网络攻击不仅会中断工作流程，泄露客户信息，还会给企业与政府带来数百万美元的损失。Georgia Tech 研发的一项新工具 ECHO 能够自动化地清除大多数由恶意软件控制的僵尸网络（botnet），大幅节省工程师的工作时间和公司成本。 ECHO 的原理是利用恶意软件自身的更新机制来对付它，并防止僵尸网络重新构建。这项工具在测试中展示了 75% 的有效率，将原本需要几天甚至几周的清理工序缩短至几分钟内完成。一旦安全团队发现系统被侵入，就可以立即部署 ECHO，它的快速响应能力足以避免整个网络被攻陷。 “理解和分析恶意软件的行为非常困难，而且对于工程师来说回报很低，所以我们开发了一种自动化的解决方案。” Georgia Tech 计算机安全与隐私学院以及电气与计算机工程学院的博士生张润泽说。研究团队在 2025 年 2 月的网络和分布式系统安全（NDSS）研讨会上展示了这一成果。ECHO 的开源代码可以在 GitHub 上找到。 僵尸网络自 1980 年代以来就是一个严重的问题，并且近年来变得越来越强大。2019 年，一种名为 Retadup 的恶意软件在拉丁美洲广泛传播，影响了大量 Windows 系统。捷克网络安全公司 Avast 与法国政府合作，通过逆向工程的方法成功清除了这一威胁，但这种解决方案费时费力，难以复制。 Georgia Tech 的副教授 Bren‌dan Saltaformaggio 看到了改进的机会：“虽然 Avast 的方法很好，但非常耗时。我们团队认为可以利用现有的研究，将其变成一种系统化、可重复的技术，而不仅仅是一项一次性的人工努力。” ECHO 通过三个阶段清除僵尸网络。首先，它分析恶意软件如何部署恶意代码；其次，识别这些部署机制的能力，并发现如何将这些机制重新用于修复；最后，构建一种基于相同机制的修复代码，测试后将其推送至受感染系统。研究团队在 702 个 Android 恶意软件样本上进行了测试，成功阻止了其中 523 个样本的恶意行为。 ECHO 的目标不仅仅是提高清除效率，更在于增加攻击者的攻击成本，使得攻击不再具有经济效益。“我们实验室解决问题的一个思路是找到攻击者付出的努力与我们对抗所付出的努力之间的平衡点。虽然无法达到完美的解决方案，但我们可以把门槛提得足够高，让攻击者觉得不值得这样做。” Saltaformaggio 表示。 随着恶意软件的不断进化，Saltaformaggio 及其团队也在持续改进他们的方法。虽然未来的恶意软件攻击不可避免，但解决方案也同样在不断完善之中。ECHO 的出现为企业提供了一个强大的工具，能够在僵尸网络造成经济损失之前将其清除。 业内专家对 ECHO 的评价非常高，认为这是一种革命性的技术，能够显著提升网络安全水平。Georgia Tech 在计算机安全领域一直处于领先位置，ECHO 的开发再次彰显了其科研实力。这一工具的开源性质也为其在行业中的广泛应用和进一步优化提供了可能。