你的电脑也是黑客的利剑？迪普科技为你揭秘肉鸡背后的网络江湖

在浩瀚的数字海洋中，有一类特殊的“生物”——“肉鸡”，它们是由黑客精心操控的电脑、服务器和移动设备，是其发动网络攻击的得力帮凶。近日，某市监管机构揭露了一起案例：其属地某企业由于内部资产防护、监测不当，其所属IP频繁对外发起网络爆破攻击。经立案调查，发现该企业部分内部资产已被黑客植入木马病毒，沦为了黑客手中的“肉鸡”，严重危害了网络安全。因此，该企业被判定违反《中华人民共和国网络安全法》第二十一条、第二十五条规定，并依据该法第五十九条规定，对该企业和直接负责的主管人员做出对应的罚款处罚。

这起事件引发了我们对“肉鸡”及其背后黑客攻击手段的关注。黑客究竟是如何利用“肉鸡”进行跳板攻击，我们又该如何进行防护？作为国内网络安全行业主力军，迪普科技与你一起揭开“肉鸡”背后的神秘面纱，共同构筑坚不可摧的网络安全防线。

肉鸡、傀儡机、僵尸主机

指被黑客非法侵入并完全控制的计算机系统，包括个人电脑、服务器，移动设备等。黑客先利用各种攻击方式将企业、个人资产变成“肉鸡”，然后通过远程操纵，将“肉鸡”作为跳板继续对内部资产、信息系统或外部目标发起攻击，从而达到其最终目的。由于“肉鸡”在黑客活动中被广泛应用，而被害者却往往对这一切毫无察觉，最终发现时，大部分已产生实际损失或已造成一定程度的危害，因此许多企业都深受困扰。

·为什么黑客喜欢通过“肉鸡”实施跳板攻击·

DPtech

高匿名性

黑客通过控制多个跳板机（即“肉鸡”），可以间接地向目标系统发起攻击，使攻击行为变得更难以追踪。即使目标系统发现了攻击行为并尝试进行溯源，也会因为跳板机的存在而大大增加溯源难度。这种匿名性为黑客提供了保护，降低了被追踪和惩罚的风险。

DPtech

溯源复杂性

随着跳板机数量的增加，溯源路径变得更加复杂和多样。黑客可以通过精心设计的攻击链，进行通信加密，多级跳转，使得溯源初始攻击源更加复杂，难度也更大。这种复杂性不仅考验着安全团队的技术能力，也消耗着大量的时间和资源。

DPtech

位置优势

黑客在选择跳板机时，通常会考虑其地理位置和网络环境。位于目标网络附近或具有特定网络权限的跳板机，可以为黑客提供更加便利的攻击条件。例如，如果跳板机位于目标网络的内部网络中，黑客就可以利用该跳板机直接访问目标系统的敏感数据或执行更高级的攻击操作。

DPtech

提高攻击效率

通过跳板机进行攻击，黑客可以避免直接面对目标系统的防御机制。他们可以先通过跳板机进行侦察和测试，了解目标系统的漏洞和弱点，然后再制定更加精准和有效的攻击策略。此外，跳板机还可以作为攻击载荷的分发中心，将恶意软件或攻击脚本快速传播到目标系统中，提高攻击的效率和成功率。

·黑客将一台电脑变成跳板(肉鸡)的过程·

跳板攻击的常见流程

寻找目标

黑客会寻找潜在的目标，这些目标可能是个人用户、企业网络或者任何有潜在价值的网络资产。

一旦确定了目标，黑客会使用各种扫描工具对目标网络进行脆弱性扫描。这些工具能够检测目标网络中可能存在的安全漏洞，如未修补的软件漏洞、开放的网络端口、弱密码等。脆弱性扫描是黑客入侵过程中的重要一步，它为后续的漏洞利用提供了基础信息。

脆弱性扫描

利用漏洞

一旦发现漏洞，黑客会尝试利用这些漏洞，获取目标web、主机等权限，例如常见的fscan、kscan等工具。

利用漏洞成功后，黑客会植入恶意软件，如木马、后门程序、僵尸网络病毒等，这些恶意软件能够给予黑客远程控制目标电脑的能力。

植入

恶意软件

建立

控制通道

恶意软件会在受感染的电脑上建立一个控制通道或者反向代理，使黑客能够远程访问和控制这台电脑。

为了不被受害者发现，黑客会采取措施隐藏恶意软件的痕迹，例如将恶意软件设置为随系统启动、隐藏文件、进程和网络连接等。

隐藏

恶意软件

加入僵尸

网络

大部分受感染的主机（肉鸡）都会被黑客加入到一个僵尸网络中，这是一个由多个受感染计算机组成的网络，由黑客集中控制。

利用“肉鸡”进行跳板攻击

有了“肉鸡”之后，黑客并不会止步。他们会把这些“肉鸡”作为跳板，设置代理隐藏自己的真实位置，发起更为隐蔽的攻击，包括发起DDoS攻击、隐私窃取、挖矿、传播恶意软件、网络钓鱼和欺诈、网络爆破攻击等。例如，2016年的Dyn攻击事件，黑客利用“肉鸡”对Dyn的DNS服务发起了大规模DDoS攻击，导致Twitter、Netflix等多家网站服务中断。

