@ner
2年前 提问
1个回答

僵尸BOT程序扩散手段有哪些

在下炳尚
2年前

僵尸BOT程序扩散手段有以下这些:

  • 主动攻击漏洞:其原理是通过攻击系统所存在的漏洞获得访问权,并在Shellcode 执行bot程序注入代码,将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击,获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合,从而使bot程序能够进行自动传播,著名的bot样本AgoBot,就是实现了将bot程序的自动传播。

  • 邮件病毒:bot程序还会通过发送大量的邮件病毒传播自身,通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接,并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接,或是通过利用邮件客户端的漏洞自动执行,从而使得接收者主机被感染成为僵尸主机。

  • 即时通信软件:利用即时通信软件向好友列表中的好友发送执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击,从而进行感染,如2005年年初爆发的MSN性感鸡(Worm.MSNLoveme)采用的就是这种方式。

  • 恶意网站脚本:攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本,当访问者访问这些网站时就会执行恶意脚本,使得bot程序下载到主机上,并被自动执行。

  • 特洛伊木马:伪装成有用的软件,在网站、FTP服务器、P2P网络中提供,诱骗用户下载并执行。

预防botnet攻击的方法有以下这些:

  • 采用Web过滤服务:Web过滤服务是迎战僵尸网络的最有力武器。这些服务扫描Web站点发出的不正常的行为,或者扫描已知的恶意活动,并且阻止这些站点与用户接触;

  • 转换浏览器:防止僵尸网络感染的另一种策略是浏览器的标准化,而不是仅仅依靠主流的浏览器厂商来进行还是要加强自身浏览器的安全;

  • 禁用脚本:这是一种极端的防御措施,直接禁用浏览器脚本功能,这样可以完全防止浏览器被僵尸程序控制,但这会影响到正常的工作效率;

  • 部署防御系统:调整你的入侵检测系统和入侵防御系统的规则,使之查找有僵尸特征的活动。这样可以从边界处解决僵尸网络的入侵和传播;

  • 保护用户生成的内容:保护你内网或者web网络的使用者所产生的各种信息,将这些信息保护并检查,以防止僵尸程序借助这些信息来传播,使这些用户成为帮凶;

  • 使用补救工具:如果你发现了一台被感染的计算机,那么一个临时应急的重要措施就是如何进行补救,一般就是使用专门针对僵尸网络的查杀工具进行扫描查杀;

  • 限制用户的访问:不要让你的用户访问已知的恶意站点,并监视网络中的可疑行为,保护你的公共站点免受攻击,你的网络就基本上处于良好状态。