經常看電影、小說甚至玩過植物大戰僵屍（shī）遊戲的用戶對“僵屍（shī）”已經不再陌生。在網上搜索會得到這樣的解釋：僵（jiāng）屍，指四肢僵硬，頭（tóu）不低（dī），眼不斜，腿不（bú）分，不腐爛的屍體。而僵屍網絡的提出（chū）似乎給網絡安（ān）全領域蒙上了神秘（mì）麵紗，這個安全（quán）“黑社會”的技術給安全（quán）領域帶來了（le）不小的挑（tiāo）戰，怎樣揭開僵屍（shī）網絡的神秘麵紗?做到知己知（zhī）彼百戰不殆，應先從了解僵屍網絡開始。

　　僵屍網絡（luò）是指采用一種或多種傳播手段，將大量主機（jī）感染bot程序（xù）(僵屍程序)，從而使攻擊者（zhě）通過各種途徑傳播僵屍程序感染互聯網上的大量主機，而被（bèi）感染的主機將通（tōng）過一個控（kòng）製信（xìn）道接收攻擊者的指令，組成一個僵（jiāng）屍網絡（luò）。

　　
僵屍網絡示意（yì）圖

　　僵屍網絡是在控製者和被感染（rǎn）主機之間（jiān）所形成的一個可一對多控製的網絡，之所以用這個名字，是為（wéi）了更形象的讓人們（men）認識到這類危害的特點：眾（zhòng）多的計算（suàn）機在不知不覺中如同中（zhōng）國古老傳說中的僵屍（shī）群一樣被人驅趕和（hé）指揮著，成為被人利用的一種工具。目前，最大最嚴重的僵屍（shī）網絡包括以下五種：

　　1. 臭名遠揚的“裝載機” Pushdo/Cutwail

　　Pushdo本身是一個“裝載機”，其（qí）可以下載其他組件安裝在係統（tǒng）中，於（yú）2007年和另（lìng）一個（gè）僵屍網絡 Storm同時出現，是全球第二大垃圾信息僵屍網絡，臭名遠揚的原因在於黑客使用不同技術使Pushdo難以被偵（zhēn）測，PushDo不但主導全球大量的垃圾信息發送，同時也（yě）是（shì）黑客用來散布惡意程序的主要管道。雖然Storm已經不複存在，但（dàn）Pushdo 卻越來越強大，每日從大約150萬（wàn）台僵（jiāng）屍電腦中發（fā）送190億封垃圾郵件。

　　在商業（yè）模式中，Pushdo可以為客戶定製安裝特定惡意軟件，根據每個（gè）安裝（zhuāng）來收（shōu）取費用。通常通過Pushdo進入被感染（rǎn）的電腦（nǎo）係統，並下載垃圾郵件程序Cutwail。Pushdo使用Cutwail來自我複製垃圾郵件，從而不斷擴大其僵屍網絡，也可通過Cutwail租出垃圾郵件服（fú）務。Pushdo/Cutwail僵（jiāng）屍網絡發送的垃圾郵件內容很雜，包括醫藥產品，網絡賭博，網絡釣魚郵件以及（jí）鏈接到包含惡意代碼網（wǎng）站的郵件。

　　2. 愛上遠程服務器的裝載機：Bredolab

　　Bredolab也是很流行的裝載機。除了發送垃圾郵件外，Bredolab還專注於下載“Scareware”(假殺毒軟件)以及“Ransomware”產品。Bredolab.SV是一種特洛伊病毒，能（néng）夠下載並生成Win32/Zbot 和 Win32/Cutwail病毒。它將獲取的係統信息（xī）發送到遠程服務器，並從遠程服務器（qì）接收URL和文（wén）件。

　　惡意程（chéng）序通過垃（lā）圾郵件傳播，並（bìng）誘（yòu）惑用戶運行惡意程序。其主（zhǔ）要商業模式是使用這些產品感（gǎn）染（rǎn）很（hěn）多係統，希望受害者購買Scareware和Ransomware產品，然後獲取傭金利潤。

　　3. 記錄用戶擊鍵：Zeus

　　提起Zeus ，我們不得不回顧今年4月份一個名為Zeus的病（bìng）毒不斷竊取網上銀行（háng）的賬戶信息（xī），相關數據顯示，當時有550萬（wàn）台計算（suàn）機已經（jīng）被檢測到不同版本的Zeus感染。Zeus 1.6可（kě）以感染使用IE和Firefox瀏覽（lǎn）器的用戶，並對用戶實施擊鍵記錄，進而通過分析銀行網站日誌並將數據發（fā）送（sòng）到遠（yuǎn）程服務器，或由網絡黑客團夥出售。

　　Zeus作為（wéi）犯罪軟件工具包出（chū）售，這意味著它不僅僅是一個大型僵屍網絡，而是很多獨立僵屍（shī）網絡。任何人都可以利用這個工具來創建自（zì）己的僵屍網（wǎng）絡，而且很受歡迎。最近我們檢測到很多Zeus變種。Zeus通常被配置為竊取信息，包括銀行憑證信息和返回給（gěi）攻擊者的報告。

　　4. 垃（lā）圾郵件的締造者：Waledac

　　與Cutwail一樣，Waledac 最廣為人知的應該是發送垃圾郵件的功能，此外他還會下載執行任意文（wén）件，Waledac也可以利用其下載的（de）定製模版發送垃圾郵件。由於它（tā）是基於（yú）模版的，Waledac也為垃圾郵件服務收費。與Pushdo不一樣（yàng），Waledac在點到點網絡操作，所以很難被攻破。它還可以加載（zǎi）惡意（yì）軟件，代理HTTP內容來通過僵屍網絡傳播惡意網站。

　　它下載執（zhí）行的文件並不限於惡意軟件。Waledac 也會（huì）試圖下載安裝免費的抓包庫 "WinPcap"。它利用這個庫的功能來嗅探網絡流量，查找（zhǎo） SMTP、POP、HTTP 和 FTP 協議中所傳輸的驗證信息。

　　除了我們在之前（qián）的 Blog 中所提到的 Waledac被 Win32/Bredolab 變種下載，我們還發（fā）現（xiàn） Waledac 會被正在傳播（bō）的 Win32/Cutwail 下載。

　　5. 騷客一族：Conficker

　　這個僵屍網絡可能不需要過（guò）多（duō）介紹。雖然曆史悠久，但Conficker從來沒有真正導致過重大（dà）事（shì）故。但這並不意味著不存在威脅，該（gāi）僵屍網絡仍然很活躍（yuè）。Conficker病（bìng）毒主要是借助閃存、利用微軟的MS08-067漏洞進行傳播的（de）。當Conficker病毒進入（rù）係統後，首先破壞係統中的默認（rèn）屬性設置，接著會自動搜索局（jú）域（yù）網內有漏洞的其他（tā）電腦，一旦發現有存在漏洞的計算機係統，就會激活該漏洞並同感染係統創建連接，最後（hòu）進行遠程感染。

　　從個人端（duān）到服務器（qì）端，從垃圾郵件（jiàn）締造者到惡（è）意程序發（fā）布者，從記錄用（yòng）戶的擊鍵記錄到隨處可（kě）見的（de）Conficker病毒，僵屍網絡給我們更多恐怖之後是對安全行業對（duì）金（jīn）錢驅使下的黑（hēi）產（chǎn）業鏈的澄清，為用（yòng）戶謀取更安（ān）全健康的網絡環境成為安全廠商努力（lì）方向。