区块链作为一项具有创新性的技术，本应在合法的领域发挥积极作用，但却被恶意利用与僵尸网络结合，带来了一系列复杂的挑战。
近年来，我们看到越来越多的僵尸网络运营者利用比特币区块链的交易来隐藏备份的 C2 服务器地址。例如，Akamai 的研究发现，加密货币挖矿僵尸网络运营者通过区块链来隐藏备份的 C2 IP 地址，攻击链从影响 Hadoop Yarn 和 Elasticsearch 的远程代码执行漏洞开始，利用漏洞创建 Redis 服务器扫描器，找出可用于加密货币挖矿的目标，然后部署恶意软件。这种方式使得执法机构和安全研究人员破坏僵尸网络变得极为困难。
僵尸网络利用 C2 服务器接收攻击者的命令，而通过区块链隐藏地址后，即使安全人员不断发现和取缔 C2 服务器，僵尸网络也能凭借备份地址迅速恢复。据 Akamai 预计，该僵尸网络运营者已经挖到了价值 3 万美元的门罗币。此外，谷歌也宣布部分中断了一个由超过 100 万台感染恶意软件的 windows 电脑组成的大型僵尸网络，这个网络同样使用了令人担忧的区块链集成，使其难以被击败。
这种结合不仅给网络安全带来了巨大挑战，也让我们意识到，随着技术的不断发展，恶意攻击者也在不断寻找新的手段来逃避打击。未来，我们需要更加深入地研究区块链与僵尸网络的关系，探索有效的防范措施，以保障网络安全。

二、僵尸网络的威胁手段

（一）利用区块链隐藏恶意活动

僵尸网络运营者利用比特币区块链交易隐藏备份的 C2 服务器地址，这一手段极大地增加了破坏僵尸网络的难度。他们通过将少量比特币放入特定钱包中，就可以恢复受破坏的僵尸网络系统。例如，僵尸网络运营者使用 4 个 bash 脚本来发送 HTTP 请求到区块链浏览器 API，将最近的 2 个交易的聪值转化为备份 C2 IP 地址。这种方式就像使用钱包地址作为类 DNS 记录，交易值作为 A 记录类型，恶意软件的运营者能够混淆和隐藏区块链上的配置数据，使得执法机构和安全研究人员难以追踪和取缔 C2 服务器。

（二）多种攻击方式并存

除了利用区块链隐藏恶意活动，僵尸网络还采用多种攻击方式。一方面，感染主机进行挖矿，如 DDG 挖矿僵尸网络利用 OrientDB 数据库服务器漏洞，大规模攻击并挖取门罗币，到 2018 年 2 月，该僵尸网络累积挖取的门罗币价值超过 580 万元。另一方面，僵尸网络还会替换钱包地址 “偷钱”，例如 Satori 变种渗透互联网上现存其他 Claymore Miner 挖矿设备，通过攻击其 3333 管理端口，替换钱包地址，并最终攫取受害挖矿设备的算力和对应的 ETH 代币。即使安全社区接管了僵尸网络的上联控制服务器，那些已经被篡改了钱包地址的挖矿设备，仍将持续为其贡献算力和代币。这种多种攻击方式并存的情况，给网络安全带来了巨大的威胁。

三、僵尸网络接管的案例与危害

（一）知名案例分析

Glupteba 恶意软件僵尸网络在将近一年前被谷歌中断后重新活跃起来，感染了全球范围内的设备。该恶意软件主要通过恶意广告传播，将安装程序伪装成免费软件、视频和电影等。它利用比特币区块链接收更新的命令和控制服务器列表，避免被中断。僵尸网络的客户端通过枚举比特币钱包服务器检索 C2 服务器地址，以执行命令。例如，Nozomi 的调查确定了四次 Glupteba 活动中使用的 15 个比特币地址，最近一次活动开始于 2022 年 6 月，目前仍在进行中。此次活动使用了更多的比特币地址，使僵尸网络更具弹性，还增加了 TOR 隐藏服务的数量。
360 公司的 Vulcan（伏尔甘）团队发现了区块链平台 EOS 的一系列高危安全漏洞，部分漏洞可以在 EOS 节点上远程执行任意代码，直接控制和接管 EOS 上运行的所有节点。攻击者会构造并发布包含恶意代码的智能合约，EOS 超级节点执行恶意合约后触发安全漏洞，进而导致网络中所有全节点被远程控制。攻击者可以窃取 EOS 超级节点的密钥，控制虚拟货币交易，获取金融和隐私数据，甚至将节点变为僵尸网络中的一员，发动网络攻击或挖掘其他数字货币。

