风暴僵尸网路
风暴僵尸网路,或称为风暴蠕虫僵尸网路,是一种受远端控制的僵尸电脑 (或直译机器人网路)组成的网路。该网路是由暴风蠕虫 (一种透过垃圾电子邮件散播的木马)连起来的。研究预测截至2007年9月风暴僵尸网路至少藏身于1百万到5千万台电脑系统里某处默默执行。其他消息来源则折衷风暴僵尸网路的大小约为25万到1百万台电脑。更保守一点的估计,一个网路保全分析家宣称他曾写过一个软体“爬”过僵尸网路,并预测风暴僵尸网路控制了约16万台受感