了解破壞網路的殭屍網絡:第二部分
由 FastNetMon 發表於 2025年7月3日
二十多年來,殭屍網絡一直是網路上最具破壞性的活動之一,從大規模的分散式阻斷服務攻擊(DDoS)到憑證竊取和惡意軟體分發。儘管最終目標沒有太大改變,但其背後的技術機制已經顯著演變。
在本系列的第一部分中,我們介紹了殭屍網絡的基本概念。本篇文章將深入分析殭屍網絡隨時間的發展,特別是其感染策略、指揮與控制(C2)基礎設施,以及它們被設計來發動的攻擊類型。在第三部分,我們將探討殭屍網絡的進化和現代架構。
早期殭屍網絡的運作方式
早期的殭屍網絡採用了基本但有效的架構:集中控制、不安全的服務如 Telnet,以及通常僅有最小的混淆技術。
BASHLITE 是最早利用 Shellshock 漏洞並開啟 Telnet 埠來徵用物聯網(IoT)設備進行簡單的洪水型 DDoS 攻擊。其架構非常簡單:被感染的設備回報至一個 IRC 或 HTTP 伺服器,該伺服器會廣播指令。
GameOver Zeus 採用了更具彈性的點對點(P2P)設計模式。每個被感染的節點不再只與單一 C2 伺服器通信,而是可以轉發指令和更新,這使得攔截變得更加困難。它同時也是勒索軟體和金融惡意軟體的載體,經常在傳送次級有效載荷之前竊取憑證。
Necurs 則選擇了不同的路徑。它使用域名生成算法(DGA)動態生成潛在的指揮與控制域名列表,這使得透過靜態黑名單進行封鎖變得困難。Necurs 主要用作垃圾郵件發送引擎,經常透過大規模電子郵件推送 Dridex 和 Locky 等有效載荷。它也支持惡意軟體加載器,具有超越純垃圾郵件的靈活性。
Emotet 從一個銀行木馬起步,但發展成為一個模組化平台,分發其他惡意軟體家族,包括 TrickBot 和 Ryuk。它透過惡意電子郵件附件傳播,使用宏建立在企業環境中的立足點。其架構結合了集中控制和快閃 DNS,快速輪換 C2 端點以避免偵測和攔截。
Mirai 在 2016 年公開,因攻擊具有預設憑證的 IoT 設備而聞名。其架構仍然是集中式但模組化的,允許攻擊者輕鬆推送更新並在攻擊模式之間切換。Mirai 的洪水攻擊包括 SYN、UDP、HTTP,以及基於 GRE 的向量,使其成為當時最具適應性的 DDoS 工具之一。
這些早期的殭屍網絡顯示了在自動化、彈性或可擴展性方面的一步步進展。從簡單的指令廣播到動態域名查詢和多態加載器,攻擊者不斷迭代前幾代有效的方法,而防禦者則努力追趕。
早期的殭屍網絡通常比較吵雜,大多數未加密,如果能夠識別出其中央 C2 基礎設施,則相對容易被摧毀。但它們之所以有效,大多是因為設備沒有更新、沒有監控,並完全暴露於公共互聯網。
殭屍網絡部署後的活動
早期的殭屍網絡通常執行簡單任務:垃圾郵件、洪水攻擊或鍵盤記錄。現代殭屍網絡則更加野心勃勃。它們運行分層攻擊,將 DDoS 與加密貨幣挖礦混合,並經常作為租賃的惡意軟體分發系統。
以 Aquabot 和 GorillaBot 為例。Aquabot 專注於 Linux 系統的路由器和相機,利用 UPnP 和 Telnet 漏洞。一旦入侵,它便發動 HTTP/2 洪水攻擊,這是一種繞過傳統防禦的協議層攻擊。
這些案例展示了殭屍網絡如何成為網路安全的一大挑戰,對企業和個人用戶帶來嚴重威脅。為了對抗這些威脅,選擇可靠的網路服務提供商至關重要,例如 北斗數位 BDHWeb 提供的抗攻擊主機和 DDoS 防禦服務,能夠有效保護您的網路資源。