（二）危害不容忽视

僵尸网络接管带来的危害不容小觑。一方面，僵尸网络可以被用于挖掘加密货币，如 Glupteba 恶意软件会感染 Windows 设备挖掘加密货币，耗费大量的计算资源，影响设备性能和用户体验。另一方面，僵尸网络会窃取用户信息，包括用户凭据、cookie、关键的用户资料和隐私数据等。这些信息可能被用于非法活动，如身份盗窃、欺诈等，给用户带来严重的经济损失和隐私泄露风险。此外，僵尸网络接管还可能导致网络瘫痪，影响整个数字货币系统的稳定和安全。例如，在传统软件漏洞领域被认为相对危害较小的拒绝服务漏洞，在区块链网络中可能引发整个网络瘫痪的风暴攻击，对整个数字货币系统造成巨大冲击。

四、应对僵尸网络接管的措施

（一）治理僵尸网络降低风险

面对僵尸网络接管带来的威胁，治理僵尸网络成为降低风险的关键。一种有效的方法是跨区域打击，由于僵尸网络分布广泛，控制服务器也分散在不同地区甚至不同国家，这就需要政府间的协调合作。然而，这种跨区域的打击行动实施起来非常困难，只有实力强大、影响范围广的政府或者大公司才有可能做到。例如，在某些大规模的僵尸网络攻击事件中，需要多个国家的执法机构共同合作，协调资源，进行联合调查和打击，但这往往需要耗费大量的时间和资源。
另一种方法是利用地理位置 IP 信息降低 DDoS 攻击的可能性。僵尸网络分布于世界各个角落，在某些国家和地区尤为严重。Web 应用防火墙具有内置的地理位置 IP 信息库，可以定位具体发动攻击的 IP 地址的地理位置。在攻击发生过程中，可以使用该功能阻断来自某个发动攻击的主要国家或地区的攻击流量。据统计，大约 30%-70% 的攻击流量可以被基于地理位置的访问控制策略阻断。这样不仅可以继续为正常地区的用户提供 Web 应用服务，还可以释放系统资源和网络带宽。
此外，还可以编写僵尸程序清除工具，分发至企业局域网的其他感染主机进行清除处理，同时将 C&C 服务器域名或地址以及数据包等特征加入规则予以拦截。但这种方法只能清除掉僵尸网络的一部分，剩余的僵尸网络还是可以运营，所以网络仍然面临着被攻击的风险。

（二）区块链防范技术探索

基于区块链的 CC 服务器地址隐藏方法主要有以下几种。一是通过交易金额隐藏 CC 地址，如 Redaman 将 Pony C&C 服务器隐藏在比特币区块链中，将服务器 IP 进行转换，通过转账的方式将转换后的 CC 服务器地址隐藏在交易记录（转账金额）中。二是使用函数 OP_RETURN 隐藏 CC 地址 / 命令，BotMaster 拥有比特币的凭证，公钥被硬编码在 Bot 中来验证来自 BotMaster 的通信，同时安装指令集来对命令进行解码。三是将 CC 服务器搭建在链上，使用 Namecoin 申请 C2 域名，提高隐匿性。但这种方法也有缺点，如依赖区块链，交易信息被公开，可被收集恶意网站信息；需要配置网络设置才能访问，用户易检测到流量异常；Namecoin 服务器由志愿者维护，可靠性相对较差。
基于智能合约的恶意代码隐藏方法，如 Botract 技术，利用区块链和智能合约构建 Botnet。这种方法具有分布式、易于部署启动、可编程、扩展性高的优点，但也需要一定的部署成本。此外，安全研究员欧默・佐哈儿在以太坊网络上打造全功能的命令与控制基础设施，主机一旦感染僵尸病毒，就会自动发现其控制端，与 C&C 服务器建立并保持通信。但这种方法运营成本较高，用户发送到区块链上的每一个字节都要自己掏钱，僵尸网络运营商不希望永久记录其犯罪行为。
 

