僵尸网络横行，“豌豆射手”难觅

近日，国家互联网应急中心发布报告称，2018年我国基础电信企业、域名服务机构等成功关闭了772个规模较大的僵尸网络。同时，网络安全公司ESET前不久发布研究报告称，一个名为“Stantinko”的僵尸网络正在操控全球数以万计的计算机挖掘加密货币“门罗币”。
这一日益猖獗的僵尸网络究竟是何方“神圣”？它的攻击能力如何？在游戏“植物大战僵尸”中，豌豆射手是抵御僵尸进攻的主力。那么，目前在网络安全领域是否有“豌豆射手”呢？
针对上述问题，科技日报记者采访了业内相关专家。
黑客可随意驱使被感染设备
在恐怖电影中，我们经常能看到这样的场景：一群僵尸疯狂地追逐、攻击人类，却在“赶尸人”面前非常老实、听话。
“僵尸程序就是如此，被其感染的硬件设备，就如同僵尸群一样可以被随意驱使、控制，成为被人利用的工具。”北京理工大学计算机网络及对抗技术研究所所长闫怀志对科技日报记者说，僵尸程序是指恶意控制硬件设备功能的一种程序代码，它能够自动执行预定义的命令。大量主机感染僵尸程序后，在僵尸程序控制者和众多被感染主机之间会形成一对多的被控制网络，这就是僵尸网络。
“危害性大的僵尸网络具有较强的传染性，同时被严格地控制着。”北京交通大学计算机与信息技术学院信息安全系主任王伟在接受科技日报记者采访时表示，所谓传染性就是说，该“僵尸”样本不仅具备与计算机病毒类似的特点，还可感染与其相邻的其他硬件设备。但与计算机病毒不同的是，僵尸网络高度可控，其具有金字塔式的控制结构：位于底层的是数量庞大的被感染主机，处在塔尖的则是网络攻击的发动者，即整个僵尸网络的控制者。
王伟强调，传统的计算机病毒具有一定的破坏性，更高级一些的病毒，如蠕虫病毒等，虽具有传染性，但发布者很难对其进行有效控制。相比之下，僵尸网络则既具有较强的传染性又可被有效控制，因而危害性更大、攻击力也更强。
闫怀志介绍道，当前，大多数僵尸网络使用互联网中继聊天（Internet Relay Chat，IRC）协议来实现通信和控制。1999年，“SubSeven2．1”发布，该程序利用IRC网络构建出攻击者对僵尸主机的控制信道，被认为是世界上首个真正意义上的僵尸程序。随后，黑客们开始借助蠕虫病毒促进僵尸程序的主动传播，并进一步采用P2P结构构建控制信道，进而加速了僵尸网络的泛滥。
发动僵尸网络攻击门槛低
“近年来，僵尸网络攻击愈发猖獗，呈现愈演愈烈之势。”谈及原因，王伟认为，当前具有组织性的各种网络攻击数量上升，僵尸网络的攻击方式也日渐增多，甚至出现了所谓的“高级可持续威胁攻击”（APT）。APT也被称为定向威胁攻击，是指针对特定对象展开的、持续有效的攻击活动。在这类攻击中，相当一部分攻击发起者是具有一定背景的黑客组织，他们专门研究如何有组织性地发动僵尸网络攻击。
王伟介绍道，具体到攻击手法上，僵尸网络既可被用于直接窃取重要的机密数据或信息，也可被用于获取群体性大数据，以分析、提炼出关键信息，还能用其发动拒绝服务（DOS）攻击造成大面积网络瘫痪，甚至可以效仿“震网”病毒攻击电网等大型基础设施，形成更严重的破坏。
闫怀志也认为，僵尸网络传播迅速、规模庞大，其攻击方式复杂多变，一旦发起攻击，其后果十分严重。
科技日报记者了解到，2016年10月，代号为“Mirai”的僵尸网络感染了数以十万计的物联网设备，造成美国东部地区大面积网络瘫痪。后来发现，“Mirai”的研制者竟是一名年仅21岁的年轻人，他研制该僵尸网络的目的，只是希望骗取钱财。很难想象，有国家背景的黑客组织精心织就的以发动战争而非赚钱为目的的僵尸网络，将会造成怎样的破坏。
说到赚钱，王伟认为，牟利也是僵尸网络的主要研制目的之一。例如，控制大量计算设备合力“挖矿”，赚取数字货币；利用僵尸网络大范围推送广告，以赚取广告费；发动勒索攻击，索要赎金等。早在2017年，美国Proofpoint公司的研究人员就曾发现名为“Adylkuzz”的僵尸网络，该网络控制了全球数十万台计的计算机或服务器，驱使其挖掘“门罗币”。
僵尸网络的用途如此多样，若要发动这种攻击，发起者是否需要掌握高超的技术呢？
“实际上并不需要。”王伟指出，现在互联网上有大量的开源僵尸程序，不法分子可以直接将其下载下来使用，甚至可以在其基础上进行修改升级。
防御需技术、管理两手抓
闫怀志谈到，在实际网络环境中，很多僵尸程序兼具了病毒、木马、间谍软件等多种恶意代码的特征，体现了恶意代码的组合化、复杂化的发展趋势，为僵尸网络的检测和防御工作带来了极大困难。
“很多僵尸网络只在需要时才被启动，平时则‘潜伏’伺机，隐蔽性强。”王伟表示，有些僵尸程序非常“聪明”，在潜伏时，它们有的每隔一段时间有规律地向控制者汇报情况，有的则无规律地“报平安”。常规的检测手段很难将它们检测出来，有时只能通过检测同一网络中不同主机与控制者间的相似数据传输，才能发现僵尸网络的“蛛丝马迹”。
“但是，即使能够发现它，也很难找到其背后的控制者。”王伟解释道，僵尸网络从控制者到受控计算机之间，可能存在多个层级，逐级进行控制，追踪者需要一级级溯源才能找到“真凶”。更为复杂的是，有些僵尸网络的某些控制层级位于暗网之中，控制者隐藏在暗网之后，当前的溯源技术对其几乎起不到任何作用。
“此外，对僵尸网络的防御还面临一个难题。”王伟介绍道，僵尸网络往往利用操作系统或软件漏洞传染硬件设备并扩大其规模，现有的网络防御系统大多只能检测、抵御已知漏洞的僵尸程序。但无论多完善的软件系统都会存在未知漏洞，黑客们只要发现并利用这些新的漏洞，就可以展开僵尸网络攻击。
隐蔽性强、溯源困难，我们要“种出”怎样的“豌豆射手”才能避免“僵尸”横行网络空间？
“现阶段，要想有效应对僵尸网络攻击，需要在主机、网络、管理等三个层面采取相应措施。”王伟认为，在主机层面，我们需要为自己的计算机、手机、物联网等设备安装杀毒等防御软件并按时更新，保证其能抵御已知的僵尸网络攻击。在网络层面，比如一个学校或企业的局域网，要及时进行针对僵尸网络的全网检测，一旦发现要及时处理。
“相比技术层面的措施，管理层面的措施更为重要。”王伟强调，企业、政府机关等各个机构要对员工加强系统化的网络安全教育，提高网络安全意识。比如，提醒员工要按规章制度管理和维护设备，及时更新杀毒软件、不采用“123456”等低级密码等。“Mirai”就曾利用大量摄像头，采用默认密码等弱口令，发动分布式拒绝服务攻击，造成了数小时的网络瘫痪。