浅谈僵尸网络的特点

随着互联网的广泛应用和技术的普及，网络安全问题越来越突出，网络安全事件频发。例如近期发生的“伊朗钓鱼短信事件”，威胁操作者冒充伊朗政府和社保机构，以其名义发送钓鱼短信，公民一旦打开短信链接就会将带有恶意软件的应用程序下载到他们的设备上，从而窃取公民信用卡的详细信息，并从受害者的银行账户中窃取资金。这些应用程序伪装成设备跟踪应用程序、银行、约会和购物网站、加密货币交易所以及与政府相关的服务，形成了“即用型移动活动”的僵尸网络。

又例如“谷歌Glupteba 僵尸网络事件”，Glupteba出现于2011年，到目前为止，该僵尸网络已经涉及100万台Windows PC设备，并形成了庞大的僵尸网络。该僵尸网络从受威胁的设备中盗取用户的身份证书及相关数据，滥用受害者资源挖掘加密货币，并设置代理服务器，通过受感染的机器和路由器来输送他人的互联网流量。谷歌为了避免变成Glupteba发布恶意软件的“机器人”，目前为止已经删除了约计1183个账户、870个谷歌广告账户、6300万个文档文件、908个云项目等。

这些“恶意应用程序不但可以采集受害者的信用卡号，还能截取受害者的身份验证短信，并将受害者的设备变相能够向其他潜在受害者传播类似网络钓鱼短信的机器人，”类似于病毒传播，具有传染性。其工作结构如下图所示：

控制僵尸网络的操控者为上图的“僵尸主控机”（botmaster），其控制下一个C＆C服务器向其他bot发布命令。C＆C就相当于僵尸主控机和僵尸网络之间的接口。

以上诉述僵尸网站具有传播性的特点，但我们也不必恐慌。它就类似病毒一样，只要我们把根源遏制住，它的毒害性就是可控的。如上图所示，假设C＆C服务器与僵尸主控器之间的接口被切断，那么僵尸网络将退化成一组无法协同运行的独立的受恶意软件的机器，因而其具备可控性的主要特点。