圖源 | 視覺中國

受訪者 | 吳鐵軍 記者 | 夕顏

出品 | AI科技大本營（ID:rgznai100）

2020年，全球遭受了新冠疫情的襲擊，人們的生產(chǎn)生活受到了極大的影響。在網(wǎng)絡(luò)世界中，僵尸網(wǎng)絡(luò)作為多年來的主要威脅形式之一，并未受到疫情的影響，反而更加活躍。在IoT世界中，僵尸病毒有了更多的變種和入侵方式。

根據(jù)綠盟科技發(fā)布的《2020 BOTNET趨勢報告》顯示，2020年1月初，我國在IoT家用設(shè)備中首次檢測到以流量劫持為主要攻擊手段的僵尸網(wǎng)絡(luò)木馬家族——Pink，其主要利用廣告植入技術(shù)，進行非法牟利。從2020年2月開始，國際黑產(chǎn)團伙利用COVID-19相關(guān)信息為誘餌，制作釣魚郵件，肆意傳播僵尸網(wǎng)絡(luò)木馬。發(fā)動此類攻擊的代表性郵件僵尸網(wǎng)絡(luò)有Emotet、NetWire等。與此同時，沉寂許久的Trickbot、Necurs家族卷土重來，投遞大量與疫情、工作崗位招聘、欺詐鏈接等內(nèi)容有關(guān)的惡意郵件。

僵尸網(wǎng)絡(luò)病毒離我們并不遙遠。如果你家里有智能音箱、智能電視等IoT設(shè)備，要多加留心，因為也許不知何時，你家的物聯(lián)網(wǎng)設(shè)備就會悄然成為攻擊者的“肉雞”目標，而設(shè)備一旦感染病毒并發(fā)作，很可能泄漏個人隱私甚至威脅到個人生命及財產(chǎn)安全。

什么是僵尸網(wǎng)絡(luò)？

可能有人對僵尸網(wǎng)絡(luò)的了解并不深，它究竟是什么呢？從定義上來看，僵尸網(wǎng)絡(luò) （Botnet）是指采用一種或多種傳播手段，使大量主機感染Bot程序（僵尸程序）病毒，從而在控制者和被感染主機之間形成可一對多控制的網(wǎng)絡(luò)。

攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網(wǎng)絡(luò)。之所以用僵尸網(wǎng)絡(luò)這個名字，是為了更形象地讓人們認識到這類危害的特點：眾多的計算機在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅(qū)趕和指揮著，成為被人利用的一種工具。（引用自百度百科）

僵尸網(wǎng)絡(luò)“毒發(fā)”機制

僵尸網(wǎng)絡(luò)病毒聽起來可怕，它的工作機制究竟是怎樣的呢？為了讓大家更清晰地了解僵尸網(wǎng)絡(luò)病毒的“毒發(fā)”機制，AI科技大本營特邀綠盟科技伏影實驗室主任研究員吳鐵軍，以Mozi木馬為例來科普一下僵尸病毒的通信流程。

僵尸網(wǎng)絡(luò)病毒的“毒發(fā)”機制并不神秘。

首先，黑客使用自己的主機或受黑客控制的“肉雞”設(shè)備，對全網(wǎng)進行弱密碼登錄掃描和漏洞掃描；

如果發(fā)現(xiàn)能夠被弱密碼爆破或漏洞利用的設(shè)備，黑客會在該設(shè)備上執(zhí)行bash指令，這種指令一般會下載自動化部署腳本；

自動化部署腳本根據(jù)被入侵物聯(lián)網(wǎng)設(shè)備的CPU架構(gòu)，下載指定文件服務(wù)器上的僵尸網(wǎng)絡(luò)木馬程序并運行；

僵尸網(wǎng)絡(luò)木馬程序加入黑客控制的僵尸網(wǎng)絡(luò)域中，通常的僵尸網(wǎng)絡(luò)域是由一臺由黑客控制的命令控制服務(wù)器進行集中化管理，Mozi僵尸網(wǎng)絡(luò)比較特殊，它是加入一種名為Mozi-dht的分布式網(wǎng)絡(luò)中，使用P2P的方式接收黑客的管理命令；

被僵尸網(wǎng)絡(luò)木馬程序控制的物聯(lián)網(wǎng)設(shè)備會自動進行弱密碼登錄掃描和漏洞掃描，從而達成閉環(huán)，自動化擴大僵尸網(wǎng)絡(luò)范圍。

