殭屍網絡的保安威脅
主頁 > 
殭屍網絡的保安威脅
< 返回

殭屍網絡的保安威脅

甚麼是殭屍網絡?

殭屍網絡(Botnet)一詞是取自「機械人」(robot)和「網絡」(network)而來。殭屍裝置(bots)意指自動執行特定惡意任務的裝置,包括個人電腦、筆記簿型電腦、智能電話、伺服器、家居路由器等。殭屍網絡是由被入侵的裝置連結而成的網絡,攻擊者可以控制殭屍網絡為其執行有組織且有惡意意圖的任務,而操控殭屍網絡的攻擊者被稱為「殭屍牧人」(bot herder)。殭屍網絡為互聯網帶來嚴重的保安威脅,大部分的濫發電子郵件、身分盜用、仿冒詐騙和分布式拒絕服務(DDoS)攻擊均由殭屍網絡引致。

殭屍網絡是如何運作的?

以下例子說明殭屍網絡怎樣建成並發動攻擊的:

1.
找出漏洞
一個殭屍網絡的建成需要數百個,甚至數百萬個殭屍裝置。攻擊者會找出裝置和系統的漏洞,或增加用戶接觸惡意軟件的機會,以取得大量的殭屍裝置。
2.
感染裝置
社交工程和惡意網站是黑客常用的攻擊方式,用以誘使用戶下載或執行惡意檔案。
3.
控制裝置
當黑客認為被入侵的裝置已足夠,殭屍牧人便可遠端控制這些裝置以發動網絡攻擊或其他具有惡意意圖的行為。
殭屍網絡的威脅

由於殭屍牧人可以將攻擊活動分散在互聯網上不同地方,所累積的龐大帶寬和大量的攻擊源頭,令以殭屍網絡為基礎的攻擊十分危險而且難以防禦。殭屍牧人可以傳遞指令予殭屍裝置以進行惡意活動:

散播訊息(例如濫發電子郵件、發動拒絕服務攻擊、提供來自非法控制來源的虛假訊息)。
訊息收集(例如獲取身分、登入憑證、財務數據和敏感數據)。
訊息處理(例如挖掘加密貨幣和破解密碼)。
殭屍網絡攻擊的類型

殭屍網絡可用以發動各種網絡攻擊。常見的殭屍網絡攻擊如下:

