粉红色僵尸网络恶意软件已感染超过 160 万台设备

据一段时间以来一直在分析恶意网络的安全研究人员称，名为“Pink”的僵尸网络感染了超过 160 万台设备。

迄今为止，Pink 已被用来发起 100 多次 DDoS 攻击，使得它是最大的僵尸网络那奇虎360的Netlab安全团队已经在野外观察了大约六年。

过去 18 个月中，随着黑客和僵尸网络的兴起，来自黑客和僵尸网络的威胁不断加剧。混合工作使公司更难保护其基础设施的所有弱点。我们解释了这个僵尸网络正在做什么，以及如何防范它。

粉红僵尸网络在做什么？

该僵尸网络已被安全研究人员命名为“Pink”，因为 2019 年底收集的样本中有许多以 Pink 开头的函数名称。

据估计，全球已感染约 160 万人，其中绝大多数 (96%) 位于中国。该数字表示现在成为僵尸网络节点的设备数量，而不是受 Pink 恶意行为影响的设备数量。研究人员观察到 10 月底仍有超过 103,000 个节点仍然处于活动状态。

研究人员观察到，截至 2021 年 10 月末，仍有超过 103,000 个节点仍处于活动状态。

Pink 僵尸网络主要专注于策划 DDoS（分布式拒绝服务）攻击。 DDoS 攻击通常用于以无法管理的流量（这也是虚假流量）淹没网络、服务器或组织，导致其崩溃或对真正的访问者或用户无法使用。

Pink 还一直在 HTTPS 流量中插入广告。 Netlab，一个一直在追踪 Pink 的安全研究团队，描述了这个过程为“HTTP消息注入”，声明“在受害设备上，当流量类型为http时，将注入广告js脚本”。

Pink 一直在侵入中国的计算机，向其网络添加设备，利用特定公司生产的宽带设备网络网关中的零日漏洞。

Netlab 在一篇博客文章中进一步解释说“Pink的目标主要是基于mips的光纤路由器，并且具有非常强大和健壮的架构，它使用第三方服务、P2P和中央C2的组合来实现其“控制通信的机器人”。

这种组合使得 Pink 特别容易被攻击，当设备供应商试图解决这个问题时，僵尸网络控制器已经发布了路由器的各种固件更新以维持其控制。其他命令允许 Pink 下载文件、扫描设备以及发起 DDoS 攻击。

僵尸主机用于与网络通信的所有 Pink 传输通道均已完全加密，因此很难阻止设备被纳入网络。

“僵尸网络”是“机器人网络”的缩写，其中包括大量受感染的设备（通常被称为“僵尸”），这些设备接受黑客的命令。选择这些设备通常是因为它们具有某种可利用的网关或缺乏安全措施。

感染后，僵尸网络节点被用来将恶意代码传播到其他设备，从而扩大网络。

使用僵尸网络是因为单个参与者使用一两个设备就已经完成了他们的工作，并且僵尸网络允许您发起更大规模的攻击，例如 DDoS 攻击（稍后详细介绍），这需要大量设备来造成流量过载。

黑客（在这种情况下称为僵尸主机）通常遵循客户端-服务器僵尸网络模型，其中涉及僵尸主机从中央“命令和控制”服务器控制网络。这使得攻击更容易策划，但也更容易检测。

另一种模型——对等——允许网络中的每个节点作为命令模块和客户端节点运行。关闭部分点对点僵尸网络不一定会阻止甚至妨碍僵尸主机。有趣的是，Pink 被发现使用点对点网络和中央指挥中心进行通信。

发现您是僵尸网络的一部分并不容易 - 如果您的设备已被入侵，通常不会很明显。连接缓慢且不稳定，以及下载更新时遇到困难也可能是一个迹象。

您能做的最好的事情就是下载可靠的防病毒软件，扫描您的设备，找到僵尸网络恶意软件并将其删除。

如果您发现自己是机器人网络的一部分，更换明显可破解的路由器并切换 DNS 提供商肯定会有所帮助。但是，您能做的最好的事情是下载，特别是如果您是一家处理敏感信息的企业可靠的防病毒软件，扫描您的设备，找到僵尸网络恶意软件并将其删除。

请记住，系统性能不佳可能还有另一个原因，此外，并非所有僵尸网络都会以明显的方式影响系统性能。但是，有一些免费网站可以扫描您的设备并确定您是否是机器人网络的一部分，例如卡巴斯基的 Simda 僵尸网络 IP 扫描器。

当然，安装防病毒软件将帮助您防止僵尸网络攻击，并在您的计算机已经成为僵尸节点时检测僵尸网络攻击。为了给自己最好的机会避免这种情况，请远离需要解压程序才能访问的压缩文件。避免使用没有可识别名称的文件，并记住文件仍然可以是可执行文件，而不以“.exe”结尾。

您应该非常小心从种子网站下载的内容，并且只能直接从设计和生产应用程序的公司而不是第三方网站下载应用程序。

随着僵尸网络的兴起，另一项值得投资的技术是 VPN。基于这个事实VPN 隐藏您的 IP 地址，它们使您更难成为僵尸网络尝试攻击的受害者。

Pink 的庞大规模以及安全研究人员的反应非常令人担忧，因此请确保您扩展您的知识和安全结构，否则您将面临成为僵尸节点的风险。