殭屍網路定義
殭屍網路是由被劫持的電腦裝置所組成的網路,用於進行各種詐騙和網路攻擊。「殭屍網路」一詞意指由「殭屍」化的電腦裝置構成的「網路」。殭屍網路的組成通常為多層次手法中的滲透階段。被殭屍化的電腦被作為工具以自動進行大規模攻擊,例如:資料竊取、伺服器當機和惡意軟體散播。
殭屍網路未經使用者的同意使用其裝置來進行詐騙或造成破壞。所以,到底什麼是殭屍網路攻擊?其運作原理為何?為了充分了解殭屍網路,讓我們先來探討殭屍網路的組成及其使用。
殭屍網路的運作原理
殭屍網路能增強、自動化和加速駭客實施更大規模攻擊的能力。
一個或一小群駭客在其裝置上能執行的活動有限。但是,駭客只需很少的成本和時間就能對大量額外的裝置進行控制,以提升他們的活動效率。
殭屍牧人能遠端命令並指揮一群被劫持的裝置。在劫持了一定數量的電腦後,殭屍牧人就能使用命令程式來進行下一步動作,或將殭屍網路出租。
殭屍電腦意指受惡意軟體感染而被劫持以作為殭屍網路使用的裝置,並無意識地依據殭屍牧人的指令運作。
殭屍網路的組成可以簡化為以下幾個階段:
- 準備和接觸-駭客利用漏洞讓使用者接觸到惡意軟體。
- 感染-使用者裝置感染能對其進行控制的惡意軟體。
- 執行-駭客動員受感染的裝置進行攻擊。
在第一階段中,駭客尋找網站、應用程式或人類行為中的漏洞。其目標是讓使用者在不知不覺中遭受惡意軟體感染。駭客通常會利用軟體或網站中的安全漏洞,或透過電子郵件和其他線上訊息來傳播惡意軟體。
在第二階段中,使用者因進行有危險性的動作,而導致裝置感染殭屍網路惡意軟體。許多攻擊者會透過社會工程手法誘導使用者下載特殊的木馬病毒,其他更有攻擊性的攻擊者則可能在使用者造訪受感染的網站時透過路過式下載來進行感染。無論感染方式為何,網路犯罪份子的最終目標都是破壞多個使用者電腦的安全。
在第三階段中,駭客準備就緒並開始控制每台電腦。攻擊者將所有受感染的裝置組織成一個能遠端管理的「殭屍」網路。通常,網路犯罪份子會嘗試感染並控制數千、數萬甚至數百萬台電腦。然後,網路犯罪份子即可領導大型且隨時聽命的「殭屍網路」。
所以,殭屍網路的用途為何?攻擊者感染殭屍電腦後能夠進行管理員級別的動作,例如:
- 讀取系統資料
- 收集使用者的個人資料
- 傳送檔案和其他資料
- 監控使用者的活動
- 尋找其他裝置中的漏洞
- 安裝並運行應用程式
殭屍網路能控制什麼?
所有具備網路連線能力的裝置都是殭屍網路的潛在目標。
我們今天使用的許多裝置都內建有某種形式的電腦,比很多人想像的還要多。幾乎所有具有電腦的網路裝置能受到殭屍網路的攻擊,因此殭屍網路的威脅性不斷增長。為了保護自己,請留意常受到劫持而變成殭屍網路的常見裝置:
傳統電腦:運行 Windows 作業系統或 macOS 的桌上型電腦和筆記型電腦等長期以來一直是建構殭屍網路的熱門目標。
行動裝置:使用行動裝置的人越來越多,也導致行動裝置成為了另一個目標。殭屍網路一直以來又特別以智慧型手機和平板電腦作為目標進行攻擊。
網路基礎設施硬體:用於啟用和支援網路連接的網路基礎設施硬體也可能受到攻擊而成為殭屍網路。網路路由器和網路伺服器是其中常見的目標。
物聯網(IoT):物聯網裝置為任何能透過網路相互傳送資料的連接性裝置。物聯網除了電腦和行動裝置外還包括:
- 智慧居家裝置(溫度計、監視錄影器、電視、揚聲器等)
- 車用資訊娛樂系統(IVI)
- 穿戴式裝置(智慧手錶、健身追蹤器等)
基本上,上述所有裝置都可能遭受劫持而被用於組成大規模的殭屍網路,而科技市場過度充斥著低成本、低安全性的裝置,導致使用者特別容易受到攻擊。如果沒有防毒軟體的保護,殭屍牧人可能會在使用者沒有察覺的情況下感染其裝置。
駭客如何控制殭屍網路?
