经常看【jīng cháng kàn】电影💃、小说甚至玩过【zhì wán guò】🧔植物大🍗战僵尸【zhàn jiāng shī】🍯游戏的用户对🎱“僵尸【jiāng shī】🍯”已经不再陌生。在网上🎍搜索会🎨得到这【dé dào zhè】样的解😀释：僵尸【jiāng shī】🍯，指四肢僵硬【jiāng yìng】，头不低【tóu bú dī】，眼不斜，腿不分，不腐烂【bú fǔ làn】的尸体。而僵尸【jiāng shī】🍯网络的🏭提出似乎给网络安全领域蒙【lǐng yù méng】上了神秘面【shén mì miàn】纱【shā】🏡，这个安全“黑社会🚐”的技术给安全🍤领域带来了不⛵小的挑【xiǎo de tiāo】🏸战，怎样揭【zěn yàng jiē】开僵尸【jiāng shī】🍯网络的🏭神秘面【shén mì miàn】纱【shā】🏡?做到知【zuò dào zhī】己知彼【jǐ zhī bǐ】百战不殆🕋，应先从【yīng xiān cóng】了解僵【le jiě jiāng】尸🍯网络开始🔞。

　　僵尸网【jiāng shī wǎng】络【luò】🐵是指采用一种【yòng yī zhǒng】或多种传播🔧手段，将大量主机感染【gǎn rǎn】🕜bot程序(僵尸程序【shī chéng xù】)，从而使【cóng ér shǐ】🍸攻击者【gōng jī zhě】通过各种途径【zhǒng tú jìng】😱传播僵尸程序【shī chéng xù】感染【gǎn rǎn】🕜互联网上👪的大量【de dà liàng】🏐主机，而被感染【gǎn rǎn】🕜的主机将通过一个🔏控制信道接收📴攻击者【gōng jī zhě】的指令，组成一个僵尸🎲网络【wǎng luò】🐵。

　　
僵尸网络示意图

　　僵尸网【jiāng shī wǎng】🥂络是在【luò shì zài】控制者和被感【hé bèi gǎn】💸染主机♐之间所形成的一个可【yī gè kě】一对多【yī duì duō】控制的网络，之所以【zhī suǒ yǐ】用这个名字，是为了【shì wéi le】更形象的让人【de ràng rén】们认识到这类🗽危害的【wēi hài de】🌉特点：众多的🌩计算机【jì suàn jī】😫在不知不觉中🌝如同中国古老传说中【chuán shuō zhōng】的僵尸群一样被人驱赶和指【gǎn hé zhǐ】挥着，成为被🛎人利用🥒的一种工具📸。目前，最大最🐴严重的【yán chóng de】⚽僵尸网【jiāng shī wǎng】🥂络包括【luò bāo kuò】😝以下五种：

　　1. 臭名远扬的“装载机【zhuāng zǎi jī】🐲” Pushdo/Cutwail

　　Pushdo本身是一个【yī gè】💲“装载机【zhuāng zǎi jī】”，其可以下载其【xià zǎi qí】😲他组件🍢安装在系统中【xì tǒng zhōng】🎵，于2007年和另【nián hé lìng】👒一个【yī gè】💲僵尸网络【wǎng luò】🗾 Storm同时出现【xiàn】🕡，是全球📬第二大💙垃圾信息僵尸网络【wǎng luò】🗾，臭名远【chòu míng yuǎn】扬的原🦅因在于黑客使❌用不同🎼技术使Pushdo难以被侦测，PushDo不但🙎主导全【zhǔ dǎo quán】球大量的垃圾信息发【xìn xī fā】送【sòng】，同时也【tóng shí yě】是黑客用来散布恶意程序的主要管道。虽然Storm已经不【yǐ jīng bú】🧑复存在，但🙎Pushdo 却越来🚯越强大【yuè qiáng dà】，每日从🥗大约【dà yuē】150万台僵【wàn tái jiāng】尸电脑中发送【sòng】190亿封垃圾邮件。

