@奈良山
2年前 提问
1个回答

僵尸网络有哪些工作特点

帅末
2年前

僵尸网络有以下工作特点:

  • 僵尸网络融合了传统恶意代码的优势:僵尸网络是从传统蠕虫、木马、后门等恶意代码发展而来的一种新的攻击形式。蠕虫具有利用既有的安全漏洞而快速传染扩散的优势,但存在感染大量计算机后不被控制者所控制的缺点,即攻击者无法利用已感染的计算机资源实施网络攻击,甚至因其不可控而无法获知蠕虫扩散速度、感染规模和地理分布等基本信息。木马具有对受害者远程控制的能力,但存在感染速度慢、管理规模小和控制方式简单的缺点。僵尸网络融合了传统恶意代码的优势、弥补了传统恶意代码存在的不足。

  • 僵尸网络实现了控制功能与攻击任务的分离:位于受控主机上的僵尸程序负责控制功能,真正的攻击任务由控制者根据需要动态发起。这种方法的核心要点是将完整的威胁实体分割为多个部分,从而既可以为任务分发提供良好的灵活性,又可以提高僵尸网络的可生存性。

  • C&C服务器的搭建较为容易:寻找或搭建命令与控制(C&C)服务器是僵尸网络的关键。目前,利用各种新技术的漏洞来搭建僵尸网络C&C服务器相对较为容易实现。例如,公共IRC聊天室常被用于僵尸网络C&C服务器,无须认证的Web2.0服务可被用作僵尸网络的C&C服务器,一些服务提供商提供的云服务也可以被搭建成僵尸网络C&C服务器等。还有,一些缺乏信息安全立法的国家所提供的服务器托管服务也经常被用作僵尸网络C&C服务器。

防御措施如下:

  • 隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

  • 切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问,可开启IPS和僵尸网络功能,进行封堵。

  • 查找攻击源:手工抓包分析或借助安全感知来查找攻击源。

  • 查杀病毒:推荐使用杀毒软件进行查杀,或者使用专杀工具进行查杀。

  • 修补漏洞:打上以下漏洞相关补丁,漏洞包括“永恒之蓝”漏洞,JBoss反序列化漏洞、JBoss默认配置漏洞、Tomcat任意文件上传漏洞、Weblogic WLS组件漏洞、apache Struts2远程代码执行漏洞。

  • 卸载相关工具:此勒索病毒会通过PSEXEC.EXE工具感染其它主机,建议卸载禁用此工具。

  • 安装专业防护设备:安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能。