物聯(lián)網(wǎng)平臺為何成為最大攻擊目標？

了解了僵尸網(wǎng)絡(luò)病毒的概念和工作機制后，就不難理解為什么物聯(lián)網(wǎng)平臺會成為這種病毒的最大攻擊目標。

吳鐵軍解釋道，首先，當(dāng)前物聯(lián)網(wǎng)設(shè)備的安全性較為脆弱，易被僵尸網(wǎng)絡(luò)控制。一是因為物聯(lián)網(wǎng)整體缺乏管理，物聯(lián)網(wǎng)設(shè)備漏洞的發(fā)現(xiàn)與修復(fù)頻度不夠充分，且存在弱密碼問題，使得IoT設(shè)備極易被僵尸網(wǎng)絡(luò)木馬攻陷；二是目前主流的IoT僵尸木馬源代碼基本上都已經(jīng)開源，木馬開發(fā)成本低、門檻低，入門黑客也可以參與運營僵尸網(wǎng)絡(luò)；第三，DDoS 服務(wù)、勒索和惡意挖礦容易變現(xiàn)且風(fēng)險低，黑客可利用開源的武器庫快速組裝惡意軟件，進而掃描、滲透并控制物聯(lián)網(wǎng)設(shè)備。這些原因使得物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)防御難、溯源難。

而對于攻擊者來說，物聯(lián)網(wǎng)設(shè)備是具有高價值的脆弱目標。物聯(lián)網(wǎng)設(shè)備有其特殊性，需要獨占公網(wǎng)IP提供網(wǎng)絡(luò)服務(wù)，這樣的設(shè)備給僵尸網(wǎng)絡(luò)提供了豐富的網(wǎng)絡(luò)資源，因此容易成為黑客的重點關(guān)注對象。由于前述的漏洞和弱密碼問題，攻陷物聯(lián)網(wǎng)設(shè)備的難度也要比攻陷其他類型設(shè)備的難度低得多。加之物聯(lián)網(wǎng)的供應(yīng)鏈長、碎片化嚴重，部分物聯(lián)網(wǎng)廠商不具備完善的安全能力，安全廠商也無法參與整個物聯(lián)網(wǎng)產(chǎn)品的設(shè)計、實現(xiàn)、生產(chǎn)和升級環(huán)節(jié)，以上原因使得物聯(lián)網(wǎng)設(shè)備備受黑客的“青睞”。

IoT主流僵尸病毒家族

可見，IoT設(shè)備感染病毒的風(fēng)險很大。這不禁讓人好奇，在IoT平臺上，最常見的僵尸病毒有哪些，有哪些比較成熟的攻擊技術(shù)，又分別會造成怎樣的危害呢？

吳鐵軍表示，從分類上來講，目前IoT遭受的僵尸網(wǎng)絡(luò)病毒攻擊仍然是來自以Mirai、Gafgyt等為代表的主流僵尸網(wǎng)絡(luò)家族，同時以Dofloo為首的多平臺僵尸網(wǎng)絡(luò)家族也活躍于多種設(shè)備環(huán)境中。正是這些“土得掉渣”的家族，組成了當(dāng)今IoT平臺威脅形式的主體。

2020年，根據(jù)CNCERT物聯(lián)網(wǎng)威脅情報平臺及綠盟威脅識別系統(tǒng)監(jiān)測數(shù)據(jù)，Mirai家族無疑是最活躍的IoT DDoS僵尸網(wǎng)絡(luò)家族之一。該家族因代碼開源而導(dǎo)致大量變種產(chǎn)生，并通過UPX變形殼進行保護。

作為老牌開源DDoS僵尸網(wǎng)絡(luò)家族，Gafgyt木馬變種眾多，使用者遍布世界各地，活躍程度僅次于Mirai家族。

跨平臺木馬Dofloo的活躍度也比較高，并呈現(xiàn)了超越以往的態(tài)勢。Dofloo的一大特點在于管理者會比較頻繁地進行網(wǎng)絡(luò)維護和變種程序的開發(fā)。這個家族近期比較大的變化是搭載了針對Docker容器的漏洞利用，可以通過未授權(quán)訪問攻陷一些云主機上未開啟安全認證的容器設(shè)備。

