僵尸网络是有众多被恶意软件感染了的僵尸主机组成,僵尸网络控制住通过控制信道向将是主机下达命令在主机上执行恶意行为。可以实现信息窃取,DDOS攻击、垃圾邮件发送等从受害主机窃取敏感信息以谋取经济利益。
僵尸网络已经形成互联网主要的危害之一,其传播范围非常快,那么终端是如何感染病通过建立黑客和受感染主机控制通道,形成控制网络的呢?
一、僵尸网络入侵途径
1、漏洞利用,
通过程序中的某些漏洞,得到计算机的控制权(通过自己写代码穿过具有漏洞程序的限制,从而获得管理员权限),
为了达到发现网络的漏洞,实现获取密码挡、添加用户、控制网站的目标,攻击者进行exploit,而在破解圈子里面,公认的概念是“漏洞及其利用”。通俗的说,exploit就是利用一切可以利用的工具,采用一切可以采用的方法、找到一切可以找到的漏洞,并通过对漏洞资料的研究分析,从而达到获取网站用户资料、添加用户、甚至入侵网站获得管理权限控制整个网站的目的。
2、钓鱼攻击,
钓鱼攻击是攻击者经常使用的一种攻击方式,也是效果非常好的攻击手法,由于攻击成本低、效率高被攻击者广泛采用。
在钓鱼攻击之前,攻击者会收集大量用户的信息,了解被攻击者的爱好、主机安装杀毒软件情况等等,信息收集之后,对被攻击的不同用户通过爱好、主机行为进行精准投放,大多攻击是通过电子邮件的方式,附件的内容是用户喜好的内容,打开后就会通过漏洞触发恶意代码的执行。
3、水坑攻击
所谓“水坑攻击”,是指攻击者通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先通过网络攻击的方式攻下该网站并植入恶意代码,等待被攻击者来访的时候对用户实施攻击。
水坑攻击是一种非常有效、精准的攻击手段,与钓鱼攻击相比,攻击者无需耗费精力制作钓鱼诱饵文件,而是利用合法网站的弱点,隐蔽性比较强。随着网络安全深入人心,人们安全意识不断加强的今天,攻击者处心积虑地制作钓鱼文件却被有心人轻易识破(0day攻击除外),而水坑攻击则利用了被攻击者对网站的信任。水坑攻击利用网站的弱点在其中植入攻击代码,攻击代码利用浏览器的缺陷,被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。
水坑攻击相对于钓鱼攻击,由于利用被攻击者经常访问的网站进行攻击,从而达到攻击更具有欺骗性,攻击效率更高。
二、对受控者进行长期控制
通过社会工程学、邮件钓鱼、水坑攻击等攻击方式进入用户主机之后,攻击者为了实现长期控制和窃取数据的目的,就需要在受害者终端上安装一个恶意程序。恶意软件是指病毒、木马、间谍软件、僵尸网络等窃取主机信息为目的的恶意软件。
1、病毒
病毒是一个恶意程序,它能够在网络中自我复制病感染多台计算机。病毒可以依附在文件中传播,通过文件传播共享实现多台主机感染。
2、木马
木马是一个恶意程序,与病毒不同,它没有自我复制的功能,也无需依附在文件中,而是独立的程序,在多数情况下,木马程序会创建一个后门,使你的电脑成为僵尸网络的一部分,受到远程控制。
3、间谍软件
间谍软件是安装在你电脑的一款软件,在你不知情的情况下收集你的个人信息,并将信息返回到间谍软件那里,可能会盗取键盘记录、密码信息、改变浏览器首页、添加工具等
4、僵尸网络
僵尸网络是在网络蠕虫、木马、后门工具等传统恶意代码的基础上发展、融合而产生的一种新型攻击方式,僵尸网络 (Botnet) 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络
三、建立通信信道
当木马持续在主机驻留后,木马程序会主动与远程的僵尸网络主控端建立连接,发送上线通知,汇报当前主机的环境和基础信息等。有些僵尸主机(例如:感染Bobax僵尸网络)上线会先访问一个url,向僵尸网络发送一个注册请求,如果注册成功,则僵尸网络控制端将返回请求,并携带攻击者对受控僵尸网络发出的控制指令,受控僵尸主机则从内容中解析出命令内容并进行执行。
心跳行为:
目前,很多僵尸网络采用数据流伪装方式隐藏通讯行为来躲避网络安全设备的检测,其中之一就包括攻击者和受攻击直接通讯,通过使用心跳包的形式,心跳包一般每个固定的时间定期向攻击者汇报主机的环境和信息(包括主机地址、操作系统、主机ID等)用于表明被控主机是否存活。
四、维持信道通信
僵尸网络就是要达到长期控制主机的目的,对被控主机进行长期控制和利用。
1、窃取信息
窃取信息是僵尸网络的一个方式,通过对主机的控制,获取主机的敏感信息和重要文件,还会收集目标受害者的个人信息,包括家庭和工作场所信息。同时还部署插件让攻击者远程打开受害者的网络摄像头并进行记录。攻击者利用窃取的信息操纵受害者。
2、切换CnC
由于网络攻防对抗持续升级,近几年信息安全发展迅速,现在基本已经实现是威胁情报共享、信息交换。在这种情况下网络网络维护的cc地址可能被一个防御者发现后通过情报共享,所有设备都可以检测并防御该僵尸网络,在这种情况,僵尸网络控制段要持续多受控主机进行控制,就需要不断切换cc地址,不乏有许多利用DGA和dns隐蔽信道的方式来绕过检查(以后会详细讲,先挖个坑),不断更新恶意代码程序,来维持僵尸网络,实现更大的价值和利益。
本文章通过介绍僵尸网络攻击方式控制目标主机,通过诱饵文件释放恶意程序,通过与僵尸网络控端建立连接,以其达到对大量主机长期控制,窃取数据的目的。
如果喜欢,请关注我们的微信公众号,谢谢!