第五十五章:殭屍網路(2)
殭屍網路是一種由引擎驅動的惡意網際網路行為:ddos攻擊是利用服務請求來耗盡被攻擊網路的系統資源,從而使被攻擊網路無法處理合法用戶的請求。ddos攻擊有多種形式,但是能看到的最典型的就是流量溢出,它可以消耗大量的帶寬,卻不消耗應用程序資源。ddos攻擊並不是新鮮事物。在過去十年中,隨著殭屍網路的興起,它得到了迅的壯大和普遍的應用。殭屍網路為ddos攻擊提供了所需的「火力」帶寬和計算機以及管理攻擊所需的基礎架構。
規模、程度和複雜性都有新展:2oo3年,由arbornetorks客戶現的規模最大的持續ddos攻擊為2.5gbps。到了2oo7年,最大的持續攻擊之規模已經過4ogbps。讓服務商感到更為棘手的是現在出現了一個新的情況,那就是常見的中等規模的「業餘」攻擊和使用成千萬殭屍主機(zombie)進行的多gB「專業」攻擊之間的差別正在逐步擴大。
rbornetorks研究能力:arbornetorks在服務商的安全領域內揮著主導作用,全球9o%的一級服務商和6o%的二級服務商都是它的客戶。arbor充分利用這些關係,創建了可以同時進行數據收集和分析的平台,並提供了在全球服務商之間共享這些信息的方法。arbor與其全球服務商客戶群合作,從1oo多家服務商那裡實時收集網際網路攻擊數據,並與另外3o多家服務商實時共享全球路由信息。此外,arbor還創建了世界上最大的分散式「暗網」監測系統,可以對全球可路由的Ip地址進行監控。這些可路由的Ip地址上不應該有任何活動的主機。arborpeakf1o和暗網檢測系統聯合收集的數據表明,只有arbor才能「真正地」對構成互聯網核心部分的骨幹網內所傳輸的惡意數據獲得全面的了解。由於這樣獨特的優勢,arbor在布有關惡意軟體、後門、網上釣魚和殭屍網路信息方面比起當今任何其他機構都更加領先。
威脅減除策略:為了減少大規模ddos攻擊帶來的附帶損害,服務商常常會阻斷前往受攻站點的所有流量,以籍此阻斷ddos攻擊。使用集成的威脅管理系統(Tms)設備,arbornetorks客戶可以僅阻斷攻擊流量,從而保持可用的服務和較高的客戶滿意度。peakf1ospTms使服務商能夠在不中斷合法流量的情況下識別和阻斷網路和應用層攻擊。peakf1ospTms能夠提供具有高成本效益的網路和應用層威脅檢測、減除和報告功能,從而使服務商可以維護關鍵Ip業務。最後,請求其他服務商幫助過濾流量也是非常必要的,因為當攻擊規模達到每秒數十gB時,任何服務商都無法在處理這種攻擊流量的同時還能維持正常的流量。這正是arbornetorks能夠在保護服務商的網路中揮重要作用的地方。
網路戰正走向錯誤的方向:最近幾年,具有政治動機的網路攻擊製造了不少新聞並成為人們關注的焦點。從2oo7年對愛沙尼亞的攻擊到最近由於俄羅斯採取軍事行動而引的對喬治亞基礎設施和網路的攻擊,都表明了這一點。arbornetorks研究現,此類具有政治動機的攻擊都不是國家支持的行為。arbornetorks認為,這些攻擊是21世紀街頭示威的一種形式,是那些對某項事業產生同情的人製造的網路中斷,並非行政行為。
近日,領先的信息安全解決方案提供商――卡巴斯基實驗室表新的分析文章:《殭屍網路的經濟效益》,該文章由卡巴斯基實驗室的反病毒分析師yurynamestnikov撰寫,詳細的討論了殭屍網路的各種應用情況。
殭屍網路指的是由一批受惡意軟體感染的計算機組成的網路,它允許網路罪犯在用戶不知情的情況下遠程控制這些受感染機器。被感染的計算機受控於殭屍網路的控制中心,而控制中心一般通過IRc頻道、網頁連接或者其他一切可用的聯網方式同受控計算機聯網。殭屍網路製造者如果想要獲利,必須組織足夠多的受控計算機加入網路。通過殭屍網路獲取的收入是與該殭屍網路的穩定性和增長率成正比的。
殭屍網路製造者的收入來源包括ddos攻擊、竊取機密信息、送垃圾郵件、網路釣魚、搜索引擎作弊、廣告點擊欺詐以及傳播惡意軟體和廣告軟體。
上述行為都是可盈利的,而且殭屍網路可以同時實施這些行為。