吳鐵軍說，目前針對這類設(shè)備攻擊的僵尸網(wǎng)絡(luò)木馬比較少，所以預(yù)計Dofloo通過這類漏洞利用成功擴大了僵尸網(wǎng)絡(luò)范圍，反映在監(jiān)控中的活躍度就會相應(yīng)提升。

新興僵尸病毒“升級進化”

有意思的是，2020年新冠疫情的爆發(fā)也為黑客提供了便利，包括Emotet、Netwire和SmokeLoader等。除此之外，以間諜木馬AgentTesla、勒索軟件Maze、新興遠控木馬BitRAT等為代表的以郵件為主要傳播途徑的木馬程序，也獲得了滋生的溫床。

吳鐵軍指出，IoT平臺僵尸網(wǎng)絡(luò)發(fā)展至今，控制者已經(jīng)不再滿足于基于TCP的傳統(tǒng)模式，開始探索高隱匿性的網(wǎng)絡(luò)模型，探索一些不同的通信模式，反偵測手段與攻擊方式都有了不同程度的改變和提升，變得更加“狡猾”。

從通信模式上來說，新興的僵尸網(wǎng)絡(luò)采用了通信加密+證書驗證的雙重通信模式，普通的惡意家族，頂多對流量進行加密，而一些新家族在此基礎(chǔ)上添加了證書驗證，不僅提高惡意流量協(xié)議分析的難度，而且加強了對僵尸網(wǎng)絡(luò)的控制權(quán)。

其次，新興僵尸網(wǎng)絡(luò)家族還使用去中心化模式，摻入更復(fù)雜的協(xié)議。某些惡意家族，會在P2P DHT協(xié)議基礎(chǔ)上再構(gòu)建一層專屬DHT協(xié)議，使得惡意流量更難被發(fā)現(xiàn)，C&C更難被追蹤到。已知的僵尸網(wǎng)絡(luò)如Hajime和Mozi，它們利用了DHT協(xié)議，將自己的節(jié)點加入到BitTorrent的種子網(wǎng)絡(luò)中，并利用種子網(wǎng)絡(luò)互相連接，黑客則通過配置文件擴散的方式控制這些木馬節(jié)點；還有一些木馬利用暗網(wǎng)進行通信，比如知名物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)Mirai和Gafgyt，都出現(xiàn)了使用Tor網(wǎng)絡(luò)隱藏命令控制服務(wù)器的變種。

上述的基于DHT或Tor的新型通信模式，實際上也是僵尸網(wǎng)絡(luò)提升反偵測能力的方式。除此之外，已經(jīng)有小部分僵尸網(wǎng)絡(luò)木馬開始設(shè)計其他種類的反偵測功能，做到“雁過不留痕”，如Moobot的一類變種可以偽造受害主機的設(shè)備指紋，使外部掃描器無法獲得主機正確的設(shè)備類型，還有一些僵尸網(wǎng)絡(luò)會在入侵成功后關(guān)閉設(shè)備的一些端口，避免被后續(xù)的掃描流量探測。

但無論病毒怎么進化，弱密碼爆破/協(xié)議爆破和漏洞利用一直是IoT僵尸網(wǎng)絡(luò)木馬最常用的攻擊方式。

其中，協(xié)議暴破包含弱口令攻擊（例如telnet、ssh）和接口身份認證不嚴（例如Kubernetes集群的Kubelet配置不當(dāng)），并以弱口令攻擊為主，直接登錄目標系統(tǒng)。漏洞利用則主要針對各家設(shè)備，利用其處理輸入時的缺陷，通過發(fā)送相應(yīng)Payload，使得目標執(zhí)行遠程代碼或命令。

攻擊者可以通過這兩類方式，在入侵目標后置入惡意程序進行DDoS、挖礦、竊密甚至勒索等行為，嚴重消耗目標資源，造成數(shù)據(jù)泄密，導(dǎo)致經(jīng)濟損失。

而這兩類攻擊的主要不同之處在于，弱口令的犯罪成本和門檻較低，容易造成大面積傳播，但更容易被修復(fù)；而設(shè)備漏洞有使用門檻，且其影響存在的局限性，修復(fù)工作涉及代碼更新，若升級不及時，可能造成長期影響。

暴利的黑產(chǎn)鏈和運營模式

天下熙熙，皆為利來；天下攘攘，皆為利往。僵尸網(wǎng)絡(luò)如此猖獗，讓IoT用戶深受其害的原因，也無非在于其背后巨大的黑色產(chǎn)業(yè)鏈。

