我們為何無法徹底清除僵尸網絡？

Maria Korolov Charles

通過控制數千甚至數百萬臺設備，網絡攻擊者能夠得心應手地傳播惡意軟件，或者實施DDoS攻擊。

僵尸網絡的定義

僵尸網絡是指被攻擊者攻破的、連接了互聯網的任何類型設備的集合。對于那些想要破壞或者闖入目標系統的個人攻擊者、網絡犯罪集團和民族國家而言，僵尸網絡是他們的力量倍增器。僵尸網絡通常用于分布式拒絕服務（DDoS）攻擊，也可以利用其集合計算能力發送大量的垃圾郵件、大規模竊取憑證或者窺探人員和企業。

惡意行為者通過使用惡意軟件感染聯網的設備，然后使用命令和控制服務器管理這些設備，從而構建僵尸網絡。一旦攻擊者攻破了某一網絡上的設備，該網絡上所有易受攻擊的設備都有被感染的風險。

僵尸網絡攻擊會是毀滅性的。2016年，Mirai僵尸網絡關閉了大部分互聯網，包括Twitter、Netflix、CNN和其他主要網站，以及俄羅斯的主要銀行和利比里亞整個國家。僵尸網絡利用了不安全的物聯網（IoT）設備，例如，安防攝像頭，安裝惡意軟件，然后攻擊路由互聯網數據流的DYN服務器。

業界意識到了這一問題，設備制造商、監管機構、電信公司和互聯網基礎設施提供商齊心協力，隔離被攻破的設備，將其關閉或者打上補丁，并確保再也不會出現類似的僵尸網絡。

但只是說說而已，這些都沒有發生。相反，僵尸網絡還是不斷地出現。

甚至Mirai僵尸網絡也還在運行。據Fortinet于2018年8月發布的一份報告，Mirai是去年第二季度最活躍的一種僵尸網絡。

自從兩年前發布其源代碼以來，Mirai僵尸網絡甚至增加了新的功能，包括能夠把受感染的設備轉變為大量的惡意軟件代理和加密貨幣挖礦器。據Fortinet稱，這一網絡還不斷加強針對已知和未知漏洞的攻擊。

Fortinet的高級安全策略師和研究員Tony Giandomenico評論說，事實上，加密貨幣挖礦標志著整個僵尸網絡出現了重大變化。利用加密貨幣挖礦，攻擊者使用受害者的計算機硬件和電力來賺取比特幣、Monero和其他加密貨幣。他說：“這是我們在過去幾個月里經歷的最重大的事情。犯罪分子嘗試怎樣使用物聯網僵尸網絡來賺錢。”

Mirai只是開始。2017年秋天，Check Point的研究人員說他們發現了一種新的僵尸網絡，即“IoTroop”和“Reaper”，能夠比Mirai更快地攻破物聯網設備。一旦用戶開機，它就有可能摧毀整個互聯網。

Mirai感染使用了默認用戶名和密碼的易受攻擊的設備。Reaper不僅如此，它還瞄準了來自近十幾家不同設備制造商的至少九個不同的漏洞，包括D-Link、Netgear和Linksys等主要廠商。它也很靈活，攻擊者很容易更新僵尸網絡代碼，使其更具破壞性。

為什么我們阻止不了僵尸網絡

關閉僵尸網絡面臨的難題包括其廣泛的可用性、不斷購買不安全的設備、幾乎不可能簡單地把受感染的機器鎖定在互聯網之外，以及難以跟蹤和起訴僵尸網絡創建者等。當消費者進入商店購買安防攝像頭或者其他聯網設備時，他們會查看功能，看看是不是知名品牌，最重要的是，他們會查看價格。

安全很少會成為最先考慮的因素。Kudelski Security公司的研究主管Ryan Spanier說：“由于物聯網設備非常便宜，所以很難制定出良好的維護計劃，也很難進行快速更新。”

與此同時，隨著人們不斷購買低成本、不安全的設備，易受攻擊的終端數量也在不斷增加。研究公司IHS Markit估計，連網設備的總數將從2017年的近270億增長到2030年的1250億。

Spanier說，制造商沒什么動力去做出改變。大多數制造商對于銷售不安全的設備根本不用承擔任何后果。他說：“而過去的一年里，情況開始發生變化。美國政府已經處罰了幾家制造商。”

