相比最时髦的“钓鱼攻击”,“僵尸网络”的盈利性正在大幅度地进步。事实上,越来越多的僵尸网络已经沦为职业犯罪团伙的工具,并且网络间开始出现整合的趋势。这对于企业用户而言,其防
御难度和控制手段也将会面临巨大挑战。
小心白蚁
假如恶意件是虫子,那么僵尸网就是白蚁了----它们挖洞进入用户安全防线围墙的背后,隐藏一段时间,然后发起进攻。
计算机一旦被感染后,就开始等待来自犯罪僵尸黑客发出的行动命令。黑客将这些僵尸计算机变成在Internet上传播垃圾邮件和其它恶意件的节点,从而进一步组成了大规模的僵尸网络。
事实上,用户可能无法完全阻止僵尸网的入侵,但借助多种查杀僵尸技术和常识,用户可以将它们给网络造成的影响减少到最低程度。
僵尸的范围
曾有专家形象地指出:“所有人都是僵尸携带者”。对用户来说,首先必须了解问题的范围,才能与僵尸斗争。加州San Jose市PayPal公司CISO Michael Barrett说:“我们一直否认这个问题的规模。”
事实上,美国《Network World》最近开展的一项调查显示,在394位负责网络安全的读者中有超过43.7%的人说受到伤害的客户机不算什么大问题。另外30.2%的人说他们没有发现网络上计算机受到感染的证据。这一结果令网络安全专家非常吃惊。
Support Intelligence公司CEO Rick Wesson说,这并不意味着威胁不存在,而是因为近四分之三的回答者警惕性不高。在任何一天,Support Intelligence公司的蜜罐都会捕获来自僵尸客户机的各种阴险和欺诈性的垃圾邮件。目前,该公司是旧金山一家跟踪僵尸爆发的公司。
他说:“原因是这些僵尸黑客太狡猾,用户的操作系统太脆弱,所有人都僵尸携带者。大多数公司都有保护十分严密的网络,但是如果认为,用户可以确保僵尸网络不会在自己的系统上运行,则这样的想法过于天真了。我们的很多数据表明,很大一部分Fortune 1000公司都染上了僵尸。”
如果Fortune 1000公司都不能阻止僵尸,那么较小的企业和消费者则更没咒念了。弗吉尼亚州Arlington市安全服务提供商Cyveillance公司安全主管Ken Lloyd说,小企业拥有进行安全升级或监测网络与机器来查找奇怪的传输流模式的资源更少。Lloyd说,由于消费者一般拥有最少的安全措施,因此面临最大的风险。
IDS软件生产商Sourcefire公司CTO Martin Roesch说:“毫无疑问,企业也面临这个问题。”企业一旦没有恰当设置自己的防御系统,恶意软件攻击就会马上到来。他说:“人们通过即时消息接收垃圾邮件或木马和病毒,或者通过电子邮件接收这些东西,或者使用不安全的IE和FireFox版本到他们不该去的地方冲浪,这些正是出现麻烦的时候。”
事实上,Gartner预测到年底时,75%的企业将染上僵尸。
沦为犯罪工具
过去一年里,僵尸团伙令人不安地转向了旨在赚钱的有组织犯罪活动。例如,去年夏天发生在伦敦的一次引起广泛关注的逮捕行动,涉及三位年龄分别
为63、28和19岁的人。这些人更有组织、更专业而且对秘密行动更感兴趣。相反的,出于满足自我而发动拒绝服务攻击已经成为老派青年的过去时。
Lloyd说:“这其中涉及到的活动实际上构成一条发行渠道。有人负责制造,有人负责销售,有人负责使用。一个人不可能完成从制造到使用的整个过程。脚本小子是不可能的了。做这些事的人实际上已经变成了有组织犯罪。”
具体地说,僵尸黑客发动高回报的欺诈活动,如垃圾邮件、通过键盘记录的身份偷窃(捕获键盘输入来掌握用户的姓名和口令)、点击欺诈(自动点击广告商按点击付费的标题广告)和Warez(传播盗版软件)。
