僵尸网络是什么

僵尸网络是由攻击者通过传播恶意程序并感染漏洞主机，通过控制和命令（C&C）信道远程控制和命令的受感染主机所组成的网络。一般而言，僵尸网络是由攻击者（僵尸控制者）、C&C服务器和受感染的僵尸主机所组成的网络。如图1所示为僵尸网络的一般架构图，僵尸控制者也就是攻击者通过C&C Server控制和命令受感染的僵尸主机来完成其恶意意图。僵尸网络是影响和破坏当前网络环境和谐的重要威胁之一，其不仅可以作为众多网络攻击的支撑平台以支持实现网络攻击，其自身也是强有力的网络攻击工具能够对受害目标造成严重破坏。

图1 僵尸网络的一般架构图

僵尸网络的范畴界定

僵尸网络是一种由传统恶意代码演化的命令驱动型攻击平台。从形态和业务范围的角度出发，僵尸程序与传统恶意代码具有极高的相似性。从现实安全防御角度而言，僵尸网络通常被反病毒安全公司归纳为蠕虫、木马、后门、间谍软件、勒索软件的范畴。如图2所示为僵尸网络与其他恶意代码之间的关系示意图。僵尸网络所包含的僵尸程序从属于恶意代码的范畴，具有恶意软件的部分特征，与攻击者的攻击意图紧密相关。僵尸网络的控制和命令信道是其特有的属性，这是僵尸网络与传统恶意代码的最大区别。

图2 僵尸网络与其他恶意代码之间的关系

表1 僵尸网络与传统恶意代码之间的关系

如表1所示，病毒是通过感染计算机程序进行传播的恶意代码，通常被动传播，如通过USB传播感染新主机。病毒通常是一段代码而非独立程序，不可作为进程独立运行。而僵尸程序大多数不具备感染能力。蠕虫是一种可自我复制的恶意代码，具有主动传播能力，而僵尸程序可以不具备自传播能力，其传播可通过社会工程学或第三方恶意软件安装实现。间谍软件主要以窃取隐私数据为主，因此，其具有窃密功能，而僵尸网络窃密是可选的。木马是与僵尸程序较为接近的恶意代码，二者的关系比较模糊，其二者的区别在于木马控制者在使用木马时，一定要在线操作，木马主要以窃密为主，而僵尸网络控制者在使用僵尸网络的过程中，可以离线，僵尸网络的窃密功能可选。勒索软件在执行攻击的过程中通常也会和C&C服务器通信，以主机信息回传和密钥交换为主要目的。勒索软件以加密受害用户磁盘、文件、数据库或者锁定设备为主要功能，执行过程相对简单固化，不存在命令驱动执行任务，而僵尸网络会以命令驱动来执行攻击者下发任务。

通过恶意代码在形态和功能上的不断发展和融合，各类恶意代码之间的界限变得越来越模糊不清。从广义上讲，凡是具有C&C机制行为的恶意代码都可以称之为僵尸网络，而僵尸网络所控制的僵尸主机里的僵尸程序又可以包含多类型的恶意代码形态。

僵尸网络的工作机理

攻击者通过C&C服务器控制僵尸主机从组建僵尸网络到发起攻击，大致分为四个阶段。如图3所示为僵尸网络的工作机理，首先攻击者出于恶意目的，会通过一定的方式感染大量具有漏洞主机，使其加入僵尸网络。在僵尸主机新成员加入僵尸网络后，向C&C服务器注册，并等候指令；其次攻击者向C&C服务器下发指令；再次C&C服务器将指令传输给僵尸主机，僵尸主机接到具体命令后，会执行攻击任务。最后僵尸主机向C&C服务器反馈执行结果。更为一般地，僵尸网络工作原理可以归纳为传播（Propagation）、寻址（Rally）、交互（Interaction）和攻击（Attack）四个过程，这四个过程周而复始、循环往复。这个过程也称为僵尸网络的生命周期。

图3 僵尸网络的工作机理

具体地，在僵尸网络传播过程，通常指僵尸网络的构建过程，新僵尸成员加入的感染过程，也称为初始注入。在该过程，脆弱性主机被恶意代码感染，并成为潜在僵尸主机，该过程可以认为是计算机常规的感染过程，主要包括主动传播机制和被动传播机制两种。在主动传播机制里，僵尸主机主动扫描网络空间中其他存在漏洞的主机进行利用，以获取管理权限，下载并安装僵尸程序，最终实现僵尸网络的C&C通信。在被动传播机制里，通常需要用户参与来完成，如路过式下载、共享介质传播和社会工程学传播等。

