無論是電影、小說還是游戲、動漫，仿佛都少不了僵尸的戲份。僵尸很人們的印象仿佛是智力低下、四肢僵硬但是可以批量生產（咬人之類的）而且難以消除（怎么打都打不死，話說其實本來就死了）。而僵尸網絡的提出似乎給網絡安全領域蒙上了神秘面紗，這個安全“黑社會”的技術給安全領域帶來了不小的挑戰，怎樣揭開僵尸網絡的神秘面紗?做到知己知彼百戰不殆，應先從了解僵尸網絡開始。

僵尸網絡是指采用一種或多種傳播手段，將大量主機感染bot程序(僵尸程序)，從而使攻擊者通過各種途徑傳播僵尸程序感染互聯網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網絡。

僵尸網絡是在控制者和被感染主機之間所形成的一個可一對多控制的網絡，之所以用這個名字，是為了更形象的讓人們認識到這類危害的特點：眾多的計算機在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅趕和指揮著，成為被人利用的一種工具。目前，最大最嚴重的僵尸網絡包括以下五種：

1. 臭名遠揚的“裝載機” Pushdo/Cutwail

Pushdo本身是一個“裝載機”，其可以下載其他組件安裝在系統中，于2007年和另一個僵尸網絡 Storm同時出現，是全球第二大垃圾信息僵尸網絡，臭名遠揚的原因在于黑客使用不同技術使Pushdo難以被偵測，PushDo不但主導全球大量的垃圾信息發送，同時也是黑客用來散布惡意程序的主要管道。雖然Storm已經不復存在，但Pushdo 卻越來越強大，每日從大約150萬臺僵尸電腦中發送190億封垃圾郵件。

在商業模式中，Pushdo可以為客戶定制安裝特定惡意軟件，根據每個安裝來收取費用。通常通過Pushdo進入被感染的電腦系統，并下載垃圾郵件程序Cutwail。Pushdo使用Cutwail來自我復制垃圾郵件，從而不斷擴大其僵尸網絡，也可通過 Cutwail租出垃圾郵件服務。Pushdo/Cutwail僵尸網絡發送的垃圾郵件內容很雜，包括醫藥產品，網絡賭博，網絡釣魚郵件以及鏈接到包含惡意代碼網站的郵件。

2. 愛上遠程服務器的裝載機：Bredolab

Bredolab也是很流行的裝載機。除了發送垃圾郵件外，Bredolab還專注于下載“Scareware” (假殺毒軟件)以及“Ransomware”產品。Bredolab.SV是一種特洛伊病毒，能夠下載并生成Win32/Zbot 和 Win32/Cutwail病毒。它將獲取的系統信息發送到遠程服務器，并從遠程服務器接收URL和文件。

惡意程序通過垃圾郵件傳播，并誘惑用戶運行惡意程序。其主要商業模式是使用這些產品感染很多系統，希望受害者購買Scareware和 Ransomware產品，然后獲取傭金利潤。

3. 記錄用戶擊鍵：Zeus

提起Zeus ，我們不得不回顧今年4月份一個名為Zeus的病毒不斷竊取網上銀行的賬戶信息，相關數據顯示，當時有550萬臺計算機已經被檢測到不同版本的Zeus感染。Zeus 1.6可以感染使用IE和Firefox瀏覽器的用戶，并對用戶實施擊鍵記錄，進而通過分析銀行網站日志并將數據發送到遠程服務器，或由網絡黑客團伙出售。

Zeus作為犯罪軟件工具包出售，這意味著它不僅僅是一個大型僵尸網絡，而是很多獨立僵尸網絡。任何人都可以利用這個工具來創建自己的僵尸網絡，而且很受歡迎。最近我們檢測到很多Zeus變種。Zeus通常被配置為竊取信息，包括銀行憑證信息和返回給攻擊者的報告。

4. 垃圾郵件的締造者：Waledac

與Cutwail一樣，Waledac 最廣為人知的應該是發送垃圾郵件的功能，此外他還會下載執行任意文件，Waledac也可以利用其下載的定制模版發送垃圾郵件。由于它是基于模版 的，Waledac也為垃圾郵件服務收費。與Pushdo不一樣，Waledac在點到點網絡操作，所以很難被攻破。它還可以加載惡意軟件，代理HTTP 內容來通過僵尸網絡傳播惡意網站。

它下載執行的文件并不限于惡意軟件。Waledac 也會試圖下載安裝免費的抓包庫 "WinPcap"。它利用這個庫的功能來嗅探網絡流量，查找 SMTP、POP、HTTP 和 FTP 協議中所傳輸的驗證信息。

除了我們在之前的 Blog 中所提到的 Waledac被 Win32/Bredolab 變種下載，我們還發現 Waledac 會被正在傳播的 Win32/Cutwail 下載。

5. 騷客一族：Conficker

這個僵尸網絡可能不需要過多介紹。雖然歷史悠久，但Conficker從來沒有真正導致過重大事故。但這并不意味著不存在威脅，該僵尸網絡仍然很活躍。 Conficker病毒主要是借助閃存、利用微軟的MS08-067漏洞進行傳播的。當Conficker病毒進入系統后，首先破壞系統中的默認屬性設 置，接著會自動搜索局域網內有漏洞的其他電腦，一旦發現有存在漏洞的計算機系統，就會激活該漏洞并同感染系統創建連接，最后進行遠程感染。

從個人端到服務器端，從垃圾郵件締造者到惡意程序發布者，從記錄用戶的擊鍵記錄到隨處可見的Conficker病毒，僵尸網絡給我們更多恐怖之后是對安全 行業對金錢驅使下的黑產業鏈的澄清，為用戶謀取更安全健康的網絡環境成為安全廠商努力方向。

【編輯推薦】

1. 危險的SEO中毒攻擊
2. 密碼破解原因竟是密碼過簡
3. Web木馬防護工具選擇五大標準
4. 網絡活動與網頁掛馬
5. 百家爭鳴：web攻擊與web防護