僵尸网络攻击者会用到的典型通信机制有哪些
僵尸网络攻击者会用到的典型通信机制有以下这些:
星型拓扑:在这种拓扑中,以僵尸网络控制器C&C为中心,“连接”所有的僵尸主机,僵尸网络控制器C&C负责向各僵尸主机直接发起新的控制指令。很显然,在某种程度上,这个C&C自然被攻击者赋予更大的权重,而且它也会成为整个僵尸网络的单点故障点。
星环型拓扑:这种结构是星型拓扑的逻辑扩展,多个服务器以圆环型方式连接起来,共同向各僵尸主机发送C&C控制指令。为了更可靠地管理僵尸网络,多个控制服务器之间会以某种方式保持通信同步,这样当某个服务器失效或者永久性从该僵尸网络中断开连接时,其他服务器仍然能够担负起控制该僵尸网络的职责。
层次化拓扑:这种拓扑与僵尸网络构建和传播的方法相关,在某些僵尸网络的构建中,僵尸程序被安装到一台僵尸主机后,还可以自行传播;同时,这样的僵尸程序,也称为Bot Agents,还具有部分代理控制服务器的能力,它可以向由它传播出去的僵尸程序发送C&C指令。当然,由于控制指令是经由Bot Agents发出的,这种通信模式存在比较大的延迟。
无特定拓扑:这种拓扑中不存在集中式僵尸网络控制器C&C。
解决僵尸网络攻击的办法有以下这些:
隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问,可开启IPS和僵尸网络功能,进行封堵。
查找攻击源:手工抓包分析或借助安全感知来查找攻击源。
查杀病毒:推荐使用杀毒软件进行查杀,或者使用专杀工具进行查杀。
修补漏洞:打上以下漏洞相关补丁,漏洞包括“永恒之蓝”漏洞,JBoss反序列化漏洞、JBoss默认配置漏洞、Tomcat任意文件上传漏洞、Weblogic WLS组件漏洞、apache Struts2远程代码执行漏洞。
卸载相关工具:此勒索病毒会通过PSEXEC.EXE工具感染其它主机,建议卸载禁用此工具。
安装专业防护设备:安装专业的终端安全防护软件,为主机提供端点防护和病毒检测清理功能。