在僵尸网络寻址过程，主要是僵尸主机寻找并定位C&C服务器。该过程也标志着僵尸主机新成员正式加入僵尸网络，成为僵尸大军中的一员。僵尸主机的寻址方式大致分为静态寻址和动态寻址两类。静态寻址是指僵尸程序尝试访问的C&C资源是静态不变的，这些资源通常硬编码到僵尸程序中，或者存放在感染程序的隐秘路径下。由于静态寻址实现了僵尸主机和攻击者之间的固化隐秘通信，其具有较好的隐蔽性，但是其缺点在于一旦安全人员获悉这些硬编码的资源，会立即关闭或者封堵僵尸主机访问的资源，攻击者将失去对所有僵尸主机的控制，因而，静态寻址方式通常被认为是脆弱的，为了提高僵尸网络的鲁棒性，攻击者使用动态寻址方式来实现僵尸网络的控制和命令。动态寻址通常使用一些特定的算法和机制来动态生成僵尸主机和C&C信道的会合点，当输入僵尸主机和C&C服务器共享信息时，在不同的时间或状态下，僵尸主机和C&C服务器能生成相同的会合信息，如僵尸网络使用动态域名生成算法（DGA）来实现秘密通信。动态寻址方式能够避开黑名单封堵，然而也会增加僵尸网络的维护成本，降低僵尸网络控制效率。

在僵尸网络成功定位C&C服务器之后，将与攻击者建立连接，开始交互。该阶段也称为控制和命令阶段。该过程主要包含配置文件下载、命令接收和结果回传等步骤。

图4 ZeuS僵尸网络的通信模式

如图4所示为ZeuS僵尸网络的通信模式，首先僵尸主机从C&C服务器获取配置文件，然后僵尸主机获取僵尸网络的同步状态，最后僵尸主机将窃取的信息及更新状态报告给C&C服务器。

攻击者构建僵尸网络的主要目的是发起攻击以获取经济利益。在完成僵尸网络的交互，僵尸网络开始其攻击行为。僵尸网络的攻击行为主要分为内部攻击和外部攻击。内部攻击主要是针对宿主主机也就是僵尸主机自身进行攻击活动，外部攻击主要是针对僵尸主机自身以外的网络目标进行攻击，僵尸网络的攻击行为是僵尸网络最为本质的特征，也是对网络环境造成极大威胁的源头。

僵尸网络的危害性

僵尸网络作为复杂的攻击平台，其危害性体现在多个方面。僵尸网络利用带宽、CPU、IP等资源对外界目标发起网络攻击，攻击范围可以从普通网络用户到国家层面的关键性基础设施。其危害性包含分布式拒绝服务攻击（DDoS攻击）、网络破坏、网络钓鱼、垃圾邮件分发、点击欺诈、间谍行为等。

分布式拒绝服务攻击是僵尸网络最常见的攻击方式，例如2016年10月，美国提供域名解析服务Dyn公司受到Mirai僵尸网络发起的网络攻击，导致美国多个城市出现互联网瘫痪情况，包括Twitter、Shopify、Reddit等在内的大量互联网知名网站数小时无法正常访问。又如2018年1月，荷兰银行、荷兰合作银行以及ING银行三大银行同时遭遇了DDoS攻击，造成了三大银行互联网银行服务集体瘫痪。2月，面向开源及私有软件项目的知名托管平台GitHub遭遇了史上大规模Memcached DDoS攻击，流量峰值高达1.35 Tbps。DDoS攻击的主要原理是攻击者利用大规模僵尸网络对某机构网站发起临时性流量注入，导致该网站暂时性拥塞，其他用户无法正常访问，以致网站崩坍和宕机。常见的DDoS攻击形式为SYN Flood、DNS反射放大攻击，其代表性僵尸网络为Mirai等。DDoS攻击并不能给攻击者带来直接经济利益，但是攻击者可以被雇佣来打击竞争对手或敲诈勒索目标对象来获取经济报酬。

网络破坏是通过传播计算机病毒等恶意程序来破坏目标计算机信息系统功能或计算机存储信息及应用程序。具体地，网络破坏可以恶意篡改和删除关键性隐私数据，可以修改计算机应用程序进而影响信息系统正常运作。网络破坏对目标对象所造成的危害极大，而且难以发现，不易防范。