僵尸網(wǎng)絡(luò)的運營方式有很多種，其中售賣僵尸網(wǎng)絡(luò)軟件和敲詐勒索是最常見的黑客牟利手段。這個行業(yè)的暴利達到什么程度？以2017年臭名昭著的“仙女座”僵尸網(wǎng)絡(luò)為例，根據(jù)版本的不同，這款軟件在網(wǎng)絡(luò)犯罪市場中的銷售價從10美元到500美元不等。2020年影響規(guī)模增長最快的新興郵件木馬AgentTesla，明碼標價在15美元到69美元之間，在轉(zhuǎn)入地下交易后，其樣本銷售數(shù)量反而持續(xù)增長。

再比如2019年最成功的RaaS（勒索軟件即服務(wù)）實例，軟件制造者聲稱共同利潤超過20億美元?？上攵┦W(wǎng)絡(luò)黑產(chǎn)背后的利潤有多豐厚。

守護你的IoT設(shè)備不中招，還需多方努力

說了這么多，其實大家最關(guān)心的還是怎么樣才能讓自己家的IoT設(shè)備避免中招。在吳鐵軍看來，防止病毒感染用戶家的IoT設(shè)備，需要監(jiān)管單位、安全從業(yè)者，以及用戶自身多方共同努力。

首先，從監(jiān)管角度來講，國家需要加強防范，并打擊地下黑色產(chǎn)業(yè)鏈對移動互聯(lián)網(wǎng)生態(tài)的管理，及時處置僵尸木馬等網(wǎng)絡(luò)攻擊威脅，清理木馬僵尸網(wǎng)絡(luò)控制的服務(wù)器，凈化公共互聯(lián)網(wǎng)環(huán)境。其次，明確信息類資產(chǎn)以及個人隱私類的法律界定，施行《個人信息保護法》，有利于依法有效打擊相關(guān)違法犯罪活動。

從安全從業(yè)者角度，需要不斷提高對僵尸木馬病毒的檢測能力，提高對用戶隱私以及生產(chǎn)環(huán)境的保護能力，思黑客之所未思，提高對未知威脅的感知和捕獲能力，并對安全事件做到及時預(yù)警和響應(yīng)。同時要提高對于黑色產(chǎn)業(yè)鏈的取證能力，為打擊相關(guān)違法犯罪活動提供有效證據(jù)支持。

而從普通用戶角度，要做好個人安全意識的培養(yǎng)，提高自我保護能力和網(wǎng)絡(luò)安全防范意識。因為目前大部分僵尸網(wǎng)絡(luò)病毒傳播主要還是依賴弱口令爆破，所以使用安全可靠、復(fù)雜度較高的密碼，并定期修改，是普通用戶最行之有效的防爆方法。

其次是加強對物聯(lián)網(wǎng)設(shè)備的管理，及時更新系統(tǒng)安全補丁，注意使用和執(zhí)行安全可信的第三方代碼和應(yīng)用程序，做好權(quán)限管理，注意識別附帶惡意載荷的釣魚手段，以及配置網(wǎng)絡(luò)路由策略及防火墻過濾策略或增加網(wǎng)絡(luò)安全防護設(shè)備，這些都是攔截掉僵尸網(wǎng)絡(luò)病毒傳播的有效手段。

綜上，吳鐵軍認為，國家相關(guān)部門與安全廠商、物聯(lián)網(wǎng)廠商、物聯(lián)網(wǎng)服務(wù)商、網(wǎng)絡(luò)運營商之間要通力協(xié)作，從橫貫“云管端”安全的頂層設(shè)計，到具體產(chǎn)品的安全設(shè)計、測評實現(xiàn)，從威脅預(yù)警和安全治理結(jié)合的監(jiān)管體系，到產(chǎn)業(yè)合作創(chuàng)建多贏的商業(yè)模式，多管齊下，才能共建物聯(lián)網(wǎng)安全生態(tài)環(huán)境。

