近日有调查显示，僵尸网络的感染率预计将继续增长，且僵尸网络已成为攻击互联网的最新祸患，这也是对IT人员的最新的挑战。因为，如今每一个僵尸网络都似乎在用最高级的技术并且使用高质量的软件流程，挑衅着当前入侵检测系统(IPS)的防御策略。

　　因此，我们在这篇文章中先重点介绍一下僵尸网络和隐蔽软件的技术状况及其产业发展情况。

　　什么是僵尸网络

　　一个僵尸网络是一个被恶意软件控制的分布式计算机或者系统的集合。因此，这些计算机也经常被称作僵尸电脑。僵尸电脑由一个僵尸牧人(bot-herder)通过一台或者多台指挥与控制服务器控制或者指挥。最常见的情况是僵尸牧人使用指挥与控制服务器控制僵尸电脑，通过IRC(互联网中继聊天)或者P2P等网络通讯实施控制。僵尸电脑软件一般是通过恶意软件、蠕虫、木马程序或者其它后门渠道安装的。

　　各个机构报告的僵尸电脑规模与增长的统计数据有很大差别。据安全公司赛门铁克的“Threat Horizon Report”(威胁视野报告)称，每天能够检测到5.5万个新的僵尸网络节点。而《今日美国》报纸2008年的一篇报告称，平均每天连接到互联网的8亿台电脑中有40%的电脑是用来发送垃圾邮件、病毒和窃取敏感个人数据的僵尸电脑。《今日美国》还报道称，2008年的僵尸网络威胁比2007年增加了10 倍。许多消息来源预测称，最著名的僵尸网络Storm、Kraken和Conficker已经感染了大量的计算机。这些数字包括Storm(风暴)感染了 8.5万台计算机，Kraken感染了49.5万台计算机，Conficker感染了900万台计算机。

　　地下经济与僵尸网络的发展

　　同任何由金钱驱动的市场一样，僵尸网络开发者就像经营一个合法的生意那样工作：他们利用合作、贸易和开发流程以及质量等好处。最近，僵尸网络已经开始使用生命周期管理工具、同行审查、面向对象和模块化等通用的软件质量做法。僵尸网络开发者正在销售其软件和感染载体，提供说明书和技术支持，并且收集用户的反馈意见和要求。

　　在僵尸网络团体中，一致的经济目标是推动技术创新、合作和风险教育。在线易货贸易和市场网站已经开始为这种地下经济团体服务，向僵尸牧人提供更好的易货贸易和交易方式、在线技术支持以及租借和租赁等服务。这种合作已经催生了一个非常成熟的经济。这里可以销售和购买僵尸网络节点或者僵尸网络群。僵尸牧人在对一个实体展开攻击的时候会在这里寻求合作。僵尸网络可以被租借用于发送垃圾邮件。窃取的身份证和账户可以在这个地下市场的参与者之间交换和出售。

　　僵尸网络的生命周期

　　僵尸网络的生命周期一般包括四个阶段：传播、感染、指挥与控制和攻击。

　　传播阶段。在许多僵尸网络的传播阶段，僵尸电脑程序到处传播和感染系统。僵尸电脑能够通过各种手段传播，如垃圾邮件、网络蠕虫、以及在用户不知情的情况下通过网络下载恶意软件。由于传播阶段的目标主要是感染系统，僵尸牧人或者采取引诱用户安装恶意软件负载，或者通过应用程序或浏览器利用用户的系统中的安全漏洞传播恶意软件负载。

　　感染阶段。一旦安装到系统，这个恶意软件负载就使用各种技术感染机器和隐藏自己。僵尸电脑感染能力的进步包括隐藏感染的技术和通过攻击杀毒工具和安全服务延长感染寿命的技术等。杀毒工具和安全服务一般能够发现和清除这种感染。僵尸网络使用当前病毒使用的许多标准的恶意软件技术。多形性和 “rootkitting”是两种最常用的技术。

　　·通过多形性，恶意软件每一次进行新的感染时都会改变代码，从而使杀毒软件产品很难检测到它。而且，僵尸网络的开发者目前还使用软件开发人员用来防止软件盗版和反向工程的增强代码的技术。这些技术包括代码迷惑、加密和进一步隐藏恶意代码真实性质的编码以及让杀毒软件厂商更难分析的编码。许多迹象表明，恶意软件和僵尸网络开发者正在开始研究高级的“rootkitting”技术，以便更深地隐藏恶意软件。

　　·通过利用“rootkitting”技术，也就是隐蔽地安装恶意软件的技术，每一次系统启动的时候这个名为“rootkit”的恶意软件都会启动。rootkit是很难发现的，因为这种恶意软件在电脑的操作系完全启动之前就启动了。rootkit技术的进步包括超劫持和基于虚拟化的 rootkit以及发现和利用新目标以便注入固件和BIOS等代码。

　　虚拟机监视器(VMM)或者在一个操作系统下面运行的管理程序是僵尸网络和恶意软开发者控制计算机系统的一个非常有用的手段。超劫持包括安装一个能够完全控制这个系统的恶意管理程序。普通的安全措施很难对付这种管理程序，因为操作系统不知道这个机器已经被攻破了，杀毒软件和本地防火墙也不能发现它们。