·企业内部存在“肉鸡”产生的危害·

内部影响

隐蔽性强难发现：黑客利用“肉鸡”对内部资产进行攻击，由于攻击源自内部，且对内的攻击流量可能不会经过常规的安全监控设备，因此不易被常规安全设备和策略所发现。

攻击手段更多样化：黑客在利用内部“肉鸡”作为跳板进一步渗透内部网络时，由于“肉鸡”与内部网络直接相连，有时存在一些免认证情况或更多的访问内部资产、系统访问权限，同时也可以使用更多工具和攻击手段。

外部影响

浪费企业资源，影响业务运行：黑客利用“肉鸡”对外攻击（如DDoS攻击、挖矿）会大量占用企业的带宽和计算资源，从而造成资源浪费，更进一步容易影响正常业务的运行。

产生不必要的法律风险：如果企业内部“肉鸡”被用于非法活动，尤其是针对政府系统、关键基础设施、重要行业的攻击，企业可能面临法律诉讼和合规风险。

误伤：企业可能因为内部“肉鸡”发起对外攻击而遭到报复性攻击或被错误地认为是攻击的源头，导致业务受损或信誉损失。

·通用防御措施·

定期更新系统和软件：及时安装最新的安全补丁和更新，修复已知的安全漏洞。

安装防病毒软件：使用可靠的防病毒软件对电脑进行实时监控和防护。

谨慎点击邮件和链接：提高企业员工安全意识，不随意点击来自陌生来源的邮件附件或链接，防止恶意软件的传播。

加强密码管理：使用强密码并定期更换密码，避免使用弱密码或重复密码。

网络隔离和访问控制：对关键网络资产进行网络隔离和访问控制，限制非授权用户的访问权限。

部署内网蜜罐：在企业内部网络中部署蜜罐，引诱、捕获通过“肉鸡”进行内网渗透的攻击者。

·迪普科技网络安全解决方案·

迪普科技针对跳板攻击场景提供了一系列网络安全技术和产品，全面覆盖事前防御、事中监测、事后处置全过程，可以及时有效地发现并对网络攻击行为做出处置，帮助企业守护资产安全，避免内部资产成为“肉鸡”。

先知威胁感知大数据平台（Seer）：对网络中的数据包进行实时捕获和分析，利用“安全大数据+AI”智能分析技术，结合主/被动检测、威胁情报、UEBA、攻击行为建模、失陷主机检测等技术进行风险识别、分析、挖掘、关联以及汇总，快速识别网络异常行为，并通过可视化技术让当前网络威胁状况与发展趋势直观呈现，便于用户及时发现安全隐患、大幅提升企业安全防护工作效率。同时，支持平台与设备联动，可以根据预设的安全策略自动启动防护措施，如阻断攻击源IP、限制特定端口的访问等。

入侵防御系统（IPS）：实时监测网络流量中的入侵行为，利用先进的双病毒引擎及专业的四大检测引擎，在发现攻击行为时立即触发警报并实时阻断风险流量，支持通过多种方式向管理员发送预警通知，以应对层出不穷的漏洞威胁及攻击手段。

慧眼安全检测平台：结合迪普科技多年服务经验，使用专用验证工具、脚本和特征库，支持对企业网络系统进行全面扫描，以识别系统中存在的漏洞、弱口令、违规外联等问题，达到快速摸排资产、精准定位风险隐患，及时响应通报并推动整改的效果，有助于企业进行事前资产安全性摸底排查、事后风险资产快速加固工作。

专业安全服务：提供专业的安全服务能力，覆盖IPDRR模型（识别、防护、监测、响应、恢复）五大核心能力，为客户提供从预防到应对再到恢复的全周期安全解决方案，确保安全事件在事前、事中、事后各个阶段都能得到迅速、有效的处理。

在黑客攻击日益猖獗的今天，网络安全已成为不可忽视的重要议题。迪普科技始终站在研究阻止网络攻击的前沿，保持对网络风险的敏锐洞察力和对技术的专研创新，致力于为用户提供全面、可靠的网络安全解决方案。同时，迪普科技通过强大的创新能力及专业的安全服务能力，帮助企业及时发现、处置网络攻击行为，并提供全方位的安全保障。

END