种非常常见的僵尸网络攻击。僵尸网络中每个节点都高频反复发送无意义的流量集中攻击一个服务，使其崩溃或堵塞。2016年，Mirai僵尸网络就是分两个阶段，使得域名服务提供商Dyn瘫痪，并导致部分地区Twitter、Soundcloud等主要客户端网站性能下降和宕机。

**垃圾邮件与网络钓鱼**

除了DDoS攻击，僵尸网络也会利用邮件进行钓鱼活动，诱骗员工分享敏感信息或登录凭证。攻击者感染设备后，会向设备联系人发送钓鱼信息，进一步在互联网上传播垃圾邮件，感染更多设备，从而扩大僵尸网络规模。

**“砖化”攻击**

攻击者通过多个阶段发动机器人对设备进行“砖化”攻击。所谓设备砖化，就是当一台设备被恶意软件感染时，恶意软件会删除设备内容（通常是主要攻击的证据），使得设备停止工作，无法使用，俗称“变砖”。

如何在僵尸网络攻击发生前预防

越来越多的设备连接在一起，无形中提高了感染僵尸网络的概率。全球有超过310亿台活跃的物联网设备，而任何连接到互联网的设备都可以被感染为“肉鸡”。所以，要想应对此类攻击，就得从预防开始。预防思路上，可以从以下几个方面着手：

减少攻击面。任何连接到互联网的设备都存在风险。越来越多不安全的物联网设备，提供了大量随时可访问的入口，大大增加了攻击面。而配置错误、配置协议安全性不足以及近两年来远程访问的增加，是攻击面暴露增加的另外几大因素。企业可从业务资产梳理、数据资产监控、对外开放后台、弱密码、API安全、文件传输角度出发，做好资产梳暴露面管理。

增强对网络钓鱼与社工的防范。网络钓鱼和社会工程仍是获取系统和设备访问权限的主要方法，在IBM与 Ponemon Institute联合发布的《2021年数据泄露成本》报告中，网络钓鱼是给企业造成损失影响第二大的初始攻击方式。应对这种现状，企业需保证基本的网络安全操作，同时为各级员工提供持续的网络安全意识培训。例如，只有在确定新设备安全设置满足企业安全基线标准的情况下，才能将新设备添加到网络。

主动关注僵尸网络.主动关注僵尸网络动态，最重要的是确保系统和设备软件最新，尤其需要监控使用较少的设备。供应商一旦发布更新，建议立即应用，保证设备获取到最新的安全更新。

做好IoT物联网配置管理。更改默认设备的登录凭证，淘汰或者移除网络中旧的、未使用的设备，从而减少攻击媒介。同时，只允许合适的主机设备进行访问，也可预防僵尸网络攻击。而将物联网设备与其他关键系统进行隔离，也有助于减轻僵尸网络攻击造成的影响。另外，针对设备启用多因素身份验证，限制可访问用户数量，也是一种有效的方法。

增强对网络操作的可见性。通过网络监控与分析工具，能够对设备及流量模式进行更深入的了解。如有需要，部署人工智能网络监控，可确定基线使用情况及对异常情况的监控，有助于对攻击初始阶段进行检测，让安全团队及时做出反馈。

如何阻止僵尸网络攻击

如果遭遇僵尸网络攻击，想要阻止此类攻击，就需要重新获得对受感染设备的控制。一方面，可以通过禁止对命令与控制服务器（C2）的访问，即可停止“肉鸡”的回连通信，阻止其执行攻击行为。

另一种切断“肉鸡”网络连接的方法，就是根据需要重新格式化或重新安装系统软件。物联网设备可能需要重新安装设备固件（完全恢复出厂设置）才能恢复正常功能并移除恶意软件。但如果想要完全关闭大型僵尸网络通常需要执法单位进行。

最后，对于僵尸网络攻击，早期检测才是关键。通过部署有效的安全工具，则可以实现对僵尸网络更好的检测。微步在线流量侧产品TDP，终端侧OneEDR、办公网防护侧OneDNS、免费蜜罐HFish均可针对僵尸网络提供分析与检测，同时TIP与X社区可提供僵尸网络威胁情报，帮助企业提前发现僵尸网络，将威胁扼杀在摇篮之中