既然大多數的企業網絡中都部署了防火墻、IPS等安全防護設備，內網主機又是怎樣被控制的呢?在本文中，我們將會介紹僵尸網絡是如何回避安全檢測，以及當主機被感染，成為僵尸網絡的一部分之后存在的隱患。

僵尸網絡巧妙躲避檢測

在IT人士中存在一種常見的認識誤區，即惡意代碼只有與外部命令及控制(簡稱C&C)服務器相連通，方可成功執行。而以IPS及其他反惡意軟件為代表的現有網絡安全工具完全可以阻斷這種連接。

事實上，僵尸網絡能夠采用一系列技術回避現有安全檢測，以及對組織者C&C服務器訪問的阻斷。最典型的做法是制訂一份IP地址列表，在需要時逐一對其中的選項加以嘗試。如果第一條地址未能響應，惡意代碼將繼續聯系列表中的第二條地址，直到發現可用的C&C服務器。

很多更為先進的僵尸網絡還會利用域名生成算法(簡稱DGA)，以及Fast-flux來確保惡意代碼始終能與C&C服務器保持互通。DGA是一種用于惡意軟件生成C&C服務器地址的方法。利用這種專有算法，惡意軟件能夠隨時從浩如煙海的域名中識別出看似隨機的服務器地址。所有僵尸網絡組織者都需要提前一到兩天注冊新的隨機域名，并創建相應DNS記錄，以此將新地址指向固定C&C服務器。

Fast-flux在具體實施過程中有所不同，但總體思路與DGA還是比較相似：通過修改DNS記錄，僵尸網絡組織者會為惡意代碼嘗試連接的域名指定多個IP地址。通過定期變更這些記錄，組織者能夠確保自己的C&C服務器始終領先于任何嘗試將其關閉的監管機制。組織者通常會將上述兩套方案同時納入自己的僵尸網絡，借以幫助自己的僵尸主機順利找到“回家的路”。

受感染后隱私難保

在惡意程序安裝到主機之后，其通常會開設一道所謂的“后門”，或者允許僵尸網絡組織者隨意訪問、控制，并在受感染計算機上安裝軟件的程序。一旦安裝完成，我們很難將后門關閉。被感染的計算機即使下載了最新的安全補丁或反惡意軟件更新也無能為力。惡意軟件通常會嘗試與僵尸網絡組織者發起通信，以確認感染成功。受感染的計算機會偷偷發送大量重要信息，其中包括被感染計算機的IP地址(這有助于組織者確認受害者的實際地理位置)、計算機系統登錄名、操作系統類型，以及已經安裝了哪些補丁等等。

在惡意內容與組織者建立起聯系之后，接下來的情況則多種多樣：組織者可以發送新的惡意軟件版本，并在安裝運行后指示惡意代碼如何以特定模式發掘受害者信息。比如嘗試登錄網上銀行賬戶等等。僵尸網絡還能執行其他一些指令，包括記錄網絡活動、發送垃圾郵件、參與拒絕服務攻擊、在受感染的系統中安裝其他惡意軟件。令人哭笑不得的是，僵尸網絡組織者之間的競爭正日趨白熱化，惡意代碼的編寫者們往往需要檢測受害者的設備中是否已經受到其他競爭對手的感染，并將其從用戶的系統中卸載掉。

組織拒絕服務攻擊、進行垃圾郵件中繼轉發，以及感染搜索引擎還只是僵尸網絡組織者所擁有“甜頭”中的一部分。這些黑客還可以通過在設備中安裝惡意軟件來搜集個人信息、網上銀行驗證資料或者企業機密。

這類惡意軟件中的代表就是臭名昭著的“鍵盤記錄器”，俗稱鍵盤鉤子。鍵盤記錄器會監視并記錄下用戶進行的每一次鍵盤操作，然后以特定周期將匯總數據發送給組織者。通過這種方式，組織者將逐步獲得受害者的用戶名、真實姓名、密碼、出生日期、社保號碼、電子郵件賬戶信息、銀行賬戶號碼，以及電話號碼等等。

注：本文節選自Fortinet僵尸網絡分析報告2013