2009年是重要恶意软件和在线恶意活动年份,原因很多,而其中数个都和Botnet僵尸/傀儡网络有关。一个僵尸,或一个宿主,指的是受恶意软件感染而遭犯罪份子从远程操控的个人计算机。当犯罪份子运作网络时,受操控的感染计算机从上万到上千万台不等,犯罪份子们使用这些计算机来增强现今常见的网络犯罪功能,如垃圾邮件散发,服务阻断式攻击(DDoS:Distributed Denial of Services),恐吓软件(scareware),网络钓鱼,及恶意或非法的主机网站等,涉及了所有网络犯罪这块大饼上所有的项目。
前半年度,Conficker 破坏程序(又称Downadup或 Kido)占据了恶意软件世界所有的头条篇幅。最后Conficker僵尸网络被发现是在进行标准的网络犯罪内容,如利用宿主散发垃圾邮件及伪造的假防毒软件(或恐吓软件)。 报导此攻击爆发的热潮与退烧同样迅速,但可别以为这个威胁就这样消失无踪了。由安全软件供货商,研究人员和其它商业机构所组成的联盟团队,Conficker工作小组(Conficker Working Group)目前正在展示(currently showing)将近6百万个特殊的IP,这些IP显然都已遭此恶意软件感染。
2009年度与僵尸软件无关但却相当重要的趋势是社交网络被恶意滥用的激增。在如Facebook脸书,Twitter和MySpace等社交网站上活跃的庞大使用者人口数量,对在线组织型犯罪提供了难以抵抗的诱因,进行宿主征募及伪造防毒软件诈骗。Facebook就曾遭流氓自动程序滥用(abused by rogue Apps),诱骗使用者点击与广告网络结盟的联结,让制作联结者因每一次的点击而获利。Facebook也曾被用来以许多不同方式散发恶意软件,如张贴在涂鸦墙与信息中的恶意连结,特别设计用来入侵账户(hijack accounts)的恶意软件,和从外部破坏入侵(external compromise )合法的Facebook自动程序。
Koobface家族的恶意软件(也是僵尸网络)在2009年间进化。刚开始时是利用恶意信息和墙面张贴方式夹带伪造YouTube联结,假设需要特别的译码器才能观看影片。所谓的译码器当然是子虚乌有,只会造成账户的感染。不过Koobface现在已进化到可以自行制作伪造的Facebook个人档案页面(capable of creating its own fake Facebook profile),并加入认证用的Gmail邮件账号,个人照片及自传等资料让档案看来更加逼真。这个假的账户接着便会去加入其它网络并送出交友要求,而行所有这些动作都是自动化进的。
接下来就是开始好玩的地方了。除了散发垃圾邮件和恶意软件,web 2.0网站在2009年间曾被以令人担忧的新方式进行滥用。Twitter和Google Reader都曾被用在垃圾邮件散发攻击中做为登陆页面(used as the landing page),企图以此回避电子邮件的URL筛选。最近几个月来,Twitter,Facebook,Pastebin,Google Groups,和Google AppEngine皆曾被运用做为僵尸网络的代理操控中心伺服主机;上周更有报道(it was reported)指出Zeus僵尸网络入侵破坏Amazon亚马逊云端操控EC2的伺服。这些公众论坛被设定来发布混码指令,以便对全球散播僵尸网络。这些指令通常包含更进一步的URL,让宿主可接触来下载指令或组件。
这些网站和服务的吸引力,来自于其提供了公开化,可提升,易取得且无需具名的方式以维护操控基础架构,这些特色同时也更进一步降低了被传统技术检测出的机会。尽管网络内容的检测解决方案可轻易地在当受入侵的端点与已知不良网站(操控伺服),或和可疑及有害的通路如IRC,沟通时检测出问题;个人计算机通过port 80向Facebook脸书,Google,或Twitter等服务供应者提出标准的HTTP GET要求,甚至于1天多次,就过去安全纪录来看都可认定是完全正常的运作。然而当僵尸网络操控者和犯罪集团企图让他们的操控基础架构消声匿迹,混入因特网中寻常的白噪音中时,就不是这么一回事了。
2009年多数的创作皆环绕在僵尸网络的操控系统,这件事并不是个巧合。旧式IRC操控的僵尸网络绝大部份都在24小时内关闭,点对点的宿主通常会留下清楚可见的特征,造成计算机端的歼灭。我认为网络犯罪份子正在评估Web 2.0僵尸网络的一项操控因素,即如果仰赖单一供应者如Facebook或Google,当恶意Facebook网页被关闭后,整个僵尸网络也就被瘫痪掉了。僵尸网络制作者投资了大量的时间和程序,来散布他们所管理的使用了即融(fast-flux)或点对点(peer-to-peer)协议的基础架构。因为我们将会看到他们将教训运用到更新的“云计算操控”僵尸网络中。最新的Koobface变化版极有可能具备了多重自动化成型的个人档案的能力,用来减缓因使用在单一供应者如Facebook或Twitter之个人档案做为掩护,由于单点失败所形成的效应。
每当谈到僵尸网络,都很希望能讲出像“情况愈来愈有改善”的话。但事与愿违。愈来愈多的计算机皆受到感染,而被感染的时间也愈来愈长了。
【编辑推荐】
