Vulnerability-wiki

僵尸网络（Botnet）

1. 僵尸网络概述

僵尸网络(Botnet)是由大量被恶意软件感染的计算机或智能设备组成的网络，攻击者通过一对多的控制机制实现对这些设备的远程操控，将其作为实施各种网络攻击的”僵尸”或”肉鸡”。

Botnet本质上是网络犯罪分子构建的自动化攻击平台，近年来随着物联网设备的普及，其规模和威胁性呈指数级增长。2024年5月，被称为”史上最大僵尸网络”的911 S5被捣毁，该网络控制了超过1900万个IP地址，影响全球近200个国家，展示了Botnet威胁的严峻性。

僵尸网络常见于以下设备类型：

• 物联网设备（如摄像头、路由器、智能家居设备）
• 个人计算机与服务器
• 移动设备
• 工业控制系统（如PLC、工控机）

---

2. 僵尸网络的组成与架构

Botnet名称来源于”Robot Network”的缩写，由三个核心组件构成：僵尸程序(Bot)、僵尸主机(Botnet Host)和命令与控制(C&C)服务器。

1. 僵尸程序(Bot)：攻击者植入到被感染设备中的恶意代码，负责建立与C&C服务器的通信并执行指令。
2. 僵尸主机(Botnet Host)：被成功感染的计算机或智能设备，这些设备通常由普通用户或企业拥有，而用户往往对此毫不知情。
3. 命令与控制(C&C)服务器：攻击者的控制中心，通过特定协议（如HTTP、HTTPS、P2P或加密通信）向僵尸主机发送指令，协调它们执行统一的恶意活动。

根据控制机制的不同，Botnet可分为两种主要类型：集中式：客户端-服务器模式；去中心化：点对点(P2P)模式。

1. 集中式：客户端-服务器模式：所有指令都通过单一的C&C服务器发出，这种结构简单但易于被追踪和阻断。
2. 去中心化：点对点(P2P)模式：去除了中心服务器，僵尸主机之间直接通信，大大提高了网络的隐蔽性和生存能力。
3. 混合模式：随着技术的发展，现代Botnet已开始采用混合模式，结合多种通信方式以增强其鲁棒性。

3. Botnet的工作原理与攻击类型

Botnet的工作原理可以分为三个主要阶段：传播、感染和激活。

1. 传播阶段：攻击者利用各种手段（如钓鱼邮件、漏洞利用、弱口令爆破）将僵尸程序扩散到潜在目标。
2. 感染阶段：僵尸程序成功植入目标设备并建立与C&C服务器的通信连接。
3. 激活阶段：攻击者通过C&C服务器向僵尸主机发送指令，启动大规模恶意活动。

在传播方式上，Botnet呈现出多样化的特点。其中，利用默认口令和弱口令进行传播已成为IoT设备僵尸网络的主流方式。例如，2016年爆发的Mirai僵尸网络就是通过扫描互联网上使用默认口令的摄像头、路由器等IoT设备，利用预设的用户名密码组合（如admin/admin）进行大规模感染。据统计，Mirai僵尸网络曾控制近50万台IoT设备，发起高达1.2 Tb/s的DDoS攻击，瘫痪了美国东海岸的互联网服务。此外，Botnet还可通过软件漏洞利用、社会工程学攻击、恶意网站访问等多种方式传播。

4. Botnet的攻击类型与危害

攻击类型

Botnet可执行的攻击类型广泛，主要包括：

攻击类型	描述	典型案例
分布式拒绝服务(DDoS)攻击	利用大量僵尸主机同时向目标服务器发送请求，耗尽其资源	Mirai攻击Dyn公司导致美国大规模断网
垃圾邮件发送	控制僵尸主机发送大量垃圾邮件	2004年微软发起国际反垃圾邮件工作组
信息窃取	从被感染设备中收集敏感信息	911 S5僵尸网络窃取用户数据并用于诈骗
加密货币挖矿	利用僵尸主机的计算资源进行加密货币挖矿	Outlaw组织通过SSH弱口令部署门罗币挖矿程序
网络钓鱼	通过僵尸网络发送钓鱼链接或托管钓鱼网站	Lazarus组织利用”Tsunami”框架进行信息窃取
代理服务	将被感染设备的IP地址作为匿名代理服务	911 S5提供全球住宅IP代理服务
恶意软件分发	利用僵尸网络作为平台分发其他恶意软件	2025年3月Vo1d恶意软件感染全球226个国家和地区
点击欺诈	模拟用户点击广告，骗取广告收益	Methbot伪装成正常用户点击广告，向广告商收费

