在《资深安全顾问解读:僵尸网络的发展历史》一文中,Rik Ferguson向我们介绍了僵尸网络的初期发展史。这里我们将看到僵尸网络的兴衰演变。
组织化犯罪
大约在2003年左右,僵尸网络Botnet的非法利用价值逐渐开始明朗化。在2000年左右,散发垃圾邮件基本上还是一种“在家SOHO”的行业,而大量的垃圾邮件则大多透过专属的服务器农场、公共代理服务器或者是遭到入侵的服务器来传送。不过,Bagle、Bobax和Mytob 的出现,彻底改变了这样的情况。Bagle和Bobax是最早用来散发垃圾邮件的两个Bot网络,而Mytob恶意软件则基本上是大量邮件散发蠕虫MyDoom以及Bot网络SDbot的合体。从此,网络犯罪者只要建立一个大型的Bot网络,就能利用这些受害的计算机来散发垃圾邮件,这样不但机动性和弹性更高,最重要的是,能够躲避执法机关日渐积极的封锁行动。
接下来,我们就开始目睹许许多多知名僵尸网络Botnet的兴衰演变,而最早的垃圾邮件专用Bot网络,就是2004年出现的Bagle和Bobax。Bobax最后在2008年因为恶性互联网服务供货商McColo遭到封锁而受到重创,最后也因此消声匿迹。
RuStock最早出现在2006年,同年还有目前相当恶名昭彰的ZeuS犯罪程序家族RuStock也是一种垃圾邮件Bot网络,而ZeuS则是一种信息窃盗工具。从此开始,ZeuS几乎已成了最广泛使用的信息窃盗犯罪工具。ZeuS的作者一直不断在开发、测试并释出新版的程序,因此其功能不断增加,也不断改进。由于新的版本已开始对外贩卖,而且价码很高,因此,旧版的就被放到网络上供人免费散播。通常,这些旧的版本都含有网络犯罪者所暗藏的后门,因此,用了这些旧版程序的犯罪新手,也同样成了受害者。免费犯罪工具的出现,不仅降低了网路犯罪的进入门坎,也鼓励了更多有意从事网络犯罪的人加入行列。不过,ZeuS并非网络上唯一唾手可得的工具,还有许多其他工具在彼此竞争,不过都是针对非专家所设计,提供了简单的点选式感染计算机管理接口。
2007年出现了知名的Storm Bot网络以及Cutwail和Srizbi。来年,Asprox现身,请记住,这些只是外面数千种Bot网络当中几个较知名的个案。目前,Shadowserver Foundation(影子服务器基金会)所追踪到的幕后操控服务器已将近6000台,即使是这么高的数字也无法涵盖所有的Bot网络。趋势科技不论在任何时间点都可追踪到数千万台用来散发垃圾邮件的Bot感染计算机,而这项数据还不包括其他用来窃取信息、分布式阻断服务攻击(DDoS)或其他网络犯罪行动的Bot感染计算机。
反击
从过去到现在,已经出现过多次成功封锁不法网络服务供货商的联合打击行动,这些服务供货商是僵尸网络Botnet的幕后操控基础架构。2008年,互联网服务供货商 Intercage/Atrivo的封锁行动几乎摧毁了Mega-D Bot网络,但几星期后,该Bot网络又以复仇之姿死灰复燃。前面曾经提到2008年的McColo封锁行动,McColo几乎和任何犯罪活动都沾上边,例如,它提供主机代管服务给:Srizbi、重新复活的Mega-D、RuStock、Asprox、Bobax、Gheg、Cutwail等Bot网络的幕后操控服务器。当年11月,当McColo被切断互联网联机之后,全球垃圾邮件数量几乎骤降了80%。不幸的是,在2009年1月,垃圾邮件数量又回到了原来的水平。2009年6月,因特网服务供货商3FN遭到美国联邦贸易委员会停业处分。停业的当天是星期五,当时3FN仍提供代管服务给一些Cutwail幕后操控服务器。Cutwail虽然遭到重创,但却立刻在星期一恢复正常运作,不过同年的八月,Cutwail又遭到另一次重创。历史的经验告诉我们,网络犯罪所提供的利益太过庞大,歹徒不可能轻言放弃。
公共机关与私人机构针对僵尸网络Botnet所采取的联合行动,迫使歹徒必须不断想出新的花招。每当有新的科技出现,歹徒就会找出一些新的办法来利用这些技术,有时是用来提高获利,有时是增加扩充性和弹性,有时则是让他们更容易伪装。
一开始,幕后操控服务器的IP地址都是写死在每个Bot程序当中,因此恶意软件研究人员很容易发现它们的行踪,所以就容易遭到封锁,但是歹徒现在已从失败中记取教训。例如,Cutwail就导入了备援联机的概念。每一个Bot程序都能透过加密算法每天产生一个新的幕后操控主机名。歹徒自己当然很清楚每天所算出来的主机名为何,因此只要适时打开对应的通讯管道即可。Conficker的歹徒也运用了类似的技巧,不过它更厉害,每天可产生50,000 个新的主机名!歹徒只要使用其中的一个网址就能达到目的,但信息安全产业却必须全数拦截,不能错放任何一个。别忘了,从Conficker首度出现至今已经将近二年的时间,但目前网络上还有大约6百万台Conficker感染计算机。除了垃圾邮件、阻断服务、信息窃盗、黑函和勒索之外,Bot网络还进化成一种高效率的软件发布网络,专门供犯罪之用。歹徒可付费使用庞大的Bot网络,将新开发的恶意软件植入已感染的计算机。例如,垃圾邮件Bot程序可进一步用来散发信息窃盗程序,此外,假防病毒软件与勒索程序也是歹徒透过Bot网络增加已感染计算机潜在获利商机的最爱工具。事实上,许多歹徒只要将自己的Bot网络出租就能获利,不必亲身参与垃圾邮件、DDoS或信息窃盗行动。
注:本文是《僵尸网络发展历史探讨》系列三篇文章的第二篇,此系列文章将讨论僵尸网络Botnet的发展历史与演变。