图源 | 视觉中国

受访者 | 吴铁军 记者 | 夕颜

出品 | AI科技大本营（ID:rgznai100）

2020年，全球遭受了新冠疫情的袭击，人们的生产生活受到了极大的影响。在网络世界中，僵尸网络作为多年来的主要威胁形式之一，并未受到疫情的影响，反而更加活跃。在IoT世界中，僵尸病毒有了更多的变种和入侵方式。

根据绿盟科技发布的《2020 BOTNET趋势报告》显示，2020年1月初，我国在IoT家用设备中首次检测到以流量劫持为主要攻击手段的僵尸网络木马家族——Pink，其主要利用广告植入技术，进行非法牟利。从2020年2月开始，国际黑产团伙利用COVID-19相关信息为诱饵，制作钓鱼邮件，肆意传播僵尸网络木马。发动此类攻击的代表性邮件僵尸网络有Emotet、NetWire等。与此同时，沉寂许久的Trickbot、Necurs家族卷土重来，投递大量与疫情、工作岗位招聘、欺诈链接等内容有关的恶意邮件。

僵尸网络病毒离我们并不遥远。如果你家里有智能音箱、智能电视等IoT设备，一定要多加留心，因为也许不知何时，你家的物联网设备就会悄然成为攻击者的“肉鸡”目标，而设备一旦感染病毒并发作，很可能泄漏个人隐私甚至威胁到个人生命及财产安全。

什么是僵尸网络？

可能有人对僵尸网络的了解并不深，它究竟是什么呢？从定义上来看，僵尸网络 （Botnet）是指采用一种或多种传播手段，使大量主机感染Bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间形成可一对多控制的网络。      

攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。（引用自百度百科）

僵尸网络“毒发”机制

僵尸网络病毒听起来可怕，它的工作机制究竟是怎样的呢？为了让大家更清晰地了解僵尸网络病毒的“毒发”机制，AI科技大本营特邀绿盟科技伏影实验室主任研究员吴铁军，以Mozi木马为例来科普一下僵尸病毒的通信流程。

吴铁军 绿盟科技伏影实验室主任研究员

僵尸网络病毒的“毒发”机制并不神秘。

图2 Mozi木马典型通信流程

首先，黑客使用自己的主机或受黑客控制的“肉鸡”设备，对全网进行弱密码登录扫描和漏洞扫描；      

如果发现能够被弱密码爆破或漏洞利用的设备，黑客会在该设备上执行bash指令，这种指令一般会下载自动化部署脚本；      

自动化部署脚本根据被入侵物联网设备的CPU架构，下载指定文件服务器上的僵尸网络木马程序并运行；      

僵尸网络木马程序加入黑客控制的僵尸网络域中，通常的僵尸网络域是由一台由黑客控制的命令控制服务器进行集中化管理，Mozi僵尸网络比较特殊，它是加入一种名为Mozi-dht的分布式网络中，使用P2P的方式接收黑客的管理命令；

被僵尸网络木马程序控制的物联网设备会自动进行弱密码登录扫描和漏洞扫描，从而达成闭环，自动化扩大僵尸网络范围。

物联网平台为何成为最大攻击目标？

了解了僵尸网络病毒的概念和工作机制后，就不难理解为什么物联网平台会成为这种病毒的最大攻击目标。

吴铁军解释道，首先，当前物联网设备的安全性较为脆弱，易被僵尸网络控制。一是因为物联网整体缺乏管理，物联网设备漏洞的发现与修复频度不够充分，且存在弱密码问题，使得IoT设备极易被僵尸网络木马攻陷；二是目前主流的IoT僵尸木马源代码基本上都已经开源，木马开发成本低、门槛低，入门黑客也可以参与运营僵尸网络；第三，DDoS 服务、勒索和恶意挖矿容易变现且风险低，黑客可利用开源的武器库快速组装恶意软件，进而扫描、渗透并控制物联网设备。这些原因使得物联网僵尸网络防御难、溯源难。      

而对于攻击者来说，物联网设备是具有高价值的脆弱目标。物联网设备有其特殊性，需要独占公网IP提供网络服务，这样的设备给僵尸网络提供了丰富的网络资源，因此容易成为黑客的重点关注对象。由于前述的漏洞和弱密码问题，攻陷物联网设备的难度也要比攻陷其他类型设备的难度低得多。加之物联网的供应链长、碎片化严重，部分物联网厂商不具备完善的安全能力，安全厂商也无法参与整个物联网产品的设计、实现、生产和升级环节，以上原因使得物联网设备备受黑客的“青睐”。

IoT主流僵尸病毒家族

可见，IoT设备感染病毒的风险很大。这不禁让人好奇，在IoT平台上，最常见的僵尸病毒有哪些，有哪些比较成熟的攻击技术，又分别会造成怎样的危害呢？

吴铁军表示，从分类上来讲，目前IoT遭受的僵尸网络病毒攻击仍然是来自以Mirai、Gafgyt等为代表的主流僵尸网络家族，同时以Dofloo为首的多平台僵尸网络家族也活跃于多种设备环境中。正是这些“土得掉渣”的家族，组成了当今IoT平台威胁形式的主体。

