扩展阅读：僵尸网络横行，缘何“豌豆射手”难觅？资料文件与下载

此前,国家互联网应急中心发布报告称,2018年我国基础电信企业、域名服务机构等成功关闭了772个规模较大的僵尸网络。同时,网络安全公司ESET前不久发布研究报告称,一个名为“Stantinko”的僵尸网络正在操控全球数以万计的计算机挖掘加密货币“门罗币”。这一日益猖獗的僵尸网络究竟是何方“神圣”?它的攻击能力如何?在游戏“植物大战僵尸”中,豌豆射手是抵御僵尸进攻的主力。那么,目前在网络安全领域是否有“豌豆射手”呢?

针对上述问题，科技日报记者采访了业内相关专家。

黑客可随意驱使被感染设备

在恐怖电影中,我们经常能看到这样的场景:一群僵尸疯狂地追逐、攻击人类,却在“赶尸人”面前非常老实、听话。

“僵尸程序就是如此,被其感染的硬件设备,就如同僵尸群一样可以被随意驱使、控制,成为被人利用的工具。”北京理工大学计算机网络及对抗技术研究所所长闫怀志对科技日报记者说,僵尸程序是指恶意控制硬件设备功能的一种程序代码,它能够自动执行预定义的命令。大量主机感染僵尸程序后,在僵尸程序控制者和众多被感染主机之间会形成一对多的被控制网络,这就是僵尸网络。

僵尸程序是恶意代码的重要形式之一。所谓恶意代码，通常是指故意编制或设置的、经由存储介质和网络传播、安装或运行于信息系统之中、在信息系统所有者不知情的情况下对网络或系统会产生现实威胁或潜在威胁的代码，这些代码通过各种破坏手段达到目标信息系统信息泄露、资源滥用、系统的完整性及可用性遭到破坏等目的。信息系统存在的脆弱性可为恶意或非故意的操作带来安全隐患，而恶意代码不仅自身会带来安全危害，更能够借助信息系统的脆弱性来实现传播和破坏，使得脆弱性或者漏洞成为恶意代码可以直接或间接利用的风险要素，显著增大了信息系统的安全隐患。

僵尸程序（Robot，Bot）有时直译为机器人程序，是指现恶意控制功能的程序代码，它能够自动执行预定义的功能、可以被预定义的命令控制。其实Robot程序本身不一定是恶意的，但多以恶意为目的来使用。植入了恶意Bot或者其他可以恶意远程控制程序的计算机称为僵尸计算机（Zombie）。当前，大多数Bot使用互联网中继聊天（Internet Relay Chat，IRC）协议来实现通信和控制，因此称为IRC Bot。大量主机感染僵尸程序后，在控制者和众多被感染主机之间形成一对多的被控制网络，称为僵尸网络（Botnet）。被感染的设备如同僵尸群一样被驱使和管控，成为被人利用的工具，僵尸网络由此得名。僵尸网络中实现各与各IRC Bot连接的服务器称为命令和控制服务器（Command &Control Server，C&CS），控制者就是通过该服务器发送命令来实现的控制。通常，IRC Bot连接预定义的命令和控制服务器，加入到预定义通道（Channel）当中，接收经过认证的控制者的命令，从而执行相应的控制操作。事实上，僵尸网络是很多间谍软件、广告软件、垃圾邮件的幕后罪魁祸首，而它却不如间谍软件、广告软件、垃圾邮件那样备受表面关注，因此具有更强的隐蔽性和危害性。   需要指出的是，在实际网络环境中，很多僵尸网络程序兼具了上述多种恶意代码的特征，体现了恶意代码的组合化、复杂化的发展趋势，为僵尸网络的检测和防护带来了极大难题。

从发展历程来看，僵尸网络起源于自动智能程序的推广应用。自动智能程序的出现是为了解决互联网中继聊天中的重复出现的服务，比如管理配置、事件记录等。1993年，在IRC聊天网络中首次出现了机器人程序工具Eggdrop，用于帮助用户方便快捷地使用IRC聊天网络。Eggdrop的本意是用于方便服务，但不幸的是，黑客们敏锐地嗅到了其中的可乘之机，在这种工具中夹带了恶意“私货”（即恶意攻击载荷），通过工具的分发应用来大肆传播攻击载荷，实现了对大量主机的恶意控制，从而达到了恶意攻击的目标。

上世纪90年代末，分布式拒绝服务攻击（DDoS）渐成气候，TFN2K和Trinoo等DDoS工具也如雨后春笋一般涌现出来，使得网络空间的大量主机成为其恶意控制的傀儡主机，不自觉地成为了DDoS的“帮凶”工具。从技术角度来看，这些主机已然具备了僵尸网络的雏形。

1999 年，著名的全球黑客大会（DEFCON）发布了SubSeven 2.1 版，该程序使用IRC 协议构建了攻击者对僵尸主机的控制信道，被认为是首个真正意义上的僵尸程序。自此，基于IRC协议的僵尸程序更如雨后春笋一般涌现出来，使得基于该协议的僵尸网络成为技术主流。随后，僵尸程序又使用蠕虫病毒加持主动传播，使得大规模僵尸程序的快速构建成为可能。后来，僵尸网络又进一步采用P2P结构来构建控制信道，此举使得恶意僵尸程序的传播以及僵尸网络的形成，甚至达到了易如反掌的地步。

黑客之所以选择僵尸网络来实施攻击，原因有四。一是能够结合蠕虫技术实现僵尸程序的快速主动传播和僵尸网络的迅速构成；二是如采用P2P结构控制模式可具有复杂多变的特点，难以防御；三是，僵尸网络控制主机体量巨大、僵尸网络规模庞大、僵尸攻击功能繁杂，隐蔽性强，难以检测；四是，如此大规模的被控制网络，攻击目标清晰、攻击“炮弹”十足，一旦发起攻击，其后果和危害均十分严重。