　　在商业模式中【mó shì zhōng】，Pushdo可以为🏿客户定制安装【zhì ān zhuāng】特定恶👦意软件🦋，根据每【gēn jù měi】个安装来收取费用。通常通【tōng cháng tōng】过【guò】Pushdo进入被😌感染的【gǎn rǎn de】🚥电脑系👫统，并下载垃圾邮【yóu】😂件程序【jiàn chéng xù】🧕Cutwail。Pushdo使用Cutwail来自我复制垃圾邮【yóu】😂件，从而不🐴断扩大其僵尸【qí jiāng shī】🥇网络【wǎng luò】，也可通🏁过【guò】Cutwail租出垃【zū chū lā】圾邮【yóu】😂件服务。Pushdo/Cutwail僵尸网络【wǎng luò】发送的垃圾邮【yóu】😂件内容【jiàn nèi róng】很杂，包括医💧药产品🚆，网络赌【wǎng luò dǔ】博🔙，网络【wǎng luò】钓鱼邮件【yú yóu jiàn】以及链【yǐ jí liàn】接到包含恶意代码网【dài mǎ wǎng】站的邮【yóu】件。

　　2. 爱上远⚡程服务器的装【qì de zhuāng】🦉载机【zǎi jī】：Bredolab

　　Bredolab也是很流行的🌍装载机🏣。除了发送垃圾邮件外【yóu jiàn wài】，Bredolab还专注于下载【yú xià zǎi】“Scareware”(假杀毒软件【ruǎn jiàn】👶)以及【yǐ jí】“Ransomware”产品。Bredolab.SV是一种特洛伊【tè luò yī】🍑病毒，能够下【néng gòu xià】载并生🍪成Win32/Zbot 和 Win32/Cutwail病毒。它将获【tā jiāng huò】取的系【qǔ de xì】统信息发送到💃远程服【yuǎn chéng fú】🍟务器，并从远【bìng cóng yuǎn】程服🍟务器接收❤URL和文件。

　　恶意程🐡序通过【xù tōng guò】垃圾邮件传播，并诱惑用户运👦行恶意😴程序。其主要🚚商业模【shāng yè mó】式是使【shì shì shǐ】🛰用这些产品感染很多系统，希望受【xī wàng shòu】🏖害者购买【mǎi】Scareware和Ransomware产品，然后获取佣金【qǔ yòng jīn】利润【lì rùn】⬛。

　　3. 记录用户击键：Zeus

　　提起【tí qǐ】😛Zeus ，我们不【wǒ men bú】🌊得不回【dé bú huí】顾今年4月份一【yuè fèn yī】💕个名为Zeus的病毒不断窃【bú duàn qiè】📅取网上银行的🏌账户信【zhàng hù xìn】息【xī】，相关数🗿据显示，当时有🦈550万台计【wàn tái jì】算机已🎬经被检【jīng bèi jiǎn】测到不同版本♍的Zeus感染。Zeus 1.6可以感【kě yǐ gǎn】染使用IE和Firefox浏览器的用户，并对用户实施击键记录🧘，进而通过分析【guò fèn xī】银行网【yín háng wǎng】站日志并将数据发送【jù fā sòng】💬到远程服务器😱，或由网络黑客团伙出售🆖。

　　Zeus作为犯【zuò wéi fàn】🔥罪软件🗡工具包出售【chū shòu】，这意味🐸着它不【zhe tā bú】仅仅是🐄一个大✳型僵尸【xíng jiāng shī】网🍉络【luò】，而是很😒多独立僵尸网【jiāng shī wǎng】🍉络【luò】。任何人🙃都可以🎹利用这个工具来创建自己的僵尸网【jiāng shī wǎng】🍉络【luò】，而且很📣受欢迎【shòu huān yíng】。最近我们检测【men jiǎn cè】到很多🔰Zeus变种【biàn zhǒng】🦇。Zeus通常被配置为窃取信息【xī】，包括银行凭证信息【xī】和返回给攻击者【gōng jī zhě】的报告【de bào gào】。