例如，聯邦貿易委員會在2017年起訴了D-Link公司，指控其所銷售的路由器和IP攝像機都有眾所周知的、可預防的安全缺陷，例如硬編碼的登錄憑證等。然而，一位聯邦法官駁回了聯邦貿易委員會一半的投訴，因為聯邦貿易委員會無法確定消費者實際受到傷害的具體案例。

怎樣檢測僵尸網絡：目標數據流

僵尸網絡通常受到中央命令服務器的控制。從理論上講，關閉該服務器，然后跟蹤數據流返回找到受感染的設備，清理并保護好這些設備——這應該是一項簡單的工作，但實際上絕非易事。

當僵尸網絡如此之大以至于影響到互聯網時，互聯網服務提供商會聯合起來搞清楚到底發生了什么，并對數據流進行研判。

NSS實驗室首席技術官Jason Brvenik指出，這還涉及到合規和隱私問題，以及運營方面的問題。一個消費者的網絡上可能有幾臺設備共享一條連接，而一家企業可能有數千臺甚至更多。Brvenik說：“沒有辦法隔離受影響的設備。”

僵尸網絡會試圖掩蓋自己的起源。例如，Akamai一直在跟蹤一個僵尸網絡，其IP地址與《財富100強》公司相關，而Akamai懷疑這一地址可能是假的。

一些安全公司正試圖與基礎設施提供商合作，以發現受感染的設備。CrowdStrike公司的情報副總裁Adam Meyers說：“我們與Comcasts、Verizon以及世界上幾乎所有的互聯網服務提供商合作，告訴他們這些機器正在與我們的誘導機器對話，他們必須找到這些設備的全部所有者，并對其進行修復。”

這可能涉及數以百萬計的設備，必須移除某些設備，安裝補丁。通常，沒有遠程更新選擇。很多安防攝像頭和其他聯網傳感器都在遠程。Meyers說：“解決這些問題是一項巨大的挑戰。”

另外，可能不再支持某些設備，或者可能由于這些設備的設計問題，很難對它們打補丁。這些設備通常在感染后仍能正常工作，因此所有者不會出于特別的動機而移除它們去換新的。Meyers說：“視頻質量還沒有下降到需要更換的程度。”

通常情況下，這些設備的所有者永遠不會發現它們已經被感染了，并且成為了僵尸網絡的一部分。Vectra Networks公司安全分析主管Chris Morales說：“消費者沒有安全控制機制來監視他們個人網絡上的僵尸網絡活動。”

Morales說，企業有更多的工具可供使用，但發現僵尸網絡一般不是最重要的任務。他說：“安全部門優先考慮針對自己資源的攻擊，而不是從自己的網絡向外部目標發起的攻擊。”

如果設備制造商發現了他們的物聯網設備中有無法修補的缺陷，如果他們有足夠的動機，可能會進行召回，但即便如此，也可能不會產生太大的效果。

怎樣防止僵尸網絡攻擊

保護數字經濟委員會（CSDE）最近與信息技術產業委員會、USTelecom和其他組織合作發布了一份非常全面的指南，旨在保護企業免受僵尸網絡的攻擊。以下是一些最重要的建議。

更新，更新，還是更新

僵尸網絡利用沒有打上補丁的漏洞，從一臺機器傳播到另一臺機器，從而給企業造成了很大的損害。第一道防線應該是保持所有系統及時進行更新。CSDE建議企業在更新可用時立即安裝更新，最好使用自動更新。

有些企業傾向于推遲更新，直到有時間檢查過兼容性和其他問題后才進行更新。這會導致嚴重的延遲，有些系統可能會被完全遺忘，甚至永遠不會出現在更新列表中。

不使用自動更新的企業應重新考慮其策略。思科的Talos安全推廣經理Craig Williams表示：“供應商在測試穩定性和功能性方面做的越來越好。”

思科是CSDE最初的合作伙伴之一，并為《反僵尸網絡指南》做出了貢獻。他說：“以前的風險已經減弱了。”

不僅僅是應用程序和操作系統需要自動更新。他說：“還應確保你的硬件設備也設置為自動更新。”

包括硬件和軟件在內的老產品可能不再被更新，《反僵尸網絡指南》建議企業停止使用它們。供應商也極不可能為盜版產品提供支持。

鎖定訪問

該指南建議企業為訪問控制功能部署多重身份和基于風險的身份驗證、最低權限和其他最佳實踐措施。Williams說，在感染了一臺機器之后，僵尸網絡還會利用憑證進行傳播。通過鎖定訪問，能夠把僵尸網絡控制在一個地方，盡可能減少所造成的破壞，而且也更容易根除它。