网络钓鱼通常是僵尸网络通过垃圾邮件或网络劫持等方法，诱骗用户在虚假网站填写账号和密码，造成用户隐私泄露和经济损失。点击欺诈主要是攻击者控制大量僵尸主机，通过脚本或浏览器劫持的方式，模拟正常用户对特定广告发起点击，从而产生大量虚假点击，从而获取大量经济效益，点击欺诈的僵尸网络代表有Methbot。

发送垃圾邮件是僵尸网络较为常见的攻击方式，发送垃圾邮件对攻击者而言具有双重益处，其一，发送垃圾邮件可以为僵尸网络招募新的僵尸主机，扩充僵尸大军，为僵尸网络壮大攻击力量；其二，通过发送垃圾邮件可以为某些非易卖品做宣传，提高经济收入。发送垃圾邮件的僵尸网络的典型代表是Conficker。

僵尸网络的间谍行为主要体现在国家层面的网络对抗，通过网络渗透到敌方网络信息系统中窃取机密性信息，甚至修改基础设施配置信息，从而造成巨大损失。当前一种破坏性极大的网络攻击是APT攻击，APT攻击通常利用僵尸网络的控制和命令机制来渗透到敌方单位的关键性网络系统，以窃取重要信息情报作为攻击目标，从而达到国家级对抗的优势。从控制和命令机理角度而言，APT攻击也从属于广义的僵尸网络。僵尸网络间谍行为的典型代表是Stuxnet和Duqu。

僵尸网络命令控制信道

僵尸网络最为关键的攻击链路为命令和控制信道（C&C Channel）。命令和控制信道的作用是实现控制者和僵尸主机之间的信息交互和传递。命令和控制信道也决定了僵尸网络的命令和控制效率以及健壮性。一旦命令和控制信道出现故障，攻击者将会失去对僵尸网络的控制。因此命令和控制信道是攻防双方争夺控制权的关键点。随着攻防对抗的升级，攻击者也在提升僵尸网络在健壮性方面的积极发挥。僵尸网络命令和控制信道主要在拓扑结构和命令控制协议两方面体现。

僵尸网络拓扑结构

僵尸网络的拓扑结构是命令信道的基本属性之一，拓扑结构和僵尸网络的层析划分和通信机制有直接关联。一般而言，僵尸网络的拓扑结构可划分为纯中心结构、纯P2P结构以及混合结构三类。

图1 纯中心结构僵尸网络

图1为纯中心结构僵尸网络，纯中心结构僵尸网络一般采用客户端-服务器模式（CS模式），僵尸主机主动向C&C服务器发起请求。控制者通过C&C服务器向僵尸主机下发控制命令及资源。按照寻址方式，纯中心结构僵尸网络又可以分为静态中心结构和动态中心结构。“静态”指的是C&C服务器的IP地址或者域名是静态不变的，通常硬编码在僵尸程序里。“动态”是指C&C服务器的IP地址或者域名是动态变化的，通常是算法生成，而算法被编码到僵尸程序内，如DGA僵尸网络。

图2 纯P2P结构僵尸网络

图2为纯P2P结构僵尸网络，该类型僵尸网络可以很好解决纯中心结构僵尸网络单点失败的问题。纯P2P结构僵尸网络中的僵尸主机均扮演着服务器和客户端的角色。一旦其中某个节点被识别和封堵，其他的节点依然可以作为资源提供者及信息的传递者，其不依赖脆弱性中心节点的特性使其难以被劫持、测量和关闭。因此，P2P结构的僵尸网络的健壮性更强，抗击打能力更强。

图3 混合结构僵尸网络

图3为混合结构僵尸网络，一般说来，混合结构僵尸网络是纯中心结构僵尸网络和纯P2P结构僵尸网络的结合，同时具有中心结构和P2P结构，如图3中左图为整体上呈现中心结构，而上半部分为P2P结构，下半部分为C/S结构。图3中右图为整体上呈现P2P结构，而在局部呈现C/S结构。