　　4. 垃圾邮【lā jī yóu】件的缔造者🧙：Waledac

　　与⚪Cutwail一样【yī yàng】💖，Waledac 最广为人知的🍇应该是【yīng gāi shì】发送垃【fā sòng lā】🆒圾邮件【jiàn】🧖的功能【de gōng néng】，此外他还会下【hái huì xià】载执行任意文🎍件【jiàn】🌐，Waledac也可以利用其下载的【xià zǎi de】定制模🍿版发送垃【fā sòng lā】🆒圾邮件【jiàn】🧖。由于它🍶是基于模版的，Waledac也为垃圾邮件【jiàn】🧖服务收费🏔。与⚪Pushdo不一样【bú yī yàng】💖，Waledac在点到🥛点网络【diǎn wǎng luò】操作【cāo zuò】，所以很【suǒ yǐ hěn】难被攻破。它还可以加载恶意软件【jiàn】🌐，代理⛺HTTP内容来【nèi róng lái】通过僵【tōng guò jiāng】尸网络【shī wǎng luò】传播恶意网站。

　　它下载【tā xià zǎi】执行的【zhí háng de】文件并不限于⬇恶意软🚤件。Waledac 也会试【yě huì shì】图下载【tú xià zǎi】🧔安装免🏋费的抓【fèi de zhuā】包库 "WinPcap"。它利用这个库的功能来嗅探网络流量🚔，查找 SMTP、POP、HTTP 和 FTP 协议中所传输【suǒ chuán shū】🏂的验证【de yàn zhèng】信息🈲。

　　除了我【chú le wǒ】们在之⏸前的【de】 Blog 中所提🧑到的【de】 Waledac被 Win32/Bredolab 变种下【biàn zhǒng xià】载🔎，我们还⬅发现 Waledac 会被正【huì bèi zhèng】🗃在传播的【de】 Win32/Cutwail 下载【xià zǎi】🔎。

　　5. 骚客一族：Conficker

　　这个僵【zhè gè jiāng】尸网络可能不需要过♍多介绍💆。虽然历史悠久，但Conficker从来没🐳有真正导致过【dǎo zhì guò】重大事🕧故【gù】。但这并【dàn zhè bìng】不意味着不存在威胁【zài wēi xié】🥚，该僵尸🙃网络仍【wǎng luò réng】然很活🍽跃。Conficker病毒主⬅要是借助闪存【zhù shǎn cún】、利用微【lì yòng wēi】软的【de】🏇MS08-067漏洞进【lòu dòng jìn】行传播【háng chuán bō】的【de】。当Conficker病毒进入系统【rù xì tǒng】后🎮，首先破坏系统🥫中的【de】默🗻认属性🏳设置，接着会自动搜【zì dòng sōu】索局域♏网内有漏洞的【de】其他电【qí tā diàn】🌿脑，一旦发现有存在漏洞的【de】计算机系统🎠，就会激活该漏【huó gāi lòu】洞并同【dòng bìng tóng】感染系统创建【tǒng chuàng jiàn】🍌连接🏟，最后【zuì hòu】🎮进行远程感染。

　　从个人【cóng gè rén】🐱端到服务器端，从垃圾邮件缔造者到恶意程【è yì chéng】💝序发布➿者，从记录🛥用户的🉐击键记录到随【lù dào suí】处可见🐬的Conficker病毒，僵尸网络给我们更多恐怖之【kǒng bù zhī】后是对安全行【ān quán háng】业对金😵钱驱使下的黑【xià de hēi】产业链的澄清【de chéng qīng】👼，为用户♟谋取更💃安全健康的网【kāng de wǎng】👻络环境成为安全厂商【quán chǎng shāng】努力方【nǔ lì fāng】向【xiàng】。