1. 一般僵尸网络及其攻击原理简述

僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。

攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。僵尸网络的最主要的特点，就是可以一对多地执行相同的恶意行为，比如可以同时对某目标网站进行分布式拒绝服务（DDos）攻击，同时发送大量的垃圾邮件等，而正是这种一对多的控制关系，使得攻击者能够以极低的代价高效地控制大量的资源为其服务，也因此，僵尸网络成为网络中最猖獗的攻击方式之一。僵尸网络主要通过一下几种方式进行传播:

1) 各种泄露的基础组件，操作系统漏洞。其原理是黑客通过攻击主机所存在的系统漏洞获得操作系统的访问权，并在Shellcode 执行僵尸程序时，将被攻击的计算机感染成为僵尸主机。黑客还会将僵尸程序和蠕虫进行结合，从而使僵尸程序能够进行自动传播。

2) 社工传播。黑客常常会在邮件/通信软件附件中携带僵尸程序或者在邮件内容中包含下载僵尸程序的链接，并通过发送大量邮件传播僵尸程序，利用一系列社会工程学的技巧诱导邮件接收者执行附件或点击链接，有时还会利用邮件客户端的漏洞自动执行僵尸程序，使得邮件接收者的主机

3) 恶意网站脚本。黑客在提供Web服务的网站HTML页面上绑定恶意脚本，当访问者访问这些网站时就会执行恶意脚本，将僵尸程序下载到主机上并被自动执行，使得访问者的主机变成僵尸主机。

2. 一般僵尸网络攻击快速研判方法/标准

攻击者往往是直接对目标主机进行漏洞利用尝试，如果利用成功，该主机即失陷。而且往往攻击特征明显，一般不需要业务确认是否是正常业务。所以我们的研判分作以下几步。

1) 漏洞利用研判

因为对云主机的攻击，首先一般都是进行WEB攻击，恶意攻击者一般会利用公开的漏洞进行全网式的扫描攻击，一般可以直接通过网络发包的payload来确认本次攻击是否是一次僵尸网络攻击。

a) 对安全运营来说，最主要的运营平台是SOC平台。在SOC平台中，我们可以看到SOC告警日志中，攻击者向攻击目标发送的漏洞URL中包含已暴露的漏洞特征，但僵尸网络利用的漏洞各不相同，一般没有通用的漏洞特征，SOC平台中的告警也只会显示标签是远程漏洞利用，远程命令执行等。如果怀疑是僵尸网络攻击，可以将部分攻击特征(payload关键字，拉取的病毒文件)进行匹配（搜索引擎，威胁情报查询）来确认本次攻击是一次僵网攻击。

b) 在SOC平台中，我们可以看到攻击者一般在进行漏洞利用后，会进行命令执行，该部分会有一些通用特征，可在SOC平台的请求体标签中看到，如执行命令”wget”,”chmod”,”cmd”等，这部分在SOC平台中可以看到相关日志。而且这时一般会从服务器拉取需要执行的攻击者样本。可以对该IP及拉取的样本文件进行威胁情报分析。

2) 攻击是否成功研判

一般而言，如果攻击目标被WAF， IPS保护，这个时候的漏洞利用就会被拦截，往往不会有后续。但是有时候，可能仍需要确认攻击是否成功。主要可以通过以下几点进行判断。

a) 在初始的网络攻击阶段，我们可以在SOC平台中，通过SOC平台日志告警中的回包（响应体字段）判断攻击情况，如返回码为400的时候，表示该请求未被识别，这种情况一般代表攻击利用失败。

b) 如果不能只通过告警判断该攻击是否成功。在SOC平台中，我们通常能够看到攻击者使用的攻击payload的漏洞标签，该漏洞标签会提示本次攻击所使用的漏洞是哪一个软件，中间件，或者系统，如果是软件或者中间件，可以请业务确认系统是否有使用该软件或者中间件，该组件版本是否已修复该漏洞；如果是系统，也可以请业务确认该系统版本是否包含漏洞。如果确认确实存在该漏洞，应当由业务或安全员来自查该攻击是否成功。