危害与典型案例

Botnet的危害随着其规模扩大而日益严重，不仅造成经济损失，还可能威胁国家安全和社会稳定。具体危害包括：

1. 经济损失：僵尸网络可直接导致企业业务中断、数据丢失，间接造成声誉损害和客户流失。据统计，911 S5僵尸网络在2014-2022年间通过提供非法住宅IP代理服务获利超过1亿美元。

2. 数据安全威胁：被感染设备中的敏感信息可能被窃取，包括个人身份信息、金融数据、企业机密等。2025年4月，日立集团子公司Hitachi Vantara遭受Akira勒索软件攻击，被迫采取断网措施以遏制攻击扩散，该攻击可能对下游客户业务连续性造成潜在影响。

3. 基础设施破坏：大规模DDoS攻击可导致关键网络基础设施瘫痪。2016年，Mirai僵尸网络对美国电信服务商Dyn发起攻击，导致美国东海岸多个网站和在线服务中断数小时，影响数千万用户。

4. 犯罪活动支持：僵尸网络常被用于支持其他犯罪活动，如网络诈骗、儿童剥削、炸弹威胁等。2025年1月至4月间，国际刑警组织领导的”安全行动”(Operation Secure)在全球范围内摧毁了20,000多个与信息窃取恶意软件相关联的恶意IP和域名，逮捕了32人，有效遏制了这些僵尸网络支持的犯罪活动。

近年来，Botnet攻击呈现出明显的演变趋势。早期的Botnet主要针对PC设备，如1998年的首个恶意僵尸网络GTBot和2011年的ZeuS GameOver僵尸网络。随着物联网设备的普及，Botnet开始转向IoT设备，如2016年的Mirai和2023年的Mylobot，后者每天记录感染的设备数量超过50,000台。2025年，Botnet攻击进一步多样化，如Outlaw组织利用SSH弱口令攻击Linux系统部署门罗币挖矿程序，以及Lazarus组织利用”Tsunami”恶意软件框架进行加密货币相关攻击。

典型僵尸网络家族

Mirai

• 主要感染使用默认口令的IoT设备（如摄像头、路由器）。
• 用于发起大规模DDoS攻击，一度导致美国东海岸网络瘫痪。

Zeus

• 专注于银行欺诈，通过键盘记录和表单劫持窃取账户信息。
• 构建了一个庞大的感染网络，影响全球数百万台计算机。

Emotet

• 最初是银行木马，后期发展为其他恶意软件的分发平台。
• 使用模块化设计和邮件传播，具有很强的逃避检测能力。

---

5. 僵尸网络的防御措施

1. 设备安全加固：
   • 更改默认账户与密码，关闭不必要的服务。
   • 定期更新系统与应用程序，修补已知漏洞。
2. 网络监控与过滤：
   • 部署IDS/IPS检测异常外连和C&C通信。
   • 使用DNS过滤阻止对恶意域名的访问。
3. 社工方面防护：
   • 不点击来源不明的链接或附件。
   • 安装并更新防病毒软件。
4. 响应与清理机制：
   • 制定应急响应计划，及时隔离受感染设备。
   • 与ISP和安全组织合作，拆除C&C基础设施。

---

6. 检测与分析技术

• 网络流量分析：检测异常连接行为（如高频访问特定IP/域名）。
• 主机行为监控：识别CPU/内存异常、未知进程、可疑文件写入。
• 蜜罐系统：模拟易受攻击设备，捕获僵尸程序样本并分析其行为。
• 威胁情报共享：通过IoCs（Indicators of Compromise）快速识别威胁。

7. 总结

僵尸网络是当前互联网面临的最具破坏性的威胁之一，其危害跨越金融、基础设施和个人隐私多个领域。随着物联网设备数量的快速增长，其规模和控制能力仍在持续演化。防范僵尸网络需要多方协同：

• 厂商应提供更安全的设备和强制性的安全配置；
• 用户需提高安全意识，及时更新和修补设备；
• 企业与组织应部署纵深防御体系，实现早期检测与快速响应。

只有通过技术、管理与合作，才能有效应对僵尸网络带来的持续挑战。