1.
分布式拒絕服務(DDoS)攻擊
DDoS攻擊是殭屍網絡經常發動的一種攻擊。殭屍網絡中大量被利用的殭屍裝置是令互聯網通訊超出負荷的理想來源。攻擊者可以遠端控制每個殭屍裝置,並通過向這些裝置發送指令來發動攻擊。每個殭屍裝置都可以向目標伺服器、服務或網絡發送請求,大量通訊湧入目標的網絡,使其超出負荷並耗盡其資源。
2.
濫發電子郵件攻擊
濫發電子郵件是將一些非應邀和不需要的訊息,無差別地發送給大量收件人。殭屍網絡通常用於改變濫發電郵通訊,以防止濫發電郵的發送者被發現和被列入黑名單。雖然部分濫發電郵只造成滋擾,此類電郵多為一些商業廣告,並不會招致損失,但大多數濫發電郵都可能導致仿冒詐騙攻擊和散播惡意軟件等不良後果。
3.
仿冒詐騙攻擊
仿冒詐騙電子郵件通常包含欺詐連結,這些連結會將受害者連接到冒充為可信賴機構的虛假和惡意網站,並收集受害者的個人和敏感資料,例如登入憑證、銀行賬戶和信用卡詳細資料。
4.
暴力攻擊
暴力攻擊是通過從嘗試和錯誤中,試圖以所有可能的組合來猜測受害者的登入憑證。殭屍網絡中的殭屍裝置可以運行強行入侵網上帳戶的程式。弱密碼很容易被攻擊,導致個人和敏感數據泄漏。
5.
點擊欺詐
殭屍牧人可以控制殭屍裝置進行點擊欺詐,這些裝置又名點擊殭屍裝置,冒充成正當的裝置瀏覽網頁,點擊網頁內的目標超文本連結。每個點擊殭屍裝置都具有不同互聯網規約地址,因此每次點擊看起來都像來自不同的用戶,不會引起懷疑。對於按點擊率付費的線上廣告,點擊殭屍裝置所創造的大量點擊率可以帶來可觀收益。點擊率高更可以令惡意網站在搜索引擎中有更高的排名,使其看似合法。
6.
挖掘加密貨幣
加密貨幣挖掘者可以從驗證加密貨幣交易的合法性而獲得獎勵。挖掘加密貨幣需要具競爭力的挖掘電腦和電源,殭屍網絡中的殭屍裝置可提供處理能力、電力和互聯網帶寬來挖掘加密貨幣。這些裝置所累積的能力可以為挖掘帶來高計算能力,提高挖掘者的產量。
被殭屍網絡感染的徵兆
1.
裝置的應用程序或系統經常無故終止執行。
2.
網絡連線變慢。
3.
裝置無法正常關機。
4.
裝置出現異常,如電池電量急跌、網絡連線突然中斷等。
5.
系統內置記憶體或可用磁碟空間突然減少。
6.
屏幕在未有使用網頁瀏覽器的情況下彈出廣告。
7.
在你不知情的情況下從你的帳戶發送電子郵件/短訊。
8.
IRC通訊由特定範圍的連接埠發出。
9.
同時發出相同的域名系統(DNS)請求,或預設的DNS伺服器被修改。
10.
發出大量的外發簡單郵遞傳送規約(SMTP)等。
如果被感染應如何應對
1.
切斷受影響裝置與互聯網的連線。
2.
使用抗惡意程式碼軟件掃描受影響的裝置。
3.
立即為所有系統、應用程式、抗惡意程式碼軟件安裝最新的修補程式和更新。
4.
為受影響的裝置進行格式化,並將其重設為出廠設置。
保護自己免受殭屍網絡感染
1.
及時更新操作系統、應用程式和瀏覽器
當發現操作系統、應用程式、軟件和瀏覽器存有漏洞時,產品供應商會發布新的修補程式來修補漏洞。如未有及時進行更新,攻擊者便有機可乘,利用漏洞取得過大權限從而控制你的裝置,所以更新你的系統並確保沒有漏洞是十分重要的。
2.
使用防火牆
防火牆是過濾惡意訊息並防止未獲授權的裝置連接到你的網絡的第一道防線。適當配置的防火牆可以阻擋不同的網絡攻擊。
3.
安裝抗惡意程式碼軟件
一個優良的抗惡意程式碼軟件可以防禦、偵測和移除各種殭屍網絡的惡意軟件。為你的電子裝置安裝抗惡意程式碼軟件和定期進行掃描,對保護你的裝置至關重要。
4.
適當地配置系統
適當地配置系統,例如停止使用“AutoRun”和避免安裝來源不可靠的軟件。
AutoRun功能允許裝置自動安裝軟件,停用此功能可以防止系統盲目地執行外來的指令。
將流動裝置配置為只從可信或官方應用程式商店下載應用程式,並禁止從非官方應用程式商店下載應用程式、取得根權限/越獄等。
5.
使用抽取式儲存器前先進行掃描
抽取式磁碟常用來在裝置間轉移數據。如果抽取式磁碟已被感染但未被發現,並在工作站使用,便有可能損害企業的網絡。為避免出現此情況,使用抽取式儲存器前應先用抗惡意程式碼軟件進行掃描,以確保儲存器並沒有惡意軟件。
6.
注意彈出式視窗和可疑網站
攻擊者可能會使用彈出式視窗或虛假軟件下載網站來誘使你下載惡意軟件。彈出式視窗可能會聲稱你的裝置已被惡意軟件感染,需要安裝抗惡意程式碼軟件。你點擊彈出式視窗中的「下載」按鈕便可能會下載惡意軟件,故此所有軟件都應從官方或可信的網站下載。
7.
提防可疑電子郵件
經電子郵件散播惡意軟件是一種常見的方法,攻擊者可以將惡意軟件嵌入電子郵件的附件中。如果你未能辨識電子郵件的發件人,應保持警惕,切勿從這些可疑電子郵件下載任何附件。
保護你的企業免受殭屍網絡感染

為了保護你的企業免受殭屍網絡感染,除了上述的保安措施外,你亦應採取以下措施:

1.
實施網絡區隔
你可將用戶及其工作站劃分成不同組別,並最好把各組別分成不同的網絡區段。不同網絡區段的工作站無法相互通訊。萬一有工作站被感染,位於其他網絡區段的裝置並不會受到影響,有助阻止殭屍網絡的傳播。
2.
加強監控
密切監察失敗的登錄嘗試或DNS查詢等系統異常事件,有助及早偵測感染,令系統管理員得以在感染散播並危害整個網絡的裝置前及時採取行動。
3.
提高員工的意識
提高員工的網絡安全意識是預防網絡攻擊的關鍵。應定期為員工安排培訓,提高員工對防禦網絡攻擊的認識,當中包括但不限於:
識別仿冒電郵/網站。
只會從官方網站或可信來源下載軟件。
及時向相關人員(例如IT支援人員)報告異常事件。
避免瀏覽可疑網站或從中下載任何檔案。
定期為員工安排網絡安全意識培訓,讓員工了解最新的保安威脅趨勢和良好作業模式。
讓員工了解企業的保安政策和指引等。
延伸閱讀
1.
香港電腦保安事故協調中心(HKCERT) - 殭屍網絡偵測及清理
2.
European Union Agency for Cybersecurity(ENISA) - Botnets(只提供英文版)

免責聲明:用戶亦應留意本網站的免責聲明。在下載和使用保安軟件和工具前,應細閱相關的用戶協議和私隱政策。