物联网僵尸网络如何通过DDoS攻击并感染设备

黑客使用IoT僵尸网络来针对企业组织，IT管理员必须知道他们如何感染设备并执行DDoS攻击以作好准备。

迅速增长的物联网设备数量进一步为不良行为者提供了众多的端点，他们可以选择加入庞大的机器人团队中进行PK。黑客已经使用物联网僵尸网络发起破坏性的DDoS攻击。

[[330764]]

例如，黑客使用Mirai病毒感染了约600000台IoT设备，然后在2016年美国东部大部分地区发起了DDoS攻击，使互联网瘫痪。当时，IoT设备数量比现在减少了数十亿。

根据Statista Research的题为“ 2015年至2025年全球已安装的物联网(IoT)有源设备连接基础”的报告，已连接设备的数量已从2016年的176.8亿猛增到2020年的估计307.3亿。预计到2025年，这一数字将超过750亿。随着设备数量的增加，利用物联网僵尸网络进行攻击的潜在潜力似乎正在增加。

Bitdefender的研究人员于2020年4月宣布，他们确定了一个新的IoT僵尸网络，他们将其命名为dark_nexus，并表示其功能已经超越了其他已知的僵尸网络。研究人员还表示，dark_nexus僵尸网络似乎是由一位已知的僵尸网络作者开发的，该作者过去曾涉嫌出售DDoS服务。

僵尸网络命令和控制架构

黑客如何感染IoT设备以创建僵尸网络

僵尸网络的发展通常遵循既定策略。它始于一个坏的演员，一个人或一群黑客，他们共同为犯罪集团或一个民族国家工作，他们创建程序来感染设备。该恶意软件可以运行在可以执行代码的任何类型的设备上，但是黑客也可以创建它来专门针对IoT设备。

恶意行为者可以使用不同的策略将恶意软件传播到设备上。网络钓鱼诈骗是常见的策略，但恶意软件也可以被设计为在IoT设备上寻找不受保护的网络端口或其他类似的特定漏洞。一旦设计完成，黑客就会使用该代码感染尽可能多的设备，从而将这一系列被劫持的设备变成一个僵尸网络。

管理咨询公司Swingtide的高级顾问Christopher McElroy说：“这些机器并没有什么问题，只是运行它们的代码。”

他说，尽管媒体报道了恶意物联网僵尸网络攻击，但许多组织仍使用类似的技术(例如分布式计算系统)来处理某些业务功能。例如，零售商可以使用该技术监视给定项目的最低报价，或者IT部门可以部署该技术以监视设备性能。但是，有问题的僵尸网络已被设备上运行的恶意代码感染，因此黑客可以控制设备以发起犯罪活动，例如DDoS攻击。

使用恶意软件代码进行物联网僵尸网络DDoS攻击

不良行为者可以在互联网上找到模块化的恶意代码，其中许多都是免费的。卡内基·梅隆大学亨氏信息系统与公共政策学院的兼职教授，退休的美国空军旅长格雷戈里·托希尔(Gregory Touhill)说，这些模块是为某些任务而设计的。设计用于检测易受攻击的机器，包括IoT设备和工业控件。还有一个模块来伪装代码，以便它可以感染目标而不被检测到，并且该模块允许通信回本垒。

“当恶意软件进入设备时，根据代码的编写方式，它有时会像ET一样回电话，它调用命令和控制并告诉命令它在哪里。该消息发送到命令和控制服务器，大多数僵尸网络都有很多，而且它们本身通常是被破坏的设备，” Touhill说。

大多数僵尸网络代码都尝试到达主要的命令和控制节点。如果无法到达该节点，则代码将尝试到达辅助节点或第三级节点。一旦连接，它将停止。它不能保持恒定的接触。

Orchestrators被称为使用僵尸网络发动攻击的不良行为者，他们也使用一个模块来交付有效负载，可用于发起实际攻击的代码。一旦安装在设备上，该代码会将信息发送回系统，并说“我在这里，这是信息”。该信息收集在主数据库中。

McElroy说：“黑客正在对1000或100万甚至更多的设备执行相同的操作。” “然后，代码就坐在那儿，等待主服务器发出的指令;它只是等待编排者发出指令。”

物联网僵尸网络可以阻止垃圾邮件或其他类型的错误信息，但是它们最常用于发起DDoS攻击，在这种攻击中，协调器命令僵尸网络向目标泛滥流量以关闭其系统。

McElroy说，攻击者可以出于自己的原因和自己的利益计划和执行攻击，或者可以将僵尸网络清单的使用卖给其他人，并从其“客户端”那里获得指令，以针对所需的攻击类型分发指令。协调器将命令存储在服务器上。当机器人获得设置命令后，它们就会启动。

Touhill说：“随着“感染”的传播，绝大多数僵尸网络都处于等待状态，然后坏人决定发起或执行攻击，然后所有僵尸网络都进入攻击模式并疯狂传播。”

当然，组织部署了网络安全防御层来阻止恶意软件进入设备，但是，正如专家指出的那样，这些层在防止攻击方面并不总是成功的。

一旦僵尸网络处于活动状态，协调员便要求付款以停止僵尸网络活动，金钱收益是攻击的最常见动机。