電子犯罪黑幫囤積著大量被惡意軟件所感染的僵尸機器，主要利用它們來發送大量的垃圾郵件。目的是推銷制藥、草藥及色情信息。但是它們也經常被出租用于更加罪惡的目的，監控這些機器的專家表示。

僵尸網絡可以用來實施分布式拒絕服務攻擊（簡稱DDoS），利用被感染系統來中斷和徹底摧毀web站點。僵尸網絡通常傳播惡意軟件，并且是隱藏在釣魚攻擊活動幕后的主要“引擎”、或是在強大的點擊攻擊活動幕后的“推動力”。犯罪新手剛開始在IRC網絡上做的活動——使用連接到IRC上人們的力量把受害者踢下線——很快成為一種以盈利為目的的冒險活動，這和電子犯罪欺詐活動有關，戴爾旗下的安全服務公司SecureWorks的惡意軟件研究主管Joe Stewart談到。“現在我們看到的是政府和黑客主義分子卷入到不僅僅是與金錢相關的游戲中”。

Stewart和其他安全專家表示，許多企業的網絡中運行著他們沒有意識到的僵尸機器。這些被遠程控制的惡意軟件目的不是為了干擾系統，是為了找出企業最具價值的財產：知識產權。“他們高度關注商業公司和政府部門”，Stewart說到。“任何你能夠想象得到的在這個虛擬世界中可能被竊取的東西，很可能是擁有僵尸網絡的某些人正在做的”。

Stewart和其他安全專家表示，許多公司過于依賴自動化的系統來監控網絡流量，例如像入侵防御與偵測系統這樣的大型安全設備。他們呼吁企業雇用技能熟練的IT安全從業人員來主動地監控這些系統并且調查問題。他們表示這種手段在問題發展為棘手的難題前解決并隔離它們，提升了在大多數企業中已部署的安全系統。

好消息是，使用大多數傳統的安全設備和終端安全軟件、包括防病毒軟件可以偵測到眾所皆知的僵尸網絡有關的一些惡意軟件。但是更為嚴重的威脅是針對性的攻擊——特別是那些瞄準企業雇員的——這些攻擊利用的惡意軟件結合用于上躲避偵測的技術。一旦某個終端機器被隱匿的惡意軟件所感染，木馬程序就把自己嵌入到系統，然后嘗試連接電子罪犯等待指令。企業的網絡監控工具能夠偵測到這些邪惡的流量并且攔截其中的一部分。但是過去的幾年中，電子罪犯已經懂得使用強加密算法通過隧道進行通信。在系統偶爾沒有被完全地監控、或是發出類似于正常網絡流行的較小通信數據包，抓緊時間通信。

“你可以期待公司部署在網關、或是桌面的防病毒產品偵測到僵尸網絡感染，但是從測試結果中我們知道這些產品不具有最高的偵測率，” Stewart談到。“如果你深入網絡的國度，能夠發現許多此類的活動，因為它們不會十分頻繁地改變自身的網絡活動指紋”。#p#

僵尸網絡的規模不是問題所在

Stewart表示最強大的僵尸網絡不一定是規模最大的。例如，Flame惡意軟件工具包位于伊朗的僵尸網絡不到200臺受感染機器組成，然而在幕后它支配著強大的“軍火庫”。根據該攻擊的有限范圍，人們相信它是國家級別所驅動的電子間諜活動，能夠讓該僵尸網絡的操縱者隱秘地對受害者進行竊聽、偷竊數據并且捕獲視頻多年之久。

相比之下，更大規模的僵尸網絡讓電子罪犯們可以利用受感染計算機計算能力，傳播惡意軟件以及執行其它惡意活動。它們可能被用于加強拒絕服務攻擊來摧毀web站點、或是快速傳播惡意軟件并竊取帳戶的憑證信息。

感染Zeus和SpyEye系列惡意軟件的機器組成了大規模的僵尸網絡，多年來對金融行業造成了極大的破壞。由于網絡罪犯在惡意軟件后建立的業務模式，這些僵尸網絡迅速地傳播。使用自動化的攻擊軟件套件，罪犯們建立了一個附屬網絡，獎賞其他感染機器的罪犯。Zeus木馬在2006年聲名狼藉。該惡意軟件可以編碼來偽裝web站點、竊取帳戶憑證并且耗光其銀行帳號的金錢。安全公司通過中斷與其有相關的“命令與控制”服務器，一直在努力搗毀該僵尸網絡。但是盡管付出這些努力，罪犯用內置的機制把這些服務器重新恢復上線。最近的微軟采取法律行動來徹底摧毀位于美國的Zeus僵尸網絡服務器。

偵測：人為因素

沒有比指派一名技能熟練的IT專業人員來尋找公司網絡異常更好的技術，SANS研究院的首席研究官Johannes Ullrich表示。技能熟練的系統管理員應該檢查網絡流量和系統日志，在標識出的潛在問題以進行深入調查時應用創新的思路。數據包分析器以及其它過濾工具可以幫助網絡安全人員判斷是否可疑的流量實質上是惡意的。“許多企業仍然依賴過時、基于簽名的防病毒軟件。但是針對性攻擊以及此類的僵尸網絡應該依靠專業人員”。

許多企業將網絡監控活動外包已經成為趨勢，但是Ullrich表示從他的經驗來看，外包的安全監控通常無法偵測到最為重要的針對性攻擊和僵尸網絡感染。外包的服務遵循一個檢查列表，每個小時要處理許多具體的請求，如果外包的服務是幫助系統管理員“發現下一個新的問題而不是昨天的僵尸機器”會更佳。“他們沒有真正地理解業務，所以也就是為什么一些企業花重金把監控工作重新交由內部負責。”

終端安全結合基于網絡的安全技術、如主機入侵防御以及其它的基于信任度和過濾的系統能夠幫助緩解惡意軟件感染情況，Securosis LLC公司的總裁兼分析師Mike Rothman表示，該公司是一家位于亞利桑那州鳳凰城的安全研究公司。最近該公司總結它的惡意軟件偵測系列研究，該研究關注于為什么偵測是如此具有挑戰性。

網絡安全設備可以提供應用場景和用戶行為，但是它需要調整來避免對終端用戶造成嚴重的影響，Rothman在一篇描述該公司研究成果的博客中表示。這對于Web過濾和基于信任度的技術來說同樣存在。“我們需要在充分的安全和不要過于干擾用戶之間找到平衡，引導對掌握設備和控制設備的限制，讓設備在任何位置和網絡連接中都可用。