如果说恶意软件是一般的昆虫的话,那么僵尸网络就是白蚁——他们挖洞躲藏在你的安全设施的后面,潜伏一段时间,然后发动攻击。
一旦一台电脑被感染,它就会无声息的等待僵尸操控者的命令,僵尸控制者把这些僵尸计算机组成一个庞大的僵尸网络然后在因特网上大量制造垃圾邮件和其它恶意软件。
你也许不能完全堵塞僵尸网络的入侵,但是通过多层次的僵尸猎捕技术和一些基本常识,你可以将僵尸网络的威胁最小化。
每个人都有可能感染了僵尸病毒
在你与僵尸病毒作斗争之前,你应该知晓这一问题的范围。“我们一直否认僵尸网络的规模,”Michael Barrett说,他是总部位于San Jose,加利福尼亚州(美国)的PayPal公司的首席信息安全官(CISO)。
实际上,最近一项对于394名Network World读者的网络安全调查的回执表明,高达43.7%的认为受到威胁的客户机并不是一个严重的问题。另外30.2%的人则称他们并没有见到过网络中的计算机受到感染的证据。
接近75%的回答者并没有对这一问题引起高度重视,这并不就意味着危险不存在,Support Intelligence的CEO(首席执行官)Rick Wesson说,这家公司专门跟踪僵尸病毒的爆发情况。每一天,公司都会追踪到各种各样来自于受到受感染客户的危险的和欺诈性的垃圾邮件。
“一系列的恶意行为表明僵尸网络的控制者是相当的聪明,操作系统是很脆弱的,几乎每一个人都会感染僵尸病毒,绝大多数的公司都有相当严密的网络,但是你认为你的公司不会有僵尸网络的想法是很幼稚的。我们有足够的数据表明,世界1000强的企业中,相当一部分都感染了僵尸病毒。”他说。
如果这些世界1000强的企业不能阻止僵尸病毒的话,那些小的企业或是客户就不要指望任何奇迹了。安全服务提供商Cyveillance公司的安全部门主管Ken Lloyd说,中小企业很少有足够的资源升级安全设施或是监测网络和计算机的的异常流量类型。Ken Lloyd还说,消费者现在的风险是最大的,因为他们只有最少的安全保障。
“企业也同样存在问题,这一点是毋庸质疑的,”入侵检测(IDS)软件制造商Sourcefire的首席技术官(CTO)Martin Roesch说。企业是最脆弱的,因为他们的很多计算机都不能应对恶意软件的攻击。“随时都会有问题——当人们在即时通讯时遭遇垃圾邮件,或者是木马和其它病毒,或是在他们的收件箱中收到这些东西,或是他们的IE浏览器和火狐浏览器本身的漏洞。”他说。实际上,Gartner估计在本年度末的是时候大概会有75%的企业会感染上僵尸病毒。
因特网上的犯罪化问题
在过去的几年中,僵尸控制业已成为以盈利为目的的有组织犯罪行为。利己思想的年轻人发动DoS攻击的时代已经一去不复返了。例如,去年暑假发生在伦敦的一次逮捕就包括一名63岁的老人,另外2个分别是28岁,19岁。而现在僵尸控制者组织更为严密,更加专业,也对秘密行动更有兴趣。
“在这一行为中,按理来说应该有一个分配的渠道。其中有人负责制造,有人负责销售,还有人使用。一个人不可能完成从创造到使用的全部事情。”Lloyd说,“操控这些事情的人基本上已经变成了有组织犯罪。”
现在明确的是,僵尸计算机的掌握者正在从事着高回报的事情,譬如,垃圾邮件,通过键盘记录的偷窃事件,点击欺骗,以及盗版软件的传播。
与之相关的金钱的数量和规模是相当大的,研究者透露说。例如,点击欺骗占到了总点击数的14%,并且占据了高价广告的20%,ClickForensics的数据表明。IncreMentalAdvantage说,去年一年大概花费了广告商666,000,000美圆。商业软件联盟宣称世界上25%的软件是盗版的,给软件开发商造成了数十亿美圆的损失。
黑市交易平台——人们在上面购买,销售,签署僵尸网络契约的行为也大幅度增加了。
“僵尸网络是地下经济的一个很大的部分……这是一个新的转变,一个我们在过去6个月里所看的爆发性增长的事物,”Oliver Friedrichs说,他是Symantec Security Response的潜在技术部门的主管。在这些服务器上,犯罪分子门倒卖从僵尸计算机那里获取的信用卡号。
对僵尸网络的斗争
因为现在的僵尸牧人很明显已经花费了大量的资源来管理和运行他们的僵尸网络,他们对于增加他们所管理的僵尸网络的数量的醒悟减少了。Symantec的报告称,在2006年的下半年,僵尸网络的指挥控制服务器减少了25%,这也就暗示着僵尸牧人正在巩固和使他们的网络变得更大,这家公司称。
层出不穷的攻击方式使安全研究者怀疑现在的僵尸牧人正在内讧并且互相攻击对方。一些恶意软件的目标很可能是瘫痪竞争的对手的靶标;在这一过程中导致了网络的大灾难。例如,最近有一种蠕虫病毒的针对对象就是访问过Pump-and-dump网站的计算机。网络监测公司Websense报道说,计算机感染上这种病毒之后会不停的重启,使得计算机无法正常工作,当然也使得非法工作无法进行。
因为僵尸牧人对保持他们的数以百万计的受感染的计算机处于秘密状态更加感兴趣,他们会激活一台计算机,传播大量的垃圾邮件或是运行点击欺诈的游戏,然后迅速断开连接。Rootkit感染对操作系统的损害是无形的。并且僵尸牧人通过HTTP控制他们的的机器(并不是一定要利用即时通讯);这意味着在你的网络上侦察出僵尸病毒是很难的。
社会网络疾病
更令人担忧的是现在的僵尸牧人开始利用有毒的博客,交互站点脚本或是框架页面等技术,这些都不需要用户采取任何行动,比如说点击邮件的附件,就会使用户感染。如果一台操作系统和浏览器有问题的PC访问了一个包含有恶意代码的网站或是博客的话,可能在不知情的情况下就感染了。恶意的JAVA脚本,有时是在广告软件里面,就会自动下栽到计算机中。然后就会指向另外一个恶意网站来获得命令,这样一个僵尸就形成了。随着在一个共享服务器里的不贵的网络主机的流行,黑客就能利用某个操作系统的漏洞访问很多网络服务器。
染毒的博客和交互站点脚已经存在有些年了,他们就是在合法的网站中植入恶意的代码。尽管如此,僵尸牧人找到了新的利用他们的方法。一个最臭名昭著的例子就是,在超级碗的比赛之前,僵尸牧人袭击了海豚体育馆的网站——而这时候有数千人正等着买票。
社会网络也有变成了恶意软件的臭水沟,因为这些网站允许用户上传和共享文件夹,数据和其它的潜在的恶意代码。只要有框架页面,看不见的框架就能被用来在不被发现的情况下自动从受到威胁的网站上下栽恶意软件,在博客上和社会网站上也是一样的。
“网络站点和社会网络站点——在这些站点上有如此多的私人信息和用户,那里是信息的金矿,”Chris Boyd说,他是FaceTime Communications公司的恶意软件研究的主管,这家公司专注与保护实时通讯应用程序的安全,譬如说IM 和VoIP。