墨者安全分享：你的电脑是如何被僵尸网络控制的?

什么是僵尸网络，僵尸网络是由众多被感染的僵尸电脑（肉鸡）组成，黑客可以通过控制这些僵尸网络进行信息窃取，DDoS攻击、垃圾邮件发送等恶意行为，为自己谋取经济利益。僵尸网络是互联网主要危害之一，很多人的电脑在不知不觉中成为了僵尸网络中的“肉鸡”之一，传播速度和范围非常的快。今天墨者安全就来给大家说说你的电脑是如何被僵尸网络控制的呢?

一、僵尸网络入侵途径

1、漏洞利用

通过程序中的某些漏洞，得到计算机的控制权（通过自己写代码穿过具有漏洞程序的限制，从而获得管理员权限），为了达到发现网络的漏洞，实现获取密码挡、添加用户、控制网站的目标，攻击者进行exploit，而在破解圈子里面，公认的概念是“漏洞及其利用”。通俗的说，exploit就是利用一切可以利用的工具，采用一切可以采用的方法、找到一切可以找到的漏洞，并通过对漏洞资料的研究分析，从而达到获取网站用户资料、添加用户、甚至入侵网站获得管理权限控制整个网站的目的。

2、钓鱼攻击

钓鱼攻击是攻击者经常使用的一种攻击方式，也是效果非常好的攻击手法，由于攻击成本低、效率高被攻击者广泛采用。在钓鱼攻击之前，攻击者会收集大量用户的信息，了解被攻击者的爱好、主机安装杀毒软件情况等等，信息收集之后，对被攻击的不同用户通过爱好、主机行为进行精准投放，大多攻击是通过电子邮件的方式，附件的内容是用户喜好的内容，打开后就会通过漏洞触发恶意代码的执行。

3、水坑攻击

所谓“水坑攻击”，是指攻击者通过分析被攻击者的网络活动规律，寻找被攻击者经常访问的网站的弱点，先通过网络攻击的方式攻下该网站并植入恶意代码，等待被攻击者来访的时候对用户实施攻击。水坑攻击是一种非常有效、精准的攻击手段，利用网站的弱点在其中植入攻击代码，攻击代码利用浏览器的缺陷，被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。水坑攻击相对于钓鱼攻击，由于利用被攻击者经常访问的网站进行攻击，从而达到攻击更具有欺骗性，攻击效率更高。
 

二、对受控者进行长期控制

1、病毒

病毒是一个恶意程序，它能够在网络中自我复制病感染多台计算机。病毒可以依附在文件中传播，通过文件传播共享实现多台主机感染。

2、木马

木马是一个恶意程序，与病毒不同，它没有自我复制的功能，也无需依附在文件中，而是独立的程序，在多数情况下，木马程序会创建一个后门，使你的电脑成为僵尸网络的一部分，受到远程控制。

3、间谍软件

间谍软件是安装在你电脑的一款软件，在你不知情的情况下收集你的个人信息，并将信息返回到间谍软件那里，可能会盗取键盘记录、密码信息、改变浏览器首页、添加工具等

4、僵尸网络

僵尸网络是在网络蠕虫、木马、后门工具等传统恶意代码的基础上发展、融合而产生的一种新型攻击方式，僵尸网络 （Botnet） 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络

三、建立通信信道

当木马持续在主机驻留后，木马程序会主动与远程的僵尸网络主控端建立连接，发送上线通知，汇报当前主机的环境和基础信息等。有些僵尸主机（例如：感染Bobax僵尸网络）上线会先访问一个url，向僵尸网络发送一个注册请求，如果注册成功，则僵尸网络控制端将返回请求，并携带攻击者对受控僵尸网络发出的控制指令，受控僵尸主机则从内容中解析出命令内容并进行执行。
 

四、维持信道通信

1、窃取信息

窃取信息是僵尸网络的一个方式，通过对主机的控制，获取主机的敏感信息和重要文件，还会收集目标受害者的个人信息，包括家庭和工作场所信息。同时还部署插件让攻击者远程打开受害者的网络摄像头并进行记录。攻击者利用窃取的信息操纵受害者。

2、切换CnC

由于网络攻防对抗持续升级，近几年信息安全发展迅速，现在基本已经实现是威胁情报共享、信息交换。在这种情况下网络网络维护的cc地址可能被一个防御者发现后通过情报共享，所有设备都可以检测并防御该僵尸网络，在这种情况，僵尸网络控制段要持续多受控主机进行控制，就需要不断切换cc地址，不乏有许多利用DGA和dns隐蔽信道的方式来绕过检查，不断更新恶意代码程序，来维持僵尸网络，实现更大的价值和利益。