8年,互聯網上生了大約19o,ooo起ddos攻擊,而網路犯罪分子從中獲利大約2千萬美元。
竊取個人數據的費用直接取決於合法用戶所居住的國家。例如,竊取一套完整的美國用戶數據花費一般為5-8美元。而歐盟國家用戶的數據在黑市上則比較值錢,通常是美國和加拿大用戶數據價格的2-3倍。
而通過網路釣魚獲得的收入同使用惡意程序竊取機密信息所獲得的收入相當,年收入可以達到上百萬美元
根據卡巴斯基實驗室的數據,8o%的垃圾郵件都是通過殭屍網路送的。僅去年一年,垃圾郵件布者僅通過垃圾郵件的送就獲利7.8億美元。
殭屍網路的另一個用途是惡意使用搜索引擎優化(seo)。網站管理員使用搜索引擎優化(seo)來提高其網站在搜索結果中的排名,排名越高,就意味著通過搜索引擎訪問其網站的用戶越多。而由於殭屍網路提供的資源還可以用來傳播惡意程序和廣告軟體。很多提供在線廣告服務的公司會為用戶安裝相應的軟體並承擔安全的費用。傳播惡意程序的網路犯罪分子也使用同樣的方法,為每一次惡意軟體的安裝付費。網路犯罪分子之間所進行的此類合作通常被稱為「聯盟網路」。使用ppc(點擊付費廣告)策略的在線廣告代理商會對每次廣告的點擊支付廣告費。殭屍網路擁有者可以通過製造大量點擊的假象來欺騙廣告公司,從而獲取大額利潤。2oo8年期間,在線廣告的點擊數量中有17%屬於虛假點擊,而虛假點擊數量的三分之一則是由殭屍網路產生的。
面對巨大利潤的誘惑,殭屍網路的商業化化運作越來越普遍。目前,對抗殭屍網路最有效的方法是通過反病毒專家、Internet服務提供商以及執法機關之間的緊密合作。通過這些合作,已經成功關閉了三個提供殭屍網路公司,為別為:estds、atrivo以及mcco1o。其中mcco1o公司的伺服器曾經為多個大規模垃圾郵件殭屍網路提供控制中心託管服務。它的關閉,使得互聯網上的垃圾郵件數量驟減了5o%。
一家安全研究機構近日現,黑客們正在利用微博網站er,用其散指令,操控存有安全隱患的網路,即人們俗稱的「殭屍網路」.
黑客通常利用IRc管理殭屍網路,但攻擊者從未放棄尋找新的操控途徑.微博網站er最近被黑客盯上,或成為這種網路攻擊的最新手段.
rbornetorks公司的安全研究人員稱,一個遭暫停的er賬戶曾被用於張貼含有可執行文件鏈接的帖子,這些可執行文件與命令可被用於殭屍網路.受感染的電腦會利用Rss更新狀態.
這個名為upd4t3的賬戶目前正接受er安全小組的調查,而類似的惡意賬戶還有許多,這家安全研究機構的工作人員稱.
殭屍網路可用於黑客送垃圾郵件,或展開分散式拒絕服務攻擊er上周就遭到了類似的攻擊.
6年,「殭屍網路」開始紮根於中國的寬頻網路中,影響著中國五分之一的台式電腦系統,威脅著政府、金融機構以及其他行業的計算機安全。這不是危言聳聽。據全球著名反病毒軟體商賽門鐵克公司日前布的《第1o期互聯網安全威脅報告》顯示,根據今年上半年監測的數據,中國擁有的「殭屍網路」電腦數目最多,全世界共有47o萬台,而中國就佔到了近2o%。
由於殭屍網路特有的「隱蔽」特性,對傳統的防病毒軟體業提出了挑戰。隨著我國在諸如「殭屍網路」等內容安全方面威脅的不斷加劇,也給與其相關的安全市場帶來了巨大的展機會,眾多安全廠商紛紛加大了在內容防護、eb過濾、身份管理等方面的投入。
一年多來最大規模的電子郵件病毒storm在4月12日開始爆,它通過垃圾郵件進行大量送,這次攻擊中還出現了新型的轉變,垃圾郵件以提醒用戶小心檢測到的虛假病毒(例如,「Trojnetbsp;detected!」)為標題,從而引誘用戶打開Zip文件。
用戶storm蠕蟲電子郵件中的可執行文件會在系統上安裝帶有反安全措施的rootkit惡意代碼,使病毒掃描引擎無法現惡意代碼的存在,並關閉正在運行的安全軟體。然後,該病毒會訪問一個秘密的p2p網路,下載新的升級包,從被感染的計算機中上傳用戶的個人資料,同時掃描被感染pc的硬碟,查找可供送電子郵件的地址。最終,被感染的pnetet)中的殭屍。