深入了解 DDoS 攻击的四个组成部分(图文)

来源：mozhe2024-10-22

DDoS 攻击，即分布式拒绝服务攻击，是一种极具破坏力的网络攻击方式。攻击者利用多个计算机或路由器发起攻击，使目标服务器无法正常处理请求。攻击者首先控制多台计算机或路由器，这些被控制的计算机称为 “肉机” 或 “傀儡机”。
DDoS 攻击一般由三部分组成：攻击者、主控端和代理端。攻击者是整个攻击过程的指挥者，通过攻击主控端向主控端发送攻击命令。主控端是攻击者非法侵入并控制的一些主机，这些主机控制着大量的代理主机。主控端上安装了特定的程序，可以接受攻击者发送的指令，并将这些命令发送到代理主机上。代理端也是攻击者入侵并控制的一批主机，它们上面运行着攻击程序，并接受和运行主控端发来的命令。代理端主机是攻击的执行者，直接向受害者主机发送攻击。
例如，2017 年 9 月针对 Google 服务的攻击，攻击规模达到了 2.54 Tbps，对 Google Cloud 的可用性产生了严重影响。2018 年 2 月，GitHub 遭受了一次规模巨大的 DDoS 攻击，攻击规模高达 1.3 Tbps。攻击者利用了 memcached 数据库缓存系统的放大效应，使攻击规模放大了约 5 万倍。2016 年，Dyn 作为主要的 DNS 提供商，遭受了一次大规模的 DDoS 攻击。攻击者利用 Mirai 恶意软件和受感染的物联网设备，构建了一个庞大的僵尸网络来发动攻击。
DDoS 攻击的特点是利用多台不同的计算机或设备向目标发起攻击，以占用更多的服务资源并使得合法用户无法得到服务的响应。由于攻击规模更大、攻击来源更加难以追踪，相对于单一的 DoS 攻击，DDoS 攻击更具破坏力和威胁性。攻击者可以通过控制傀儡机的数量来控制攻击的规模，使用更多的傀儡机将导致更大规模的攻击。DDoS 攻击的攻击主体不集中在一个地点，而是分布在不同地点，攻击主体可以分布在地区、国家甚至全球各个角落。这种攻击方式具有隐蔽性，傀儡机不直接与攻击者的主机直接交互，使得攻击者更难被追踪和识别。与其他攻击方式相比，DDoS 攻击的危害更为严重，除了使目标网络的服务能力严重下降外，还会占用大量网络带宽，导致网络拥塞，威胁整个网络的使用和安全。在某些情况下，甚至可能引发信息基础设施的瘫痪，导致社会动荡。对军事网络的 DDoS 攻击甚至可能使军队的网络信息系统瞬间瘫痪，其威力可与真正的导弹相媲美。

二、四个组成部分详解

（一）攻击者

攻击者是发起 DDoS 攻击的源头，可控制主控端和代理端，在攻击过程中会隐藏自己。攻击者的目的多种多样，可能是出于经济勒索、竞争对手打压、政治宣传、网络犯罪、网络恐怖主义或报复行为等。据统计，每年因 DDoS 攻击导致的经济损失高达数十亿美元。
攻击者在整个攻击过程中扮演着关键角色，他们通常具备较高的技术水平，能够利用各种手段隐藏自己的身份和行踪，以避免被追踪和追究法律责任。他们会选择合适的攻击目标，可能是企业网站、金融机构、政府部门等，这些目标通常具有较高的价值或影响力。

（二）主控端

用于控制攻击，只发布命令不参与实际攻击，将攻击者的命令传达给代理端。主控端就像是攻击行动的指挥官，它接收攻击者的指令，并将这些指令传达给代理端。主控端通常会隐藏自己的 IP 地址，以避免被发现。
主控端的存在使得攻击者可以在不暴露自己的情况下控制整个攻击过程。它可以同时控制多个代理端，协调它们的攻击行动，以达到最大的攻击效果。例如，在一次大规模的 DDoS 攻击中，主控端可以控制数千个代理端同时向目标发起攻击，使目标服务器瞬间瘫痪。