2020年，根据CNCERT物联网威胁情报平台及绿盟威胁识别系统监测数据，Mirai家族无疑是最活跃的IoT DDoS僵尸网络家族之一。该家族因代码开源而导致大量变种产生，并通过UPX变形壳进行保护。

图3 Mirai常见变种与特征

作为老牌开源DDoS僵尸网络家族，Gafgyt木马变种众多，使用者遍布世界各地，活跃程度仅次于Mirai家族。

跨平台木马Dofloo的活跃度也比较高，并呈现了超越以往的态势。Dofloo的一大特点在于管理者会比较频繁地进行网络维护和变种程序的开发。这个家族近期比较大的变化是搭载了针对Docker容器的漏洞利用，可以通过未授权访问攻陷一些云主机上未开启安全认证的容器设备。      

吴铁军说，目前针对这类设备攻击的僵尸网络木马比较少，所以预计Dofloo通过这类漏洞利用成功扩大了僵尸网络范围，反映在监控中的活跃度就会相应提升。

新兴僵尸病毒“升级进化”

有意思的是，2020年新冠疫情的爆发也为黑客提供了便利，包括Emotet、Netwire和SmokeLoader等。除此之外，以间谍木马AgentTesla、勒索软件Maze、新兴远控木马BitRAT等为代表的以邮件为主要传播途径的木马程序，也获得了滋生的温床。

吴铁军指出，IoT平台僵尸网络发展至今，控制者已经不再满足于基于TCP的传统模式，开始探索高隐匿性的网络模型，探索一些不同的通信模式，反侦测手段与攻击方式都有了不同程度的改变和提升，变得更加“狡猾”。

从通信模式上来说，新兴的僵尸网络采用了通信加密+证书验证的双重通信模式，普通的恶意家族，顶多对流量进行加密，而一些新家族在此基础上添加了证书验证，不仅提高恶意流量协议分析的难度，而且加强了对僵尸网络的控制权。

其次，新兴僵尸网络家族还使用去中心化模式，掺入更复杂的协议。某些恶意家族，会在P2P DHT协议基础上再构建一层专属DHT协议，使得恶意流量更难被发现，C&C更难被追踪到。已知的僵尸网络如Hajime和Mozi，它们利用了DHT协议，将自己的节点加入到BitTorrent的种子网络中，并利用种子网络互相连接，黑客则通过配置文件扩散的方式控制这些木马节点；还有一些木马利用暗网进行通信，比如知名物联网僵尸网络Mirai和Gafgyt，都出现了使用Tor网络隐藏命令控制服务器的变种。

上述的基于DHT或Tor的新型通信模式，实际上也是僵尸网络提升反侦测能力的方式。除此之外，已经有小部分僵尸网络木马开始设计其他种类的反侦测功能，做到“雁过不留痕”，如Moobot的一类变种可以伪造受害主机的设备指纹，使外部扫描器无法获得主机正确的设备类型，还有一些僵尸网络会在入侵成功后关闭设备的一些端口，避免被后续的扫描流量探测。

但无论病毒怎么进化，弱密码爆破/协议爆破和漏洞利用一直是IoT僵尸网络木马最常用的攻击方式。

其中，协议暴破包含弱口令攻击（例如telnet、ssh）和接口身份认证不严（例如Kubernetes集群的Kubelet配置不当），并以弱口令攻击为主，直接登录目标系统。漏洞利用则主要针对各家设备，利用其处理输入时的缺陷，通过发送相应Payload，使得目标执行远程代码或命令。

攻击者可以通过这两类方式，在入侵目标后置入恶意程序进行DDoS、挖矿、窃密甚至勒索等行为，严重消耗目标资源，造成数据泄密，导致经济损失。

而这两类攻击的主要不同之处在于，弱口令的犯罪成本和门槛较低，容易造成大面积传播，但更容易被修复；而设备漏洞有一定使用门槛，且其影响存在一定的局限性，修复工作涉及代码更新，若升级不及时，可能造成长期影响。

暴利的黑产链和运营模式

天下熙熙，皆为利来；天下攘攘，皆为利往。僵尸网络如此猖獗，让IoT用户深受其害的原因，也无非在于其背后巨大的黑色产业链。

僵尸网络的运营方式有很多种，其中售卖僵尸网络软件和敲诈勒索是最常见的黑客牟利手段。这个行业的暴利达到什么程度？以2017年臭名昭著的“仙女座”僵尸网络为例，根据版本的不同，这款软件在网络犯罪市场中的销售价从10美元到500美元不等。2020年影响规模增长最快的新兴邮件木马AgentTesla，明码标价在15美元到69美元之间，在转入地下交易后，其样本销售数量反而持续增长。

图 4 AgentTesla软件售价

再比如2019年最成功的RaaS（勒索软件即服务）实例，软件制造者声称共同利润超过20亿美元。可想而知，僵尸网络黑产背后的利润有多丰厚。

守护你的IoT设备不中招，还需多方努力

说了这么多，其实大家最关心的还是怎么样才能让自己家的IoT设备避免中招。在吴铁军看来，防止病毒感染用户家的IoT设备，需要监管单位、安全从业者，以及用户自身多方共同努力。

