僵尸网络仍然是企业苦于应付的最常见和最危险的恶意软件形式之一。这部分是因为僵尸网络通常瞄准无法修复或更新的设备，而这些设备在组织内部发挥关键作用。例如，工业物联网设备可能负责监控和管理关键系统，比如大型锅炉上的恒温器或发电厂的阀门或开关，如果这些设备遭受攻击，可能会影响个人生命和安全。同样，扫描仪、泵或监视器等医疗物联网设备，如果被篡改，也可能对患者造成严重伤害。

即使是不太重要的物联网设备部署，例如智能电视或联网恒温器，如果受到攻击也会造成重大伤害。由于物联网设备与其他设备共享信息，因此它们可能成为恶意软件的网关。它们还可能收集必要或敏感数据，如果这些数据被泄漏，可能会严重影响企业的声誉。

在过去的一年中，Fortinet公司季度威胁态势报告创建并监控了威胁态势指数，该指数可以跟踪恶意软件、漏洞利用和僵尸网络。在2019年第二季度，威胁态势指数的总体得分不仅增加4％，而且僵尸网络跟踪指数达到年度高点。

Zegost

在本季度，排名靠前的最有趣的僵尸网络之一是Zegost，这个恶意软件僵尸网络能够下载和执行其他恶意软件、从控制服务器接收命令并将数据转发回控制服务器、更新或删除自身、窃取登录和密码信息、记录按键情况、参与DDoS攻击，甚至可以锁定和加密计算机的内容，并要求支付赎金以恢复内容。

Zegost还以Zusy或Kris等别名运行，Zegost是自2011年以来一直活跃的信息窃取僵尸网络，并且在这些年，这个网络已经进行大量更新，其功能得到显著提高。这包括：利用特定PowerShell函数在受害者的鼠标移动到特定文本片段时下载其infostealer恶意软件到受害者的机器。它还可以清除自己的事件日志，使该恶意软件可长期规避检测，并使其有更多时间横向移动到受害者的网络。

最近的一次更新使其能够利用COM编程，这是恶意软件中不常见的功能。并且，和其他信息窃取恶意软件一样，由于Zegost的主要目标是收集有关受害者设备的信息并泄漏这些信息，其最新版本还可访问和记录受害者网络摄像头。

它还可以获取操作系统版本、分析受害者机器中处理器的速度和数量、检查互联网连接并查找远程桌面协议端口号。Zegost还会获取QQ的登录号码，这是一个中文聊天客户端。

检测规避

在2019年第二季度，很多恶意软件变种中出现的最重要的升级之一是增强了禁用安全和逃避检测的能力，Zegost也不例外。与其他信息窃取恶意软件相比，Zegost的独特配置使其能够保持不被检测，更具有长期威胁。它主要是通过清除自己的事件日志以及通过创建互斥锁来规避运行时冲突来实现这一点，它还会检​​查以确保自己只有单个版本在运行。 Zegost规避功能的另一个最新改进是，一个命令可以使该恶意软件保持“静态”直到特定日期，然后它会开始其感染例程，将自己加载到易受攻击的设备，然后保持在那里不被检测，直到某些触发器（例如内部计时器）让它恢复生机。它还可以通过在可隐藏的窗口中启动进程来避免检测。

应对复杂IoT僵尸网络带来的挑战

Zegost代表着新一代多功能僵尸网络，这些僵尸网络可进行各种攻击、渗透技术以及反侦测和逃避策略。抵御Zegost和类似威胁可能具有挑战性，这需要一整套安全机制作作为单个集成系统协同运作。

这些安全功能需要包括以下内容：

• 修复可修复的设备，替换已经过时的设备，为所有其他设备部署近距离控制。
• 部署高级行为分析并结合网络访问控制，以检测IoT流量中的异常行为。
• 部署网络访问控制，并确保识别、记录和跟踪每个物联网设备。
• 建立动态网络分段，当IoT流量接入网络时即开始限制IoT流量，从而将恶意软件限制在子网络中。
• 集成安全工具，通过单一管理和编排控制台从多个来源和位置收集、汇总和关联威胁事件，从而使复杂的威胁浮出水面并得到解决。
• 利用高级威胁情报，基于实时更新，提高检测网络中新威胁的能力。
• 利用自动化、机器学习和AI等先进技术，快速应对新威胁，以防止它们造成严重破坏。

随着物联网设备部署的增加，以及我们对物联网设备提供的数据和服务的依赖，我们必须致力于提高检测能力，保持领先于恶意软件的开发速度。网络罪犯不仅会继续开发针对物联网的新威胁，而且随着时间的推移，这些威胁的复杂性和功能会不断提升，我们需要在传统分布式和孤立的解决方案之间实现更高的集成度、凝聚和效率。

通过遵循上述步骤，企业可以更好地应对此类威胁，并更好地开展数字化转型工作，以当今新的数字市场实现增长。