殭屍網路(Botnet)是由大量遭入侵裝置組成的惡意網路。這些裝置可能是電腦、手機、伺服器、路由器、監視器、DVR、NAS,或其他物聯網設備。使用者通常不會立刻察覺裝置已被感染,但攻擊者可以遠端下達指令,讓這些「殭屍裝置」一起執行攻擊、寄送垃圾郵件、竊取資料,甚至成為下一波攻擊的跳板。
對企業來說,殭屍網路不只是資安名詞,而是會直接影響網站穩定、雲端服務、品牌信任與營運可用性的實際風險。尤其當企業越來越依賴網站、API、雲端主機與連網設備時,只要其中一個環節缺乏管理,就可能讓攻擊者有機會利用。
殭屍網路是什麼?
Botnet 由 bot 與 network 組成,意思是被自動化程式控制的裝置網路。這些遭感染的裝置會被攻擊者遠端操控,表面上仍可正常使用,但背後可能正在執行惡意任務。
操控殭屍網路的人常被稱為 bot herder,會透過指揮與控制伺服器(Command and Control,簡稱 C2 或 C&C)管理受感染裝置。當攻擊者下達指令後,分散在不同地區、不同網路環境中的殭屍裝置,就可能同時執行特定行動。
殭屍網路的危險在於規模。當被控制的裝置數量越多,攻擊者可動用的頻寬、運算能力與 IP 來源也越多。這使得攻擊流量看起來像來自全球各地的正常連線,增加偵測與阻擋的難度,也讓單一防火牆或傳統防護設備更難完全應對。
殭屍網路如何形成與運作?
殭屍網路通常不是一次形成,而是攻擊者透過大量掃描、漏洞利用與惡意程式散播,逐步累積受感染裝置。當裝置被感染後,就會被納入攻擊者可控制的網路中。
感染裝置
攻擊者通常會利用弱密碼、預設帳密、未修補漏洞、惡意附件、釣魚連結、不明來源 App,或暴露在網際網路上的管理介面感染裝置。許多裝置在出廠後仍使用預設帳號密碼,或長期沒有更新韌體,這些都會讓攻擊者更容易入侵。
近年物聯網設備常成為殭屍網路的目標,原因是許多設備數量龐大、分散在不同地點,卻缺乏集中管理。例如監視器、路由器、DVR、智慧設備或工控周邊設備,可能一開始只是為了方便遠端管理而開放連線,但若沒有搭配安全設定,就容易成為攻擊者掃描與入侵的對象。
企業環境中的雲端主機、測試機、老舊系統與容器服務也不能忽視。若主機使用弱密碼、未限制登入來源,或應用程式存在已知漏洞,都可能被植入惡意程式,成為殭屍網路的一部分。
接收指令並發動攻擊
裝置被感染後,通常會連回 C2 伺服器,等待攻擊者下達指令。有些殭屍網路則會使用 P2P 架構,讓受感染裝置彼此傳遞指令,以降低單一 C2 伺服器被關閉後整個網路失效的風險。
攻擊者可以指揮大量裝置同時連向特定網站,發動 DDoS 攻擊;也能讓裝置寄送垃圾郵件、掃描其他弱點、代理轉發流量,或執行加密貨幣挖礦。由於這些行為可能分散在不同時間與來源發生,企業若缺乏日誌分析與流量監控,往往不容易在第一時間發現異常。
殭屍網路常見攻擊類型
殭屍網路最常見的用途之一是 DDoS 攻擊,也就是讓大量裝置同時送出請求,使網站、API、DNS 或網路服務超出負荷。當服務無法正常回應,企業可能面臨網站中斷、交易失敗、客服量增加與營收損失。
除了 DDoS,殭屍網路也常被用於大量垃圾郵件、網路釣魚、憑證填充、暴力破解、點擊詐欺、資料竊取,以及利用受害裝置的運算資源挖礦。以憑證填充為例,攻擊者會利用外洩帳密組合,透過大量不同 IP 嘗試登入網站或服務,藉此繞過簡單的 IP 封鎖機制。
對企業而言,殭屍網路的影響不只在於服務中斷。若企業裝置本身被感染,可能導致內部資源被濫用、敏感資料外洩、主機效能下降,甚至讓企業 IP 被列入黑名單。若企業是攻擊目標,則可能損害品牌信任、客戶體驗與營運穩定性。
哪些裝置容易成為殭屍裝置?
任何可連網裝置都可能被納入殭屍網路。除了個人電腦與手機,企業常見風險還包括路由器、NAS、監視器、DVR、雲端主機、容器環境、測試伺服器與老舊 IoT 設備。
其中,已停止支援、無法更新韌體、長期未盤點,或仍使用預設帳密的設備,風險會明顯提高。許多企業在導入新系統時會重視主機與應用程式安全,卻容易忽略放在角落的網路設備、監控設備或臨時測試環境。這些看似不重要的設備,反而可能成為攻擊者入侵的入口。
企業也應特別注意對外開放的服務,例如遠端桌面、SSH、管理後台、資料庫連線或未受保護的 API。若這些服務缺乏存取限制與登入保護,就可能被自動化工具反覆掃描與攻擊。
如何判斷裝置可能已被殭屍網路感染?
殭屍網路感染不一定會讓裝置立即故障,因此使用者常常不容易察覺。不過,若裝置突然變慢、網路流量異常增加、CPU 或記憶體長時間偏高,或出現不明外連行為,就可能需要進一步檢查。
企業可以從防火牆紀錄、DNS 查詢紀錄、主機日誌與流量監控中觀察異常跡象。例如某台主機頻繁連向陌生網域、在非工作時間大量對外傳輸資料,或連續掃描其他 IP,都可能代表裝置已被惡意程式控制。
若企業已有 SIEM、EDR、NDR 或雲端監控工具,也可以透過關聯分析找出可疑行為。重點不只是發現單一異常事件,而是把登入紀錄、流量變化、端點活動與雲端資源使用狀況整合起來,判斷是否出現持續性風險。
企業如何預防殭屍網路風險?
企業可從資產盤點開始,確認所有連網設備、雲端主機與對外服務是否仍在維護。若無法掌握有哪些設備正在連網,就很難判斷哪些資產需要更新、關閉或加強防護。
接著,企業應落實強密碼與多因素驗證,避免設備使用預設帳密;關閉不必要的連接埠與遠端管理介面;定期更新作業系統、應用程式與設備韌體;並部署端點防護、防火牆與入侵偵測機制。
在網路層面,企業應監控異常流量、DNS 查詢、大量外連行為與不正常的登入嘗試。若服務高度依賴網站或 API,也應規劃 DDoS 防護、WAF、CDN、日誌集中管理與事件回應流程,降低攻擊發生時的營運衝擊。
此外,員工資安意識也很重要。釣魚信、惡意附件與不明連結仍是常見感染途徑。透過教育訓練、郵件防護與權限控管,可以降低裝置被植入惡意程式的機率。
殭屍網路防護要從可視性開始
殭屍網路的危險在於它把分散的受害裝置變成可被集中操控的攻擊資源。企業若能掌握資產狀態、修補漏洞、強化帳號安全、監控流量並建立雲端資安防護,就能降低被感染或成為攻擊目標的風險。
面對殭屍網路,企業不應只依賴單一工具,而是要從架構、設備、帳號、流量與事件回應多個面向建立防線。越早提升可視性,就越能在攻擊擴大前發現異常並採取行動。
若你正在規劃雲端架構、網站防護或資安維運,歡迎諮詢 2ECloud 尚贏科技,由專業雲服務及資安整合方案團隊協助你建立更穩健的雲端與網路安全防護架構。