首先，从监管角度来讲，国家需要加强防范，并打击地下黑色产业链对移动互联网生态的管理，及时处置僵尸木马等网络攻击威胁，清理木马僵尸网络控制的服务器，净化公共互联网环境。其次，明确信息类资产以及个人隐私类的法律界定，施行《个人信息保护法》，有利于依法有效打击相关违法犯罪活动。      

从安全从业者角度，需要不断提高对僵尸木马病毒的检测能力，提高对用户隐私以及生产环境的保护能力，思黑客之所未思，提高对未知威胁的感知和捕获能力，并对安全事件做到及时预警和响应。同时要提高对于黑色产业链的取证能力，为打击相关违法犯罪活动提供有效证据支持。      

而从普通用户角度，要做好个人安全意识的培养，提高自我保护能力和网络安全防范意识。因为目前大部分僵尸网络病毒传播主要还是依赖弱口令爆破，所以使用安全可靠、复杂度较高的密码，并定期修改，是普通用户最行之有效的防爆方法。

其次是加强对物联网设备的管理，及时更新系统安全补丁，注意使用和执行安全可信的第三方代码和应用程序，做好权限管理，注意识别附带恶意载荷的钓鱼手段，以及配置网络路由策略及防火墙过滤策略或增加网络安全防护设备，这些都是拦截掉僵尸网络病毒传播的有效手段。      

综上，吴铁军认为，国家相关部门与安全厂商、物联网厂商、物联网服务商、网络运营商之间要通力协作，从横贯“云管端”安全的顶层设计，到具体产品的安全设计、测评实现，从威胁预警和安全治理结合的监管体系，到产业合作创建多赢的商业模式，多管齐下，才能共建物联网安全生态环境。

未来僵尸网络病毒进化，AI将发挥更大的作用

吴铁军告诉AI科技大本营，当前，对抗物联网的技术生态正处于不断完善的过程中，通过对物联网病毒的传播技术、驻留技术、攻击技术等方面进行技术研究和知识积累，国内对于物联网病毒已经有了比较好的检测能力和监测跟踪机制，可以实时感知到物联网病毒的攻击活动以及活跃度。

然而，未来针对IoT的僵尸网络依然会“进化”，这几个发展趋势我们不得不留心。

一是僵尸网络的头部运营者将不断向高隐匿性发展，隐藏方式及手段不断翻新，包括扩大犯罪群体，“藏木于林”；二是僵尸网络的经营者可能会改变经营模式，将生产、销售、维护这三个营销阶段剥离并独立，自己则隐藏在整个营销链条之下。防守方在网络层面发现的僵尸网络管理者一般位于僵尸网络利益链的尾部，离发现真正的头部运营者还有很长的距离。

这些都意味着抓到幕后黑手的难度更大，对防范僵尸网络病毒散播提出更多挑战。

在保护物联网设备免遭网络攻击的道路上，越来越多的新技术正在被派上用场，例如AI。

吴铁军认为，ML和DL（机器学习和深度学习）在IoT网络中是非常有前景的技术，IoT网络生成的大量数据，正是ML和DL将智能带入系统所需的“原材料”。反之，前者也将利用这些数据，使得IoT系统做出更加明智的决策。

当前，ML和DL在IoT网络中主要用于安全性分析、隐私分析、攻击检测和恶意软件分析，如执行复杂的感测技术和识别任务，实时交互分析，身份验证和访问控制，攻击检测与缓解，DoS和分布式DoS（DDoS）攻击检测，异常/入侵检测，以及恶意软件分析等。

未来，吴铁军还很看好生成对抗网络（GAN）在检测物联网中的入侵、恶意软件分析和DDoS攻击检测方面，以及分布式学习（联邦学习）在边缘/移动设备上提供高度个性化和安全模型，维护客户端/用户隐私方面的广阔前景。

为了更好地对抗僵尸网络病毒，吴铁军所带领的伏影实验室目前在物联网攻击团伙、物联网指纹识别、物联网威胁识别（漏洞攻击识别、自动化规则生成等）等特征学习方向进行着更深入的研究。

通过这篇文章，相信大家对于IoT安全和僵尸病毒家族有了更深刻的了解，也希望未来在更多成熟的安全技术保护下，让每个普通的IoT设备用户不再因为安全问题而担心忧虑，甚至因噎废食不敢使用IoT设备。

你还想了解哪些IoT安全问题？

欢迎留言告诉我们~

受访者及团队简介：

受访者绿盟科技伏影实验室主任研究员  吴铁军。绿盟科技伏影实验室专注于安全威胁与监测技术研究。研究目标包括僵尸网络威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁、数字资产威胁、黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。

微软每年豪砸安全研发 10 亿美元，聊聊背后的技术密码
何为“边缘计算”？“一学就会”的微服务架构模式
除了 k8s，留给 k 和 s 中间的数字不多了！
到底是谁发明了物联网？
再见 Nacos，我要玩 Service Mesh 了！
点分享点收藏点点赞点在看