一部分僵尸網絡通常是用DDoS讓垃圾數據淹沒服務器。還有一部分僵尸網絡通過竊取密碼或挖掘加密貨幣來瞄準特定設備。特別是加密貨幣挖掘對于最近工業物聯網領域的企業來說已經成為一個急劇增長的威脅，Coinhive和CryptoLoot等僵尸網絡使網絡犯罪分子每年能夠以犧牲受害者的計算能力為代價賺取多達1億美元。Smominru是加密貨幣挖掘僵尸網絡之一，利用從NSA泄漏的臭名昭著的EternalBlue漏洞感染了超過50萬臺機器。

[[258909]]

為了防止僵尸網絡感染，留存有IoT設備的企業必須能夠檢測它們。但僵尸網絡檢測并不容易。下面咱們來探討一下IoT僵尸網絡檢測所面臨的一些技術升級和挑戰。

僵尸網絡檢測方法

那么，什么是僵尸網絡?簡而言之，它是一組僵尸程序 - 受損的計算機和設備 - 執行僵尸網絡所有者提供的命令。通常，僵尸網絡所有者將專門使用命令和控制服務器(C2)，這是一個受損的服務器，用于與機器人通信，通常通過Internet Relay Chat命令。僵尸網絡所有者使用C2服務器命令僵尸網絡執行攻擊，無論是DDoS，數據竊取，身份盜竊還是其他類型的攻擊。

不幸的是，找到C2通常不是一項簡單的任務。許多僵尸網絡命令來自多個服務器或采用隱藏的形式，將惡意命令屏蔽為無害的活動，例如Tor網絡流量，社交媒體流量，對等服務之間的流量或域生成算法。更復雜的是，命令通常非常微妙，使得難以檢測到任何異常。

嘗試檢測C2的一種方法是分解和分析惡意軟件代碼。IoT安全人員可以嘗試通過OD腳本類似的反匯編工具獲取已編譯的代碼，有時可以從中識別僵尸網絡命令的根源。但是，由于僵尸網絡創建者和管理員越來越多地使用集成加密，因此這種技術的效果越來越差。

通常，C2檢測需要了解C2服務器與其機器人之間的通信，但只有專門保護C2服務器的安全解決方案才具有這種可見性。檢測僵尸網絡的一種更常見的方法是跟蹤和分析攻擊本身 - 標準安全解決方案提供可見性 - 并確定哪些來自僵尸網絡。

在查看漏洞利用嘗試時，僵尸網絡有一些可能的跡象。

誤報

誤報的可能性使得僵尸網絡檢測特別困難。一些有效載荷被廣泛使用，增加了隨機發生的模式觸發誤報的可能性。此外，攻擊者可以通過使用虛擬專用網絡或代理來更改其IP地址，使其看起來像真正只有一個攻擊者或機器人。

黑客工具和漏洞掃描程序的行為也類似于僵尸網絡，通常會返回誤報。這是因為黑客工具產生相同的有效載荷和攻擊模式，并且許多黑客使用它們，無論其帽子的顏色如何。而且，如果不同的玩家碰巧同時在同一網站上進行滲透測試，它可能看起來像僵尸網絡攻擊。

IoT安全人員通常可以通過Google搜索有效負載并參考其周圍的任何記錄信息來識別誤報。另一種技術涉及簡單地收集安全解決方案中原始請求中可用的任何信息。例如，如果要更好的利用漏洞掃描程序，大多數安全解決方案都會通過識別它來揭示它，特別是如果它是更常見的漏洞掃描程序之一。

鑒于潛在的大量事件，誤報是僵尸網絡檢測中不可避免的挑戰; 最近的研究表明，27%的IT人員每天收到超過100萬次安全警報，而55%的人收到超過10，000次。但是，通過正確的技術和勤奮，組織可以識別來自惡意的，僵尸網絡驅動的流量的無害流量。