荷蘭當局近期宣布成功瓦解一個規模巨大的 Botnet 殭屍網路。這個網路將超過 1700 萬台設備納入控制,涵蓋了電腦、平板、智慧型手機以及各種 IoT 物聯網設備。此次行動由荷蘭警方與國家網路安全中心 NCSC 協同執行,共沒收並關閉了位於荷蘭境內、作為後端基礎設施的 200 多台伺服器。
理解 Botnet 的運作邏輯
對於剛接觸資安的工程師來說,首先要理解什麼是 Botnet。Botnet 即殭屍網路,是由大量被植入惡意軟體(Malware)並受遠端控制的設備所組成的網路。每一台被控制的設備被稱為 Bot 或殭屍主機。攻擊者透過一個中央控制伺服器(C&C Server)發送指令,讓數百萬台設備同時執行特定任務,例如發動 DDoS 分散式阻斷服務攻擊,或將這些設備作為跳板來隱藏真實攻擊來源。
住宅代理的灰色地帶與 Proxyware
本次事件中,被指控與此網路相關的服務 Asocks 提供的是 Residential Proxies 住宅代理。在正常技術情境中,住宅代理是指使用真實家用網路供應商(ISP)分配的 IP 地址來傳輸流量。這對於需要繞過地理限制、進行市場分析或保護隱私的使用者來說是有用的。
然而,這裡存在一個巨大的灰色地帶。部分不法業者會開發一種稱為 Proxyware 的代理軟體,誘騙使用者安裝(例如偽裝成賺錢 App 或系統工具)。一旦使用者安裝,該設備就會在後台被轉化為代理伺服器。這意味著攻擊者可以支付少量費用,租用這些真實使用者的 IP 來發送惡意流量。因為流量來自真實的家庭用戶 IP,而非已知的資料中心 IP,這使得傳統的防火牆或入侵偵測系統(IDS)很難將其識別為攻擊流量,極大地提高了攻擊的成功率。
設備如何被納入殭屍網路
設備被控制的過程通常遵循一個簡單的鏈條:首先,攻擊者利用系統漏洞、弱密碼或社交工程手段獲取設備訪問權限;接著,在設備上安裝惡意軟體以建立遠端控制通道;最後,將設備註冊到殭屍網路的後端伺服器中。對於 IoT 設備而言,由於許多產品出廠時使用預設密碼且缺乏更新機制,更容易成為這類網路的目標。
實務上的防禦建議
面對這類大規模的殭屍網路威脅,工程師與使用者應採取以下防禦措施。首先是基礎的系統維護,確保作業系統與韌體保持最新版本,以修補已知的漏洞。其次是強化認證,禁用所有預設密碼,並在所有支援的服務中開啟二階段驗證(2FA)。
在網路層面,應確保邊緣設備如路由器(Router)的安全性,使用 WPA2 或 WPA3 等強加密協議。最後,最關鍵的行為習慣是僅從可信的官方來源安裝應用程式,避免安裝來源不明的第三方工具,以防止設備在不知不覺中被轉化為 Proxyware 的一部分。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。