僵尸网络学习

 · 2021-1-7 · 次阅读


由于之前一次应急的溯源攻击路径失败(客户日志记录过少),因而需要积累更多知识希望能对自己的应急响应更有帮助。

僵尸网络

英文单词Botnet(僵尸网络)由”robot(机器人)”和network“网络”两个单词组合而成。

网络犯罪分子使用特殊的木马病毒破坏多台用户计算机的安全,控制每一台计算机,然后将所有受感染的计算机组成一个能够让犯罪分子远程管理的“机器人”网络。

通俗说,僵尸网络是一整套的黑客攻击流程,首先攻击者通过各种途径传播“僵尸网络”。

使用火绒可以很好的检测其为后门病毒。当用户感染并激活病毒时候,攻击者就可以控制电脑并下发各种远程命令。

最后,随着被感染的电脑越来越多,这个被感染的群体称为僵尸网络。

img

简单了解定义后,先自主分析一下,被攻击内网而组成僵尸网络的路径。

僵尸网络成因

1.端口映射

首先到客户那第一需要排查的是业务,如果是服务器上线了哪些业务系统、有没有把内网端口映射到外网上面。比如直接把3389、445这种高危端口直接映射到公网导致被一键getshell了。

2.Web应用突破

由于采用了一些高危含漏洞的应用:weblogic、shiro、struts2等导致被攻击者批量控制被进入内网横向渗透最后形成了整个系统的僵尸网络。

3.钓鱼邮件

更红队的手段类似,恶意攻击者也会发送带有病毒的垃圾邮件进行大范围撒网,直到有鱼儿上网后就可以进入内网进行更多的内网撒毒了。

4.提供污染供应链

直接在github或者论坛的一些地方发布带有僵尸程序的病毒模块,一旦开发使用这些提供的组件进行开发,最后u做出来的软件也会携带病毒形成裂变传播效果。

这个提到开发,我们安全也一样,很多工具都留有后门,说不定自己的电脑早已被控制了。

继续偷图:

Image-4.png

如何拦截”僵尸网络”攻击

各类杀毒软件是如何检测到僵尸网络的攻击的?

由于僵尸网络控制了电脑会进行远程控制与联系,因而时不时会与外部服务器进行通信。

基于网络连接、流量监测类设备就能很好的监测出来僵尸程序的产生。

僵尸网络危害

僵尸网络经常被用来进行挖矿、搭建违法的平台,或者当作傀儡向更多的机器发动攻击行为。

当然比较小的危害会执行包括盗取账号密码、个人信息调用摄像头,键盘记录,甚至可以随意更改文件等各类命令。

发起DDOS攻击。刚上网看到一个很有趣的,比如茅台、口罩抢不到由于访问的机器过多导致服务器负载不过来形成了拒绝服务。

主动发起拒绝服务攻击可能是一些境外黑客搞破坏而造成的。