殭屍網路主要透過指令進行操控,而攻擊者也需要隱藏自己。因此,攻擊者會以遠端程式操控殭屍網路。
指揮與控制(C&C)是所有殭屍網路指令和領導的伺服器來源,為殭屍牧人的主伺服器,每台殭屍電腦都聽從其指令。
每個殭屍網路都能透過下列模型中的指令直接或間接受到引導:
- 中心化客戶端-伺服器模型
- 去中心化點對點(P2P)模型
中心化模型由殭屍牧人的一台伺服器驅動。該模型的另一個形式可能會加入額外的伺服器,作為子牧人或「代理人」。然而,無論是中心化還是代理層次結構,所有指令都來自殭屍牧人。這兩種結構都會讓殭屍牧人容易被發現,是不太理想的舊方法。
去中心化模型將指令職責嵌入所有殭屍電腦中。只要殭屍牧人能夠聯繫到任何一台殭屍電腦,該殭屍電腦就能就能將指令轉傳給其他電腦。點對點結構能進一步模糊了殭屍牧人的身份。與舊的中心化模型相比,P2P 具有明顯的優勢而在現在更加普遍。
殭屍網路有何用途?
殭屍網路的建構總有特定目的,無論是為了金錢還是滿足個人目標。
- 金融竊盜-勒索或直接竊取金錢
- 資訊竊盜-存取敏感或機密帳戶
- 破壞服務-使服務和網站故障等。
- 加密貨幣詐騙-利用使用者電腦的運算能力來挖掘加密貨幣
- 向其他犯罪份子出售存取權限-對毫無戒心的使用者進一步進行詐騙
建構殭屍網路的大多數動機與其他網路犯罪的動機相似。攻擊者通常想竊取有價值的東西或造成他人麻煩。
在某些情況下,網路犯罪份子會建構大型殭屍網路並出售其使用權限。買家通常是其他網路犯罪份子,並會租賃或直接購買。例如,垃圾郵件寄送者可能會租用或購買殭屍網路來進行大規模的垃圾郵件活動。
雖然駭客可透過建構殭屍網路而從中獲利,但有些駭客則單純為了滿足自我而建構殭屍網路。無論動機如何,殭屍網路終究會對受到殭屍網路控制的使用者和其他人進行各種類型的攻擊。
殭屍網路攻擊的類型
雖然殭屍網路本身就是一種攻擊,但其也是大規模執行二次詐騙和網路犯罪的理想工具。常見的殭屍網路攻擊手法包括:
分散式阻斷服務(是一種基於網路流量使伺服器超載以使其當機的攻擊。殭屍電腦的任務是蜂擁造訪網站和線上服務,導致其當機關閉一段時間。
網路釣魚手法能假冒受信任的人和組織,誘騙受害者提供有價值的資訊。通常需要大規模的垃圾郵件活動才能進行網路釣魚並竊取使用者帳戶資訊,例如:銀行登入資訊或電子郵件登入憑證。
暴力破解攻擊需要運行強制入侵網路帳戶的程式。字典攻擊和憑證填充能破解強度不足的使用者密碼並存取其資料。
如何保護自己避免殭屍網路
使用者應保護自己避免殭屍網路惡意軟體的侵害,保障使用者自己和他人的安全。
幸運的是,軟體保護和電腦使用習慣上的小改變能有所幫助。
保護自己避免殭屍網路侵害的 6 個建議
- 在所有智慧型裝置上使用更高強度的使用者密碼。使用長而複雜的密碼比使用短而簡單的密碼更為安全。 例如請避免使用「pass12345」。
- 避免購買安全性較弱的裝置。雖然可能不容易發現,但許多廉價的智慧居家裝置往往優先考慮使用者的的方便性而非安全性。購買前請務必對產品的安全性和安全功能的評價進行研究。
- 更新所有裝置上的管理設定和密碼。請檢查連接性裝置(能連接其他裝置或能連接網路)的所有隱私和安全選項。即使是智慧冰箱和具有藍牙功能的車輛也有預設的製造商密碼來存取其軟體系統。如果沒有更新自訂登入憑證和私人連接,駭客就可能入侵並感染具有連接性的裝置。
- 對電子郵件附件保持謹慎。最好的方法是完全避免下載附件。需要下載附件時,請仔細查看並檢查寄件者的電子郵件地址。另外,請考慮使用防毒軟體,以在下載前主動掃描附件中是否帶有惡意軟體。
- 切勿點擊任何訊息中的連結。簡訊、電子郵件和社群媒體訊息都可以成為殭屍網路惡意軟體的有效媒介。在網址列中手動輸入連結能幫助避免 DNS 和路過式下載,也建議花費多一點時間查詢並使用官方連結。
- 安裝有效的防毒軟體。強大的網路安全套件有助於保護電腦避免木馬程式和其他威脅的侵害。請務必購買適用所有裝置的產品,包括 Android 手機和平板電腦。
殭屍網路一旦在使用者裝置中紮根,就很難去初。為了減少網路釣魚攻擊和其他問題,請務必保護所有裝置避免殭屍網路的惡意劫持。