1.僵木蠕毒
攻击业内习惯把僵尸网络、木马、蠕虫、感染型病毒合称为僵木蠕毒。从攻击路径来看,蠕虫和感染型病毒通过自身的能力进行主动传播,木马则需要渠道来进行投放,而由后门木马(部分具备蠕虫或感染传播能力)构建僵尸网络。下面揭示一下木马的投放方法。
网络下载是当前木马攻击的主要路径。大部分人都会从网络下载安装软件,如果不注意区分,就可能被病毒攻击。一些不正规的网站、外挂网站、软件(游戏)下载网站、小说网站往往会植入木马牟取私利,“诱导安装”传播木马。
有些朋友不以为然,认为只要不在网上下载文件,又奈我何?此时,网页挂马粉墨登场。网页程序在浏览器中的执行权限是受到限制的,但黑产作者通过浏览器、Flash等组件的漏洞突破了该限制,获得了更高的系统权限,此时,可以通过shellcode释放和执行木马。在用户视角,他只是浏览了某个网页,没有下载和运行任何程序,结果还是中毒了
客户端挂马是网页挂马的升级版本,即使没有浏览网页,也有可能会中毒。那么,这是怎么发生的呢?互联网广告的蓬勃发展,使得很多软件都会在适当的时机给用户弹广告推荐商品或推装软件来获得收益。而大部分软件的弹广告模块内置了Flash控件,如果Flash控件存在漏洞,则在软件弹出广告时,加载的广告中含有恶意代码(黑产作者故意投放到广告中的),这样木马就进来了。
聊天工具也是主要的攻击路径之一。聊天蠕虫在软件官方和安全团队的技术打击下,已经不再流行。现在针对聊天工具的攻击方式主要有两种:一种是在聊天群里分享带毒链接,或者把木马改为有诱惑性的文件名(比如“2018年各大互联网公司年终奖披露”)上传到聊天群里;另一种是定向攻击,每一个案例都有剧本,经典剧本有“我的照片”“招聘职位描述”等。
2. DDoS攻击
DDoS攻击是指在短时间内对服务器进行洪水般的超负载访问攻击,以击垮服务器,使其不能为客户服务。攻击对象通常为游戏服务器、网站、业务服务器等,实施攻击者主要是黑产控制的代理服务器或僵尸网络。
我们把被后门木马控制的机器叫作“肉鸡”,而由大量肉鸡组成的能够统一接收指令并实施网络攻击的集合叫作“僵尸网络”,DDoS攻击是僵尸网络的主要业务之一。近年来,智能设备快速普及,但安全防护能力并没有同步跟上,使得大量的智能设备能够被轻易入侵并控制,导致僵尸网络的规模得到了成倍的扩张。
DDoS攻击中最难防御的是利用僵尸网络实施的低频CC攻击,攻击者模拟用户正常访问回包数据较大的网络接口,导致服务器消耗放大最终瘫痪。
3.黑客入侵
攻击很长一段时间,黑客入侵根据目的来划分主要有两种:一种是构建僵尸网络进行黑产牟利,另一种是通过高级攻击(APT)进行间谍破坏活动。这两种入侵攻击都比较注重隐蔽自身,实施持久性攻击。但随着数字货币的发展,近年来出现了一种新的攻击——入侵服务器加密数据或文档进行敲诈勒索。
办公计算机和服务器是一个企业重要的资产,但如果不注意安全防护,这些资产可能会和黑产共享。黑产人员通过网络攻击入侵个人计算机或服务器并植入后门,当资产数量形成一定的规模后,黑产人员可以通过发送指令进行DDoS攻击、弹广告等方式牟利。