僵尸网络
僵尸网络是机器人和网络这两个词的组合,它是一组相互通信并与其命令和控制 (C&C) 服务器通信的计算机(“机器人”)。
在信息安全领域,机器人是指安全防御遭到突破的计算机。这些计算机上运行了恶意软件,使第三方能够在未经计算机所有者或合法运营商同意的情况下控制它们。家用计算机经常遭到这种方式的入侵,但学校、企业和政府所有的计算机中也发现了机器人。而在某些情况下,机器人是遭到入侵的服务器。例如,ESET 研究人员发现了一种名为“Windigo”的大型复杂操作,一群有组织的犯罪分子利用其入侵了超过 25,000 个不同的 Linux 和 UNIX 服务器。
僵尸网络通常被用于生成垃圾邮件、传播其他恶意软件(包括其自身的副本)或者向网络或 Web 服务器发送过量的请求以使其无法正常运作(拒绝服务攻击、DDoS)。僵尸网络还被用于网络钓鱼、传输被盗数据以及其他金融犯罪。
最大的僵尸网络由数百万台计算机组成,构成了严重威胁。根据联邦调查局网络部助理主任 Joseph Demarest 2014 年 7 月 15 日向参议院司法委员会犯罪与恐怖主义小组委员会发表的声明中引用的行业估计,僵尸网络已给美国受害者造成了超过 90 亿美元的损失,并且在全球造成了超过 1100 亿美元的损失。全球每年大约有 5 亿台计算机受到入侵。
出于这个原因,国家和国际执法机构与领先的安全公司合作,通过控制 C&C 服务器和域来破坏僵尸网络。例如,2015 年 12 月,包括联邦调查局、国际刑警组织、欧洲刑警组织、Microsoft 和 ESET 在内的众多安全机构对 Dorkbot 僵尸网络进行了联合打击。
ESET 利用僵尸网络防护技术,在传出的网络通信中搜索已知的恶意模式,并将远程站点与恶意站点黑名单进行匹配。检测到的任何恶意通信都将被阻止、报告给用户,也可能报告给 ESET。