未來僵尸網(wǎng)絡(luò)病毒進化，AI將發(fā)揮更大的作用

吳鐵軍告訴AI科技大本營，當(dāng)前，對抗物聯(lián)網(wǎng)的技術(shù)生態(tài)正處于不斷完善的過程中，通過對物聯(lián)網(wǎng)病毒的傳播技術(shù)、駐留技術(shù)、攻擊技術(shù)等方面進行技術(shù)研究和知識積累，國內(nèi)對于物聯(lián)網(wǎng)病毒已經(jīng)有了比較好的檢測能力和監(jiān)測跟蹤機制，可以實時感知到物聯(lián)網(wǎng)病毒的攻擊活動以及活躍度。

然而，未來針對IoT的僵尸網(wǎng)絡(luò)依然會“進化”，這幾個發(fā)展趨勢我們不得不留心。

一是僵尸網(wǎng)絡(luò)的頭部運營者將不斷向高隱匿性發(fā)展，隱藏方式及手段不斷翻新，包括擴大犯罪群體，“藏木于林”；二是僵尸網(wǎng)絡(luò)的經(jīng)營者可能會改變經(jīng)營模式，將生產(chǎn)、銷售、維護這三個營銷階段剝離并獨立，自己則隱藏在整個營銷鏈條之下。防守方在網(wǎng)絡(luò)層面發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)管理者一般位于僵尸網(wǎng)絡(luò)利益鏈的尾部，離發(fā)現(xiàn)真正的頭部運營者還有很長的距離。

這些都意味著抓到幕后黑手的難度更大，對防范僵尸網(wǎng)絡(luò)病毒散播提出更多挑戰(zhàn)。

在保護物聯(lián)網(wǎng)設(shè)備免遭網(wǎng)絡(luò)攻擊的道路上，越來越多的新技術(shù)正在被派上用場，例如AI。

吳鐵軍認為，ML和DL（機器學(xué)習(xí)和深度學(xué)習(xí)）在IoT網(wǎng)絡(luò)中是非常有前景的技術(shù)，IoT網(wǎng)絡(luò)生成的大量數(shù)據(jù)，正是ML和DL將智能帶入系統(tǒng)所需的“原材料”。反之，前者也將利用這些數(shù)據(jù)，使得IoT系統(tǒng)做出更加明智的決策。

當(dāng)前，ML和DL在IoT網(wǎng)絡(luò)中主要用于安全性分析、隱私分析、攻擊檢測和惡意軟件分析，如執(zhí)行復(fù)雜的感測技術(shù)和識別任務(wù)，實時交互分析，身份驗證和訪問控制，攻擊檢測與緩解，DoS和分布式DoS（DDoS）攻擊檢測，異常/入侵檢測，以及惡意軟件分析等。

未來，吳鐵軍還很看好生成對抗網(wǎng)絡(luò)（GAN）在檢測物聯(lián)網(wǎng)中的入侵、惡意軟件分析和DDoS攻擊檢測方面，以及分布式學(xué)習(xí)（聯(lián)邦學(xué)習(xí)）在邊緣/移動設(shè)備上提供高度個性化和安全模型，維護客戶端/用戶隱私方面的廣闊前景。

為了更好地對抗僵尸網(wǎng)絡(luò)病毒，吳鐵軍所帶領(lǐng)的伏影實驗室目前在物聯(lián)網(wǎng)攻擊團伙、物聯(lián)網(wǎng)指紋識別、物聯(lián)網(wǎng)威脅識別（漏洞攻擊識別、自動化規(guī)則生成等）等特征學(xué)習(xí)方向進行著更深入的研究。

通過這篇文章，相信大家對于IoT安全和僵尸病毒家族有了更深刻的了解，也希望未來在更多成熟的安全技術(shù)保護下，讓每個普通的IoT設(shè)備用戶不再因為安全問題而擔(dān)心憂慮，甚至因噎廢食不敢使用IoT設(shè)備。

你還想了解哪些IoT安全問題？

歡迎留言告訴我們~

受訪者及團隊簡介：

受訪者綠盟科技伏影實驗室主任研究員 吳鐵軍。綠盟科技伏影實驗室專注于安全威脅與監(jiān)測技術(shù)研究。研究目標包括僵尸網(wǎng)絡(luò)威脅，DDoS對抗，WEB對抗，流行服務(wù)系統(tǒng)脆弱利用威脅、身份認證威脅、數(shù)字資產(chǎn)威脅、黑色產(chǎn)業(yè)威脅及新興威脅。通過掌控現(xiàn)網(wǎng)威脅來識別風(fēng)險，緩解威脅傷害，為威脅對抗提供決策支撐。