僵屍網絡是如何控制你的電腦的?
僵屍網絡是有眾多被惡意軟件感染了的僵屍主機組成,僵屍網絡控制住通過控制信道向將是主機下達命令在主機上執行惡意行為。可以實現信息竊取,DDOS攻擊、垃圾郵件發送等從受害主機竊取敏感信息以謀取經濟利益。
僵屍網絡已經形成互聯網主要的危害之一,其傳播範圍非常快,那麽終端是如何感染病通過建立黑客和受感染主機控制通道,形成控制網絡的呢?
一、僵屍網絡入侵途徑
1、漏洞利用,
通過程序中的某些漏洞,得到計算機的控制權(通過自己寫代碼穿過具有漏洞程序的限制,從而獲得管理員權限),
為了達到發現網絡的漏洞,實現獲取密碼擋、添加用戶、控制網站的目標,攻擊者進行exploit,而在破解圈子裏面,公認的概念是“漏洞及其利用”。通俗的說,exploit就是利用一切可以利用的工具,采用一切可以采用的方法、找到一切可以找到的漏洞,並通過對漏洞資料的研究分析,從而達到獲取網站用戶資料、添加用戶、甚至入侵網站獲得管理權限控制整個網站的目的。
2、釣魚攻擊,
釣魚攻擊是攻擊者經常使用的一種攻擊方式,也是效果非常好的攻擊手法,由於攻擊成本低、效率高被攻擊者廣泛采用。
在釣魚攻擊之前,攻擊者會收集大量用戶的信息,了解被攻擊者的愛好、主機安裝殺毒軟件情況等等,信息收集之後,對被攻擊的不同用戶通過愛好、主機行為進行精準投放,大多攻擊是通過電子郵件的方式,附件的內容是用戶喜好的內容,打開後就會通過漏洞觸發惡意代碼的執行。
3、水坑攻擊
所謂“水坑攻擊”,是指攻擊者通過分析被攻擊者的網絡活動規律,尋找被攻擊者經常訪問的網站的弱點,先通過網絡攻擊的方式攻下該網站並植入惡意代碼,等待被攻擊者來訪的時候對用戶實施攻擊。
水坑攻擊是一種非常有效、精準的攻擊手段,與釣魚攻擊相比,攻擊者無需耗費精力制作釣魚誘餌文件,而是利用合法網站的弱點,隱蔽性比較強。隨著網絡安全深入人心,人們安全意識不斷加強的今天,攻擊者處心積慮地制作釣魚文件卻被有心人輕易識破(0day攻擊除外),而水坑攻擊則利用了被攻擊者對網站的信任。水坑攻擊利用網站的弱點在其中植入攻擊代碼,攻擊代碼利用瀏覽器的缺陷,被攻擊者訪問網站時終端會被植入惡意程序或者直接被盜取個人重要信息。
水坑攻擊相對於釣魚攻擊,由於利用被攻擊者經常訪問的網站進行攻擊,從而達到攻擊更具有欺騙性,攻擊效率更高。
二、對受控者進行長期控制
通過社會工程學、郵件釣魚、水坑攻擊等攻擊方式進入用戶主機之後,攻擊者為了實現長期控制和竊取數據的目的,就需要在受害者終端上安裝一個惡意程序。惡意軟件是指病毒、木馬、間諜軟件、僵屍網絡等竊取主機信息為目的的惡意軟件。
1、病毒
病毒是一個惡意程序,它能夠在網絡中自我復制病感染多臺計算機。病毒可以依附在文件中傳播,通過文件傳播共享實現多臺主機感染。
2、木馬
木馬是一個惡意程序,與病毒不同,它沒有自我復制的功能,也無需依附在文件中,而是獨立的程序,在多數情況下,木馬程序會創建一個後門,使你的電腦成為僵屍網絡的一部分,受到遠程控制。
3、間諜軟件
間諜軟件是安裝在你電腦的一款軟件,在你不知情的情況下收集你的個人信息,並將信息返回到間諜軟件那裏,可能會盜取鍵盤記錄、密碼信息、改變瀏覽器首頁、添加工具等
4、僵屍網絡
僵屍網絡是在網絡蠕蟲、木馬、後門工具等傳統惡意代碼的基礎上發展、融合而產生的一種新型攻擊方式,僵屍網絡 (Botnet) 是指采用一種或多種傳播手段,將大量主機感染bot程序(僵屍程序),從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡
三、建立通信信道
當木馬持續在主機駐留後,木馬程序會主動與遠程的僵屍網絡主控端建立連接,發送上線通知,匯報當前主機的環境和基礎信息等。有些僵屍主機(例如:感染Bobax僵屍網絡)上線會先訪問一個url,向僵屍網絡發送一個註冊請求,如果註冊成功,則僵屍網絡控制端將返回請求,並攜帶攻擊者對受控僵屍網絡發出的控制指令,受控僵屍主機則從內容中解析出命令內容並進行執行。
心跳行為:
目前,很多僵屍網絡采用數據流偽裝方式隱藏通訊行為來躲避網絡安全設備的檢測,其中之一就包括攻擊者和受攻擊直接通訊,通過使用心跳包的形式,心跳包一般每個固定的時間定期向攻擊者匯報主機的環境和信息(包括主機地址、操作系統、主機ID等)用於表明被控主機是否存活。
四、維持信道通信
僵屍網絡就是要達到長期控制主機的目的,對被控主機進行長期控制和利用。
1、竊取信息
竊取信息是僵屍網絡的一個方式,通過對主機的控制,獲取主機的敏感信息和重要文件,還會收集目標受害者的個人信息,包括家庭和工作場所信息。同時還部署插件讓攻擊者遠程打開受害者的網絡攝像頭並進行記錄。攻擊者利用竊取的信息操縱受害者。
2、切換CnC
由於網絡攻防對抗持續升級,近幾年信息安全發展迅速,現在基本已經實現是威脅情報共享、信息交換。在這種情況下網絡網絡維護的cc地址可能被一個防禦者發現後通過情報共享,所有設備都可以檢測並防禦該僵屍網絡,在這種情況,僵屍網絡控制段要持續多受控主機進行控制,就需要不斷切換cc地址,不乏有許多利用DGA和dns隱蔽信道的方式來繞過檢查(以後會詳細講,先挖個坑),不斷更新惡意代碼程序,來維持僵屍網絡,實現更大的價值和利益。
本文章通過介紹僵屍網絡攻擊方式控制目標主機,通過誘餌文件釋放惡意程序,通過與僵屍網絡控端建立連接,以其達到對大量主機長期控制,竊取數據的目的。
如果喜歡,請關註我們的微信公眾號,謝謝!
僵屍網絡是如何控制你的電腦的?