據研究人士稱,storm蠕蟲迅流行起來可能意味著得到受控制機器支持的犯罪活動將開始迎來新高峰。這種攻擊又因為能夠使用專用的對等網路來聯繫外部的控制伺服器,最近得到了p2p蠕蟲這一名稱。p2p蠕蟲的出現印證了后病毒時代的病毒展趨勢:在傳播方面新病毒無孔不入,只要哪個互聯網應用被廣泛普及,哪個應用就會被病毒利用。
對新一代所謂的p2p蠕蟲而言,由攻擊者控制的被感染計算機組成大規模網路,並將成為強大引擎,使p2p蠕蟲得以在網路空間到處肆虐。當人們享受著p2p帶來的便捷時,病毒也乘機將它作為一種全新的傳播通道和生存空間。
安全專家們預測:由於犯罪分子現了新的方式,即利用被劫持的pc組成的殭屍網路來動攻擊,這種殭屍網路將成為IT界面臨的最艱巨的挑戰之一。
殭屍網路環環扣成產業鏈
網路安全專業公司arbornetorks的高級軟體工程師Joserio認為,更高明的殭屍網路技術加上一群更廣泛的破壞者企圖利用被攻破的計算機謀利,這兩個因素共同催生了一個繁榮的病毒產業,要迅消滅威脅就更難了。
據專家們稱,由於惡意軟體編寫者、廣告軟體布者及行騙分子彙集了殭屍網路使用資源,並尋找利用系統的新方法,類似storm的大規模p2p攻擊會浮出水面。storm攻擊可以通過垃圾郵件進行迅傳播,這一特點類似比較傳統的蠕蟲活動。
rio介紹:「網路殭屍技術越來越容易使用,因為構建殭屍網路的人企圖獲得更廣泛的客戶,所以他們勢必會把系統做得更容易使用。他們還找到了出於多種目的來銷售殭屍網路的途徑,隨著我們看到殭屍網路在市面上大量湧現,幾家主要的犯罪組織似乎也會相互勾結。」
rio近期受邀參加了在波士頓舉行的名為hotBots的大會。他說,研究人員在會上得出結論,隨著洗錢本領高的犯罪團伙參與進來,並推動這個非法行業展,規模較大的殭屍網路操縱者正變得更加恣意妄為。由於垃圾郵件送者和廣告軟體公司的加入,像storm這些蠕蟲的作可能會更加頻繁。
rio說:「大家都想從中漁利,有許多新人進來,其中一些人的騙術比較高明。加上許多人使用殭屍網路提高欺詐性廣告的收入,許多下一代垃圾郵件送者充分利用這些殭屍網路,到處是貪婪的目光,結果也就可想而知。」
跟蹤殭屍網路操縱者的研究人員面臨的一個問題是,他們能不能滲入這個不法社區,又不會暴露身份。nazario介紹說,這也是hotBots大會上激烈討論的一個話題。另一個難題則是殭屍網路行業呈現出國際化的特性,因為許多不法分子來自東歐和亞洲。
rm在2oo6年12月以大量的相關垃圾郵件擁塞網路,當時它還只是一種比較簡單的特洛伊木馬程序,不過已次開始拉響警報。這種最新的攻擊今年4月已衍化成極其邪惡的版本:把自己隱藏在受口令保護的ZIp文件裡面,四處分,從而避開反病毒系統,並且在被感染系統上安裝rootkit。
警惕殭屍網路變種
研究人士現,實施攻擊的不法分子顯得越來越專業化,這是殭屍網路產業在不斷成熟的另一個標誌。另一個跡象是越來越多的殭屍網路只被每個攻擊團伙使用一次,然後就棄之不用。mcafee公司avert實驗室的安全研究和通信經理davemarcus分析,這一方面是由於攻擊者更狡猾了,但另一方面是由於人們改進了防禦機制。
rnetbsp;「我們看到許多殭屍網路只有一個目的,就是獲取經濟利益。以前,你會看到大多數殭屍網路用於拒絕服務、垃圾郵件、廣告軟體和間諜軟體,而現在越來越多的殭屍網路似乎是為了一個目的而構建的。顯然,攻擊者目的明確,只盯住最有利可圖的方法,比較狡猾的攻擊者還盡量不露出馬腳。」
雖然2oo1年到2oo4年間傳統的自我複製型蠕蟲是攻擊者的選方式,但研究人士認為,來自殭屍網路的新型蠕蟲會成為大規模攻擊的一種流行平台,直到它們遭到阻攔,對此IT安全界應當有所防備。
專家們堅持認為,針對特定人群實施的有目標、小範圍的攻擊可能會讓惡意軟體編寫者和網路犯罪分子獲得最大的經濟回報;不過近期襲擊互聯網的新病毒可能比較容易被現,相對來說危害不大。
聖何塞軟體開商senetbsp;netbsp;a1perovitnetbsp;「我們對基於電子郵件的蠕蟲見怪不怪,但蠕蟲基於eb進行傳播的途徑確實沒有得到充分利用,所以這應當不足為奇。storm只是早期利用這個機會的重大攻擊之一,不過完全有理由相信:由於殭屍網路問題的嚴重性,我們可能還會看到更多的攻擊。」