@苏苏
2年前 提问
1个回答

僵尸网络怎么传播的

在下炳尚
2年前
官方采纳

僵尸网络的传播途径有以下三种:

  • 垃圾邮件传播:结合Spam僵尸网络,将IPK的被控端木马(下称:木马)伪装成邮件的附件,向海量邮箱发送垃圾邮件,诱使用户下载并运行木马,这也是目前境外僵尸网络拓展的主要手段之一。

  • 僵尸网络传播:通过已部署的僵尸网络所具备的样本下载功能,对已有Bot下发样本下载的远程指令,快速下载存放在放马站点的IPK木马。目前在国内这种传播方式比较盛行,因为其可以快速继承整个僵尸网络已有的Bot。一个受害主机中存在多种木马,就算其中某一木马的控制信道被防火墙拦截,其它僵尸木马组成的网络将会继续拥有受害主机的控制权。

  • 捆绑传播:捆绑传播是国内黑客组织一直以来比较青睐的僵尸网络拓展手法之一,黑客通常将木马与正常的游戏软件等打包在一个安装包中,然后投放到互联网上的软件共享或推广平台中,假冒正常软件,诱使用户下载并安装捆绑有木马的安装包,使用户设备沦为黑客的“肉鸡”。捆绑传播不仅能蒙骗互联网用户,其捆绑具有数字签名及安全证书软件的方式还可使木马能有效绕过杀毒软件的查杀。

预防僵尸网络攻击的方法有以下这些:

  • 采用Web过滤服务:Web过滤服务是迎战僵尸网络的最有力武器。这些服务扫描Web站点发出的不正常的行为,或者扫描已知的恶意活动,并且阻止这些站点与用户接触;

  • 转换浏览器:防止僵尸网络感染的另一种策略是浏览器的标准化,而不是仅仅依靠主流的浏览器厂商来进行还是要加强自身浏览器的安全;

  • 禁用脚本:这是一种极端的防御措施,直接禁用浏览器脚本功能,这样可以完全防止浏览器被僵尸程序控制,但这会影响到正常的工作效率;

  • 部署防御系统:调整你的入侵检测系统和入侵防御系统的规则,使之查找有僵尸特征的活动。这样可以从边界处解决僵尸网络的入侵和传播;

  • 保护用户生成的内容:保护你内网或者web网络的使用者所产生的各种信息,将这些信息保护并检查,以防止僵尸程序借助这些信息来传播,使这些用户成为帮凶;

  • 使用补救工具:如果你发现了一台被感染的计算机,那么一个临时应急的重要措施就是如何进行补救,一般就是使用专门针对僵尸网络的查杀工具进行扫描查杀;

  • 限制用户的访问:不要让你的用户访问已知的恶意站点,并监视网络中的可疑行为,保护你的公共站点免受攻击,你的网络就基本上处于良好状态。