僵尸网络（BotNet）是企业机构目前面临的最大网络安全威胁之一。僵尸网络可以从任意地点大量系统（从数千个到一百万个系统）发动攻击，犯罪分子利用它控制计算机并执行非法的破坏性活动， 例如窃取数据、非法接入未授权网络资源、发起拒绝服务（DoS）攻击或散发垃圾邮件。

　　僵尸网络无孔不入，它并不是静态的恶意软件，在本质上是动态的，可以根据犯罪分子的指令快速改变形式。僵尸工具包的网络售价只有500美元，而通过它发起的攻击会使企业损失数百万美元，其危害可见一斑。

　　Bot病毒感染的巨大影响

　　预计所有与互联网连接的个人计算机中，多达四分之一的计算机可能已成为僵尸网络的一部分。2011年，有报告称TDL 僵尸网络感染了450多万台计算机，每天约感染100，000个不重复的地址。另外，在整个行业中，有将近一半的IT安全专业人员发现恶意软件的攻击在迅速增加。

　　这种爆炸式增长源于以下核心原因：

　　·　恶意软件已成为一个庞大的产业

　　犯罪分子不再是彼此孤立的非专业人员，他们隶属于具有完善的组织结构的团体，与恐怖组织类似，涉及金钱、动机和目标。他们可以部署相当多的情报人员、时间和资源，以便执行可导致企业损失数百万美元的僵尸网络。

　　信息已成为黑客的金矿。但是，不只有财务信息是值得窃取的有价值数据。我们发现，越来越多的黑客开始寻找更多的一般客户信息，而对特定账单或信用卡数据的关注度有所下降。对黑客来说，此类信息非常有利可图，通过它们可以在以后实施定制攻击或散发垃圾邮件，提高成功的可能性。例如，通过电子邮件向500，000人发送购买某些产品的广告。即使1000人中只有1人订购了产品，那么就已经有了500个新订单。现在，设想一下垃圾邮件发送者可以利用7000万个电子邮件地址获得巨额潜在利润。

　　有一个例子可以说明僵尸网络的威力，“Rustock”僵尸网络在被美国联邦执法机构于2011年3月取缔之前，其僵尸病毒大军每天可生成多达140亿封垃圾邮件。

　　·　威胁的复杂性不断增加

　　企业机构正在面临一个由各种类型的恶意软件组成的“动物园”，从而导致广泛的安全威胁，包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和僵尸网络等。这些都是由高级持续性威胁(APT)的犯罪分子使用的工具，其中把个人或企业机构成为特定的攻击目标。另外，僵尸网络从本质上具有多种形态，可以模仿正常的应用程序和流量模式，使防病毒软件等基于签名的解决方案难以单独防御僵尸网络。因此，企业需要采取多层次的方法有效抵御Bot威胁。

　　·　多种攻击途径

　　有多个进入点可以突破企业现有的安全防线，包括基于浏览器的漏洞、移动电话、恶意附件和可移动的介质等。另外，Web 2.0应用的爆炸式增长和社交网络被作为业务工具使用，也给黑客提供了大量机会，从而可以引诱受害者点击恶意链接或在合法网站上运行的“恶意广告”。

　　僵尸网络的演进过程

　　如果查看僵尸网络威胁的演进过程，就会发现名为“GMBot”的第一个Bot并不是恶意的。事实上，它在20世纪80年代末期被创建，目的是模拟互联网中继聊天(IRC)会话中的真实用户。但是，大约在1999年，Bot开始出于有害的目的而被设计出来。从那以后，僵尸病毒变得越来越复杂，在某些情况下被作为产品而商业化。例如，2006年的Zeus Bot，其原始售价为几千美元。在2011年中期，Zeus和SpyEye僵尸网络包的源代码被泄露，使这些强大的僵尸网络创建工具几乎可以被想要建立其自己的僵尸网络的任何人利用。

　　Check Point软件技术有限公司中国区技术经理刘刚表示：“目前，僵尸网络主要用作进入企业网络的后门。一旦进入，黑客会十分谨慎地操作，在其被检测出之前，它会在防御系统内部窃取尽可能多的信息。然而，因为僵尸病毒非常隐蔽，所以许多企业无法在其计算机受到感染时察觉出来，对于僵尸网络创建的威胁，安全团队往往缺乏适当的观察。 ”

　　未来的威胁

　　在未来几年中，僵尸网络将继续演进，并结合社交工程、零日攻击以及移动计算和社交网络的广泛应用。

　　过去，可以认为大多数常见的僵尸网络都运行在Windows计算机中，而今天已不再是这种情况。Linux和Mac系统也不能幸免。新的僵尸网络变体是跨平台的，业界将出现更多的Apple、Android和其他基于移动技术的僵尸网络，它们通过3G或Wi-Fi网络与命令和控制服务器(C&C)通信。

　　一个令人不安的趋势是社交网络被用作指挥和控制中心。 社交网络和IM等基于Web的服务被用于向受害网络中安装的恶意程序发送指令，并使黑客可以发送加密的命令。通过使用Twitter等社交网络，网络犯罪分子可以快速建立店铺并随时将其关闭，没有管理整个服务器而产生的费用。 

　　利用社交工程技术

　　另外，黑客还利用新型社交工程黑客技术驱动僵尸网络活动。通过社交网络还可以更加容易地获取关于个人的私人和工作信息，创建新的进入点来执行社交工程攻击、僵尸网络和APT。Check Point的调查显示，社交工程攻击的主要动机是经济利益(51%)，然后依次是访问专有信息(46%)、获得竞争优势(40%)和复仇(14%)，对于任何地点的企业来说，每次安全事件都会导致25，000至100，000美元的损失。

　　刘刚总结到：“目前，黑客可以轻松获得成功执行僵尸网络攻击所需的工具和资源。每次新的防病毒软件发布文件签名，恶意软件的编写者都会创建新的恶意软件变体。可喜的是，很多企业和安全专家已经开始关注这一问题。随着数以千计的公司已经成为僵尸病毒和APT的目标，企业有责任阻止其扩散。Check Point推出防僵尸软件刀片，就是为了帮助企业应对此等威胁。其专注于对僵尸防患于未然，使客户在僵尸威胁到安全和业务流程前，就能够迅速地发现并堵截它们。”

　　Check Point防僵尸软件刀片它可以帮助客户发现僵尸病毒，并通过阻止受感染主机和远程操作员通讯来防止损害。防僵尸解决方案将集成至每个安全网关，以便针对恶意软件威胁为企业提供多层僵尸防御，确保所有业务通信渠道都处于安全状态。如需了解关于僵尸威胁的详细信息，请访问：http://www.checkpoint.com/products/anti-bot-software-blade/anti-bot-software-blade-landing-page.html.

　　注释：本文作者刘刚为Check Point 软件技术有限公司中国区技术经理