（三）代理端

实际发起攻击，向目标主机发送大量伪装的服务请求数据包，消耗目标主机资源。代理端是 DDoS 攻击的执行者，它们通常是被攻击者控制的计算机或设备。代理端会向目标主机发送大量的服务请求数据包，这些数据包经过伪装，无法识别其来源。
代理端的数量可以非常庞大，有时甚至可以达到数万台。这些代理端可以分布在不同的地理位置，使得攻击更加难以防范。据报道，一些大规模的 DDoS 攻击中，代理端的数量可以达到数十万台，给目标服务器带来巨大的压力。

（四）攻击目标

被攻击的对象，因大量服务请求而无法为用户提供正常服务，甚至导致系统崩溃。攻击目标可以是各种网络服务，如网站、服务器、数据库等。一旦成为攻击目标，它们将面临大量的服务请求，这些请求会消耗目标主机的资源，使其无法为正常用户提供服务。
例如，一个在线购物网站如果遭受 DDoS 攻击，可能会导致用户无法访问网站、无法下单购买商品，给企业带来巨大的经济损失。在一些严重的情况下，攻击目标可能会因为系统崩溃而丢失重要的数据，给企业和用户带来不可挽回的损失。

三、DDoS 攻击的影响与防范

（一）DDoS 攻击的影响

1. 服务中断与业务损失：DDoS 攻击会导致目标服务器无法正常处理合法用户的请求，使得服务中断。对于企业来说，这可能意味着在线业务的停滞，如电商平台无法接受订单、金融机构无法进行交易等。据统计，一次大规模的 DDoS 攻击可能导致企业每分钟损失数千甚至数万美元。以某电商平台为例，在遭受 DDoS 攻击时，网站无法正常访问甚至出现短暂的关闭，直接导致合法用户无法下单购买商品，损失巨大。

2. 数据泄露风险：在 DDoS 攻击过程中，攻击者可能会趁机窃取目标的核心数据。因为攻击会使服务器资源被大量占用，系统安全性降低，为黑客入侵提供了机会。例如，一些金融机构在遭受 DDoS 攻击后，客户的敏感信息如账号、密码等可能会被窃取，给客户带来严重的财产损失。

3. 品牌形象受损：频繁的 DDoS 攻击会让用户对目标企业的信任度降低，影响品牌形象。如果用户在访问某个网站时经常遇到连接断开、访问卡顿等问题，他们可能会转向竞争对手的平台。例如，某在线游戏公司遭受 DDoS 攻击后，游戏玩家数量锐减，玩家对该公司的信任度下降，品牌形象受到严重损害。

（二）DDoS 攻击的防范措施

1. 设计全面的网络安全体系：企业应关注所使用的安全产品和网络设备，建立多层次的安全防护体系。这包括防火墙、入侵检测系统、加密技术等。例如，使用具有 DDoS 防御功能的防火墙，可以在网络边界过滤恶意流量，保护内部网络的安全。

2. 安装专业防火墙：专业防火墙可以对进出的数据包进行过滤，检查边界安全规则，确保输出数据包被正确限制。针对 DDoS 攻击和黑客入侵而设计的专业级防火墙通过对异常流量的清洗过滤，可对抗 SYN/ACK 攻击、TCP 全连接攻击、刷脚本攻击等流量型 DDoS 攻击。

3. 优化路由和网络结构：对路由器进行合理设置，减少被攻击的可能性。通过优化网络结构，可以分散流量，提高网络的抗攻击能力。例如，采用负载均衡技术，将流量分配到多个服务器上，避免单个服务器成为攻击目标。

4. 限制对外提供服务的主机：对所有在互联网上提供公共服务的主机进行限制，关闭不必要的端口和服务，减少攻击面。例如，只开放必要的服务端口，如网站服务器只开放 80 端口，将其他所有端口关闭或在防火墙上做阻止策略。

5. 购买防 DDoS 攻击服务器：企业可以选择购买专业的防 DDoS 攻击服务器，如阿里云的高防服务器。这些服务器具有强大的抗攻击能力，可以有效地抵御 DDoS 攻击。同时，选择一家稳定靠谱的阿里云经销商公司，通过经销商公司关联账号，充值余额并赠送代金券，可以更加划算地购买防 DDoS 攻击服务器。

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。