僵尸网络命令控制协议

僵尸网络常见的命令控制协议包括IRC协议、HTTP协议、P2P协议等。基于IRC协议的僵尸网络是最早出现的僵尸网络。该协议最为简单，控制者可借助公共IRC聊天室实时下发命令，具有较高的通信效率。IRC僵尸网络命令控制实现过程主要分为几个阶段，首先控制者在IRC服务器中创建一个聊天室，然后僵尸程序根据硬编码的地址信息加入聊天室，等待控制者下发的命令。命令的发布主要有Topic方式和Privmsg方式。Topic方式主要是僵尸程序接收聊天室频道的公告信息，获取命令，而Privmsg方式为控制者通过一对一或一对多方式向僵尸主机发布指令。

HTTP协议具有很好的穿透性，能穿透防火墙、IDS，基于HTTP协议的C&C协议可以混杂在正常的HTTP请求流量中不易被发现，命令下发延迟低，支持对通信内容的加密。因此攻击者也大量使用HTTP协议作为僵尸网络控制命令协议之一。在控制者下发命令时，会事先将命令内容发布在指定的Web网页中，僵尸程序会根据硬编码的地址请求获取。在实现信息回传时，僵尸程序通过Post方式将本机信息如bot ID、IP地址、MAC地址、操作系统、窃密信息等发送给控制者。传统的HTTP僵尸网络大多采用静态寻址方式，C&C信道很容易被防御人员识别和阻断。基于该事实，攻击者尝试使用动态访问机制来提升僵尸网络控制命令信道的健壮性，代表性的改进协议或机制有Fast-Flux和Domain-Flux。Fast-Flux基于多个IP和单一域名之间映射关系的快速切换来实现，可以隐藏恶意资源和钓鱼网站的真实IP。Domain-Flux的本质是多域名到单个IP之间的动态映射。实现的核心为域名生成算法（DGA）。

P2P僵尸网络可以分为结构化P2P和非结构化P2P，结构化P2P僵尸网络基于结构化P2P协议实现，采用基于分布式Hash表的Overnet协议，在获取命令时僵尸程序以日期和随机数（0-31）作为输入，通过算法生成32个不同hash key，通过P2P网络查询这些hash key值获取控制者指令。非结构化P2P僵尸网络内的僵尸主机间以无结构化方式进行连接。具体地，包含泛洪方式，即Random思想的Sinit僵尸网络随机生成Ipv4地址并逐一对其进行访问验证，也包含交换方式，即每个僵尸主机维护一份包含节点信息的peer list，定期随机挑选其中的部分节点进行通信，获取攻击者指令和更新节点信息。基于P2P协议的僵尸网络在健壮性方面较基于IRC和HTTP协议的僵尸网络有所改进，但是其控制和命令过程仍存在问题，如命令认证的不完备，容易受到索引污染以及Sybil攻击，也就是P2P僵尸主机的渗透以及劫持。

僵尸网络的演化及新动向

图4 僵尸网络PC攻击阶段

从僵尸网络开始出现至今，僵尸网络经历了多次发展和改良。按照僵尸网络出现时间顺序，可以将僵尸网络的发展过程划分为PC攻击阶段（1998-2008）和广泛攻击阶段（2009-）。如图4所示为僵尸网络的PC攻击阶段，该阶段主要是僵尸网络以感染网络用户个人终端主机（PC机）为主。如图5所示为僵尸网络广泛攻击阶段。这一阶段的僵尸网络以多类型终端、多类型设备为感染对象。僵尸网络的这两个阶段在感染对象类型、控制命令机制以及攻击行为等方面存在差异。从近些年僵尸网络的发展变化来看，僵尸网络在控制命令机制、传播扩展、影响范围等方面出现了新的变化趋势，首先，控制和命令机制更加隐蔽。为了提高僵尸网络适应新的网络环境，攻击者不断改进僵尸网络控制和命令机制，实现更加隐蔽的控制。攻击者使用HTTP协议作为C&C协议实现命令和控制，与此同时，攻击者使用特殊的寻址方式如DGA或者Random P2P来绕过基于规则的封堵。在僵尸网络协同性方面，为了避免出现大面积主机群体性网络行为而引起网络管理人员的警觉，攻击者往往会弱化僵尸网络的群体性，除非执行大规模定向性攻击如DDoS攻击，因而，僵尸网络也出现了小规模化和局部化特征。其次，传播载体更加广泛。随着互联网的发展和信息技术的进步，网络空间中不断涌现新的智能化元素，如智能家居、物联网设备等。攻击者也会利用这些智能化设备扩充僵尸大军。典型的案例为出现了基于匿名网络Tor的僵尸网络Skynet、基于TDL-4的僵尸网络、基于智能手机的僵尸网络Geinimi、基于移动社交网络的僵尸网络、基于云服务的僵尸网络、基于智能家居的僵尸网络Thingsbots、基于物联网设备的僵尸网络Mirai等。