企業可以采取的最有效的一種步驟是使用物理密鑰進行身份驗證。例如，谷歌在2017年開始要求其所有員工使用物理安全密鑰。據該指南稱，從那以后，再也沒有員工的工作賬戶被網絡釣魚了。

Williams說：“然而，很多企業負擔不起。”除了技術的前期成本以外，員工丟失密鑰的風險也很高。

基于智能手機的雙重身份驗證有助于解決這一問題。據Wiliams的說法，這是一種經濟有效的方法，并且增加了重要的安全層。他說：“攻擊者不得不對某個人的手機進行物理攻擊。有可能在手機上執行代碼來攔截短信，但這類問題非常罕見。”

不要單打獨斗

《反僵尸網絡指南》推薦了企業可以通過尋求外部合作伙伴幫助而受益的幾個領域。例如，企業可以利用很多渠道共享威脅信息，這包括CERT、行業組織、政府和執法部門的信息共享活動，也可以利用供應商贊助的平臺。

企業不應該完全依賴自身內部資源的另一領域是防范DDoS攻擊。Williams指出：“一般來說，對于DDoS，企業希望在盡可能遠的地方就阻止它。很多人認為，如果企業有入侵保護系統或者防火墻，就能阻止DDoS攻擊。但實際上并非如此。”

深化防御

僅僅保護周界和終端設備是不夠的。Williams說：“現在的攻擊者真的很有創造力。即使網絡是由不同供應商的產品構成的，他們也能讓你的網絡感受到壓力。”他說，擁有多個防御系統就像在一扇門上安裝了幾把鎖。如果攻擊者知道了怎樣打開一把鎖，那么還有其他鎖能阻止他們。

《反僵尸網絡指南》建議企業考慮使用高級分析來保護用戶、數據和網絡，以確保正確的設置安全控制功能，并利用網絡分段和網絡架構來安全的管理數據流。Williams說，例如，物聯網設備應該位于網絡中一個單獨而且隔離的地方。

例如，Mirai僵尸網絡利用了不安全的聯網設備。他說：“當你的物聯網設備無法與同一網絡上企業的其他設備一同打上補丁時，這就帶來了本來不應存在的巨大風險。”

僵尸網絡拖網行動也取得了一些成功

2017年底，聯邦調查局與歐洲執法部門聯合摧毀了Andromeda僵尸網絡。在過去的6個月里，每月平均有一百多萬臺計算機檢測到并攔截了僵尸網絡。

然而，據Fortinet的數據，Andromeda僵尸網絡在今年第二季度仍然非常活躍——事實上，它是規模第二大的僵尸網絡，感染了企業中20%以上的設備。Fortinet的Giandomenico說，很難移除它們。“應該由誰負責？是政府出面負責清理嗎？”

他補充說，這會變得更加困難。

當僵尸網絡由中央服務器控制時，一旦服務器被移除，僵尸網絡就不會活動了。Giandomenico說，但是僵尸網絡如果開始是以網格方式運行的，采用了點對點通信，那么僵尸網絡會非常有彈性。他補充說，這不僅僅是理論上的問題，因為已經知道一些僵尸網絡正在以分散的網格模式運行。他說：“這是一種緩慢但不斷增長的趨勢。其中一些比較著名的有Hajime、Hide N的Seek和TheMoon。”

除了關閉命令和控制服務器之外，當局還可以通過跟蹤他們的客戶來攻擊僵尸網絡。例如，DDoS即服務提供商使用僵尸網絡對任何在貝寶（PayPal）或者比特幣（Bitcoin）錢包中有閑錢的人發起大規模攻擊。

去年春天，英國和荷蘭當局聯手開展了“斷電行動（Operation Power Off），取締了最大的DDoS即服務運營商webstresser.org，并逮捕了位于英國、克羅地亞、加拿大和塞爾維亞的平臺管理員。據Europol稱，該網站擁有13.6萬名注冊用戶，并對400萬次攻擊負責，其提供的服務每月僅需15歐元。

據Akamai去年夏天發布的一份報告，Webstresser.org還只是眾多此類網站中的一個。到目前為止，還沒有跡象表明DDoS攻擊會因此而減少。

據CrowdStrike公司的情報副總裁Adam Meyers稱，當局還在第一時間追捕那些制造僵尸網絡的人。例如，在2017年，當局逮捕了Waledac和Kelihos垃圾郵件僵尸網絡背后的黑客彼得“Severe” Levashov。Meyers介紹說：“他在西班牙度假時被捕了。這需要司法部、聯邦調查局和西班牙警察之間進行協調。有很多國際合作。此外，破壞僵尸網絡還需要專業技術，我們就得派遣一些技術專家到阿拉斯加幫助聯邦調查局解決問題。”