研究人员说,这类活动的规模和涉及到的资金会十分巨大。例如,Click Forensics的研究人员说,点击欺诈占所有点击的14%,在高价广告点击中高达20%。研究机构Incre Mental Advantage的分析师说,这让广告商去年付出大约6.66亿美元。Business Software Alliance的研究人员称,全球四分之一的软件被盗版,使软件制造商损失几十亿美元。
另外,作为人们购买、销售和签订购买僵尸网合同的地方,黑市服务器如今同样星罗棋布。Symantec的新兴技术主管Oliver Friedrichs说:“僵尸成为这种地下经济的重要组成部分,它是我们过去6个月左右的时间里见到的新趋势,一次大暴发。”这些服务器也是犯罪分子销售通过他们的僵尸得到偷来的信息(如信用卡号)的地方。
僵尸网络的整合
由于僵尸黑客显然需要为管理和运营他们的僵尸网络花费资源,因此他们变得对增加他们管理的网络数量不太感兴趣。Symantec的报告指出,从2006年下半年开始,指挥控制服务器的数量减少了25%,这表明僵尸黑客正在进行整合,使每个网络变得更大。
奇怪的新的攻击造成安全研究人员推测僵尸黑客正在争夺地盘,相互攻击。一些恶意软件的目标可能是让对手的木马失效,而在这一过程中,会给网络造成严重破坏。例如,Web监测公司Websense报告说,最近发现的一种蠕虫,主要是针对访问过一个恶意的炒股诈骗网站的计算机。它让机器染上一种造成它们不断重新启动的病毒,使它们无法完成合法工作(和被非法使用)。
由于僵尸黑客对于保住他们的数百万台被感染的机器的秘密更感兴趣,他们会激活一台机器,大量发送垃圾邮件或发动点击欺诈攻击,然后迅速关闭连接。Rootkit病毒在操作系统看不到的情况下悄悄运行。僵尸黑客通过HTTP(不一定依赖于Internet Relay Chat)控制他们的机器。这意味着检测网络上的僵尸非常困难。
社交网络的疾病
更令人不安的是,今天的僵尸黑客使用像带毒博客、跨网站脚本和iFrames(它们不要求用户采取任何行动,就可以感染用户的计算机)等
技术。如果一台安装着存在安全漏洞的操作系统或浏览器的PC,访问某个包含恶意代码的网站或博客,就会人不知鬼不觉地遭到感染。恶意JavaScript(有时存在于广告件中)被自动下载到这台PC上,这台PC成就变成僵尸了。由于廉价的基于共享服务器的Web托管十分流行,黑客可以利用一个操作系统安全漏洞进入几十台Web服务器。
带毒博客和跨网站脚本(涉及将恶意代码植入到合法网站中)已经出现很多年了。但僵尸黑客发现了利用它们的新途径。在超级杯橄榄球开赛之前(即成千上万人设法购买球票的时候)入侵Dolphins Stadium网站的僵尸黑客就是其中一个最臭名昭著的例子。
社交网络也会变成恶意件藏污纳垢之地,因为这类网络允许用户上载和共享文件、数据和其它潜在有害的代码。在使用iFrame时,看不见的框架可被用来将检测不到的恶意软件自动下载到网站、博客和社交网络上。
FaceTime Communications是一家从事实时应用(如IM和VoIP)保护的Web监测公司。公司恶意件研究主管Chris Boyd说:“网站和社交上有那么多的个人信息和那么多的用户,对黑客而言,这简直就是一座信息金矿。”
僵尸网络的特性:
僵尸网络会从用户安全防线的背后发起攻击。
僵尸网络的范围极为广泛,甚至没有企业和用户能够完全避免。
垃圾邮件、身份偷窃、点击欺诈和传播盗版软件,已经成为僵尸网络的主要盈利手段。
大规模的僵尸网络整合已经开展,这会给用户网络带来灾难。
博客和社交网络已经成为僵尸黑客关注的重点。