图5 僵尸网络广泛攻击阶段

最后，僵尸网络恶意行为更加多元化。僵尸网络主要是为了完成攻击者的恶意目的来构建和实现的攻击平台。在当今互联网新技术、新应用不断涌现的时期，僵尸网络的恶意行为也变得更加多元化。僵尸网络的攻击行为与金融犯罪紧密联系，僵尸网络的攻击行为与隐私犯罪紧密联系，僵尸网络的攻击行为与政治敌对紧密联系。

僵尸网络对抗

僵尸网络对抗问题一直是安全社区的热门话题。而僵尸网络对抗工作可以分为僵尸网络检测和僵尸网络遏制，检测工作旨在发现僵尸主机、通信活动、C&C服务器，而遏制工作则注重利用主动清除手段将僵尸网络威胁降到最低。

僵尸网络检测

根据不同的分类标准以及不同的角度，僵尸网络检测有多种分类方法，如按照僵尸网络架构的检测方法分类，按照僵尸网络控制和命令协议的检测方法分类等。本文将僵尸网络检测方法按照检测技术出现的时序更迭大致分为两大类：基于蜜网的检测技术和基于入侵检测系统（IDS）的检测技术。基于入侵检测系统的僵尸网络检测方法又出现了很多分支如基于行为的检测方法和基于混合方式的检测方法。总得说来，僵尸网络检测方法的分类大致如图6所示。各种方法的对比情况如表格1所示。

图6 僵尸网络检测技术

表1僵尸网络检测方法对比情况

僵尸网络遏制

图7僵尸网络遏制方法

通过检测分析掌握了僵尸网络相关信息后，研究人员需要联合有关组织和部门、运用技术手段对僵尸网络传播和通信进行对抗，该种行为通常称为遏制（Mitigation），如图7所示，常见手段包括终端清除、命令控制过程对抗以及命令控制服务器打击三类。

终端清除主要指清除已感染终端的僵尸程序。防御人员可以通过挖掘并利用僵尸程序自身漏洞来实现清除，而更加通用的做法是联合大型反病毒公司、系统厂商以及互联网服务提供商（ISP）对感染终端进行定位，帮助用户进行清理。

僵尸网络通信协议在实现过程中可能存在某些脆弱点，比如单点失效问题、控制者身份未识别、命令时效性未校验等。防御人员利用该类缺陷不仅可干扰和阻断僵尸网络的正常命令下发，甚至可以接管其控制权，该类方法统称为命令控制过程对抗技术。对于P2P僵尸网络而言，常用对抗手段包括索引污染、Sybil攻击以及peer list污染3种。对于中心结构僵尸网络，防御人员可以利用sinkhole的思想将C&C域名指向自主可控的资源，实现僵尸网络的测量或劫持。

直接打击C&C服务器也是常见的对抗手段之一，具体方法包括：１）物理关闭，联合网络服务提供商直接取缔和关闭C&C服务器，但攻击者可通过重新搭建来恢复控制；２）DoS攻击，安全人员向僵尸网络C&C服务器或关键节点发起DoS攻击，延缓僵尸主机正常获取指令时间，降低其可用性。

总结

僵尸网络作为复杂灵活的网络攻击平台，对未来互联网安全带来极大隐患。本文主要对僵尸网络的命令控制信道、僵尸网络的演化及新动向、僵尸网络对抗进行阐述，通过对僵尸网络的浅析介绍，可以对僵尸网络进行初步了解，为有效预测未来僵尸网络发展动向以及积极应对僵尸网络引发的安全威胁做好准备。

参考文献

[1] Feily M, Shahrestani A, Ramadass S. A survey of botnet and botnet detection[C]//2009 Third International Conference on Emerging Security Information, Systems and Technologies. IEEE, 2009: 268-273.

[2] 李可,方滨兴,崔翔,刘奇旭.僵尸网络发展研究[J].计算机研究与发展,2016,53(10):2189-2206.

[3] Silva S S C, Silva R M P, Pinto R C G, et al. Botnets: A survey[J]. Computer Networks, 2013, 57(2): 378-403.

（来源：中国保密协会科学技术分会，责编：丁  昶，作者：齐  标  大象无形）