僵尸网络.

僵尸网络是一组受控的端点(PC、服务器、路由器、物联网设备等),它们与一个或多个命令与控制(C2)服务器通信,执行运营者("botmaster")下发的指令。僵尸网络用于 DDoS 攻击、垃圾邮件、凭据填充、点击欺诈、加密货币挖矿、恶意软件分发,以及作为后续入侵的代理网络。它们可能采用集中式 C2、点对点或 fast-flux DNS 以抵抗执法打击。

规模是其最显著的特征。Mirai 僵尸网络(2016 年)利用一份默认凭据列表招募了数十万台物联网摄像头和路由器,随后向 DNS 服务商 Dyn 发起约 1 Tbps 的流量,使 Twitter、Reddit 和 Spotify 陷入瘫痪。"911 S5"住宅代理僵尸网络曾在近 200 个国家感染了将近 1900 万个 IP 地址,将受害者设备出租给欺诈分子,造成数十亿美元损失;2024 年 5 月,FBI 与国际伙伴将其捣毁,并逮捕了管理员 YunHe Wang。Emotet、Qakbot 等银行木马僵尸网络同样通过协同执法的黑洞(sinkholing)行动被瓦解。

flowchart TD
  M[恶意软件感染<br/>默认凭据 漏洞利用 钓鱼] --> B1[僵尸主机 1]
  M --> B2[僵尸主机 2]
  M --> B3[僵尸主机 N]
  B1 --> C[C2 服务器 P2P fast-flux]
  B2 --> C
  B3 --> C
  C --> O[botmaster 下发指令]
  O --> A[DDoS 垃圾邮件 代理 挖矿]

防御措施包括端点卫生、物联网固件更新、阻断已知 C2、DNS 黑洞、出站流量过滤、网络异常检测,以及由执法机构主导的打击行动。