如果創建者仍然逍遙法外，那么關閉僵尸網絡的服務器還不足以解決問題。Meyers說：“對于Kelihos來說，它曾被中斷了五次左右。但由于該僵尸網絡的作者沒有被逮捕，他能夠把僵尸網絡重新組織起來，在某些情況下，在中斷后的幾個小時內就能重新組織好。幾次之后，人們意識到，除非我們把這家伙抓起來，否則這件事還會發生。”

在Andromeda僵尸網絡的案例中，僅僅逮捕創建者還不夠。這需要國際執法機構、技術和安全供應商的大規模合作，才能摧毀這一網絡，該網絡涉及464個僵尸網絡、1214個命令和控制域，以及80個系列惡意軟件。

Andromeda從2011年就開始出現了，在暗網上以隨時可用的僵尸網絡套件進行出售，也稱為Gamarue和Wauchos。它造成了每月有110多萬個系統被感染。ESET有限責任公司是一家致力于追緝僵尸網絡的組織，其高級惡意軟件研究員Jean-Ian Boutin說，執法部門從2015年開始著手將其取締。他說：“這種行動需要時間。在此期間，安全部門分析了數千個Andromeda樣本。在此基礎上，我們相信這次行動導致了目前所有Andromeda僵尸網絡的中斷。”

然而，Andromeda不僅仍然還在，而且規模仍然很大，在追緝過程中被逮捕的創建者也被釋放了。Sergei Yarets被處以很少的罰款（只相當于5500美元），在服刑6個月后，去年夏天被白俄羅斯當局釋放。

Recorded Future公司的研究員Alexandr Solad在2018年8月的一份報告中指出：“這起案件是前蘇聯國家起訴網絡罪犯分子雙重標準的另一個例子，在這些國家，他們以不同的方式處理自己的網絡犯罪分子，使得這類人避免受到公正的懲罰，然后為了國家的利益而利用這些犯罪分子，讓國際社會打擊網絡犯罪所付出的努力付諸東流。”

僵尸網絡的永久解決方案還需假以時日

甚至很難在第一時間逮捕黑客。Meyers說，問題在于該被逮捕的還是會逍遙法外。他說：“俄羅斯黑客Evgeniy Bogachev在2014年6月的Gameover Zeus攻擊中被指認出來，但他仍然在俄羅斯的某個地方逍遙快活。很多這些家伙不必擔心會被逮捕。如果他們在俄羅斯工作，不是發起針對俄羅斯系統的攻擊，那么他們幾乎都能逍遙法外。”Bogachev目前在聯邦調查局的網絡頭號通緝犯名單上。

IOActive公司的咨詢服務主管Daniel Miessler說，要想永久解決僵尸網絡問題，除了解決技術難題，還需要一個全球性的網絡犯罪解決方案。這種情況在可預見的未來不會發生。他說：“僵尸網絡是由于社會上存在的漏洞和刺激因素而存在的一種突發性社會疾病。在解決這些問題之前，我們應永遠同等的對待僵尸網絡與突然出現的惡意軟件和漏洞。”

除了建立一個全球共同的網絡犯罪執法系統外，還需要為制造商制定標準法規，要求在物聯網設備中具有一定程度的最低安全性。人工智能網絡安全初創公司Jask的安全研究主管Rod Soto表示：“任何法規都必須適用于所有制造商，因為很多市場往往充斥著在互聯網法律非常寬松或者根本沒有法律的地區所生產的非常便宜的設備。”

Incapsula公司的產品拓展專員Igal Zeifman評論說：“很難想象世界上所有的國家和受影響的行業能夠團結在一起，就一種共同的做法達成一致，然后再加以實施。”他說：“所有通過行業標準和立法來打擊僵尸網絡發展的舉措可能只會繼續在地區或者國家層面上進行。”

這意味著，即使個別國家能夠減緩其所在地區內僵尸網絡的增長，但仍有很多其他地方會繼續不斷增長。Zeifman說：“考慮到互聯網的全球性質，這意味著僵尸網絡攻擊在未來的很多年里將繼續對數字業務和在線社區構成威脅。”

Maria Korolov過去20年一直涉足新興技術和新興市場。