大战僵尸的不仅仅是那些可爱而勇敢的植物们了,微软也正在和僵尸火拼着。3月18日,拿下Rustock(目前世界上最大的垃圾邮件僵尸网络)后,微软长出一口气,终于打死了一只大僵尸,过了一关。预计,全球垃圾邮件数量将因Rustock的倒下而减少大约四成。
3月21日,微软中国官方博客上出现了一篇洋洋洒洒数千字,题为“微软联手多国政府组织打击Rustock垃圾邮件僵尸网络”的庆功稿,满是欣喜地向中国用户宣告微软的好消息,最后当然没忘提醒用户选择自家最新产品IE9——微软同日在中国正式发布IE9。
僵尸网络前仆后继
如果你的邮箱收到诸多垃圾邮件,那恭喜你,这个邮箱正常工作着。僵尸网络正是垃圾邮件的源头——根据赛门铁克公司的安全报告,全球95%的垃圾邮件是由僵尸网络发出的。
僵尸网络做的恶让用户防不胜防。它可以将恶意程序植入计算机中,远在天边的控制者只要控制几台主机,就能直接向大量计算机发送攻击指令。它利用受感染电脑能干的坏事不少:发送垃圾邮件、对网站实施拒绝服务攻击、传播恶意代码、造成网络广告点击欺诈等。其中发送垃圾邮件对僵尸网络而言是最不费力的活。
再简单的事,僵尸网络也做得足够智能。它会将创建的垃圾邮件发送给不同的接收者。在被撂倒之前,Rustock感染并控制了全球将近100万台个人电脑,每天发送上百亿封垃圾邮件。
僵尸网络出现于2002年。不到一年时间,僵尸网络的商业价值就十分明朗了。在金钱的驱动下,黑客们使出浑身解数,僵尸网络得以神速发展。美国加州大学圣地亚哥分校和国际计算机科学研究所克里斯·卡尼曲和他的团队成员做了一项实验,来估算发送垃圾邮件带来的收入。实验结果令人吃惊,垃圾邮件发送者每日的总收入高达7000美元。
3月4日,一度拥有“全球垃圾邮件之王”称号的罗伯特·索洛韦在遭受四年多监禁后重获自由。他在2003到2007年期间共发送了大约10万亿封垃圾邮件。这期间,他创造的垃圾邮件网络每天创收2万美元,他为接收这些报酬开了数百个银行账户。
黑客们大把现金入账,叫苦不迭的就是那些误中垃圾邮件圈套的用户们了。僵尸网络纵然遭到层层围剿,却是“野火烧不尽,春风吹又生”。
2008年11月,代管多个僵尸网络服务器的运营商McColo被断网。McColo几乎和任何网络攻击活动都脱不了干系,它给Srizbi、重新复活的Mega-D、RuStock、Asprox、Bobax、Gheg、Cutwail等僵尸网络的幕后操控服务器提供主机代管服务。McColo的封锁使得全球垃圾邮件数量一度锐减70%。然而好景不长,在2009年1月,垃圾邮件数量又回到了原有水平。
黑客所掌握技术是难以对僵尸网络斩草除根的原因。比如,开发Srizbi的人事先考虑到命令和控制服务器可能被移动的情况,并开发了相应的代码作为应对策略。因此,Srizbi在短短2个月时间里就摆脱了McColo被封锁的阴影,死而复生。Rustock 则擅长将图片文件伪装成合法新闻邮件。对于大多数垃圾邮件过滤软件来说,图片垃圾邮件难以检测。
微软师出有名
在封杀McColo的过程中,曝光它的是由网上志愿者组成的互联网安全联盟HostExploit,出手的是美国互联网服务提供商Global Crossing及Hurricane Electric,未见微软的身影。可眼见越来越多僵尸网络攻击的突破点是微软IE浏览器后,微软坐不住了。安全厂商FORTINET甚至直接宣布被发现最多漏洞的应用有:Adobe Shockwave、Adobe Flash、PowerPoint、苹果 QuickTime和微软IE浏览器。
微软于2010年10月发表了一份安全报告,指出美国有200万台电脑成为了僵尸网络的成员。微软还警示僵尸网络已然成为商品在“黑市”上明码标价出售。而彼时,微软已经正式投入到打击僵尸网络的艰难战役中,并取得了一个至今仍为人津津乐道的胜利。
2010年2月28日,微软巧妙运用一项民事诉讼程序,创新了打击在线犯罪的手法。根据当时参与此案的微软资深律师理查德· 博斯科维克的叙述,美国弗吉尼亚州联邦法院法官促使审理微软案的地方法院法官里奥尼·布林克马批准一项被告因不出庭而败诉的判决。被Waledac僵尸网络用作中央控制台、指挥成千上万台中毒电脑的276个域名,被判给了微软,形同于永久关闭。
用假名在中国注册其中大多数的域名的Waledac幕后经营者接到审判通知,没有底气出庭。微软提起诉讼后不久,就获法院核准临时限制令,在未先知会域名注册者的情况下,暂时关闭Waledac域名。
此案中微软的高明之处在于,它巧妙地运用一种称为单方面(ex parte)的法律程序,让法院不需这些域名所有人出庭,也能作裁决。
基于关闭Waledac的经验,微软这次对付Rustock就轻车熟路了。微软起诉了Rustock的匿名操控者在垃圾邮件中侵犯微软商标权。在法律许可范围内,微软提取现场证据并尽可能地从互联网托管服务商获取被感染服务器用于分析,而后又和荷兰警方合作,封锁了主要的海外主机。微软再与上行带宽服务者联络,将僵尸网络控制者的IP统统屏蔽,最后与中国国家计算机网络应急技术处理协调中心合作,屏蔽操作者可能注册的新域名。
在IE9推出的重要关口,Rustock真身灰飞烟灭,微软的时间表安排得很不错。微软如何减少IE9的安全漏洞无从而知,但能把外界攻击IE9的可能性减少一点是一点,至少微软能拍胸脯说IE9更安全了。
美国政府对僵尸网络的打击力度也在加大。2010年12月1日,FBI表示确认一名23岁的俄罗斯男子奥列格·尼古拉连科系世界第三大僵尸网络Mega D的幕后人物,并以“协助他人违反通信法规”的罪名对他发出了通缉令。12月3日,尼古拉连科就在美国威斯康星州密尔沃基市联邦法院出庭了。虽未最后判决,但一旦罪名成立,尼古拉延科将获得最长3年的监禁和最高25万美元的罚款。
战火仍将蔓延
尽管Rustock倒下了,但别忘了代表僵尸网络未来发展方向的Grum (它采用了内核模式的rootkit ,很难被检测到。它还狡猾地采用自动执行的注册项来感染文件,保证恶意代码可以被有效激活。)和既可基于代理服务器也可基于模板的Maazben仍顽强生存着。
僵尸网络发送的信息对用户是很有诱惑力的。赛门铁克发布的1月和2月垃圾邮件及钓鱼攻击现状报告均显示,垃圾邮件发送者们总是投接收者之所好,并根据时间和时事调整邮件内容。在元旦过后,垃圾邮件以健身为诱饵。因为1月份,健身中心和运动俱乐部的注册人数通常会大幅上升,许多人在新年伊始便下定决心要保持身材。而针对中国的用户,垃圾邮件应着人们喜洋洋购置年货的景,穿上了宣传食物礼品篮的外衣。2月14日前,垃圾邮件又打起了“我们约会吧”的幌子。
现在人气最旺的网站是什么?对的,你知道答案是社交网站,僵尸网络同样也知道。在觉得攻击Adobe已经没有什么挑战后,僵尸网络们开始对Facebook、Twitter下手了。一个名叫Koobface的僵尸网络,它攻击Facebook用户以传播病毒。还有招数是利用 Twitter 作为垃圾邮件恶意 URL 的目标网页,藉此躲避电子邮件 URL 过滤技术。Twitter、Facebook、Pastebin、Google Groups 和 Google AppEngine都曾被用来当幕后操控基础架构的代理。
僵尸网络的栖身地也不限于PC了。越来越多消费者使用的智能手机和平板电脑也成了它们的乐园,其手段也由发送垃圾邮件进化为植入恶意软件。McAfee发布的《2010年第四季度McAfee威胁报告》显示,针对移动设备的威胁呈持续增长态势。2010 年新发现的恶意软件数量高达2000万个,相当于每天新增近5.5万个恶意软件。2010年9月,中国国家计算机病毒应急处理中心检测到了能控制手机发送任意内容短信的“手机僵尸”病毒。不得不说,在线罪犯们属于时尚潮流的紧紧跟随者。
给消灭僵尸网络增加难度的还有迫在眉睫的IPv6应用。静态的IP地址可以被拉入黑名单,但解决IP不够用问题的IPv6的部署可以使互联网服务供应商(ISP)采取简单的方法分配IPv6地址,而不再给用户分配静态的地址。IP黑名单无法包括这些地址。对互联网服务供应商而言,为用户分配一个静态IP地址成本过高,他们会更愿意采用IPv6地址。僵尸网络操纵者们正在窃喜,IPv6逃不过这一劫。
安全卫士们任重而道远。
编辑:信诚IT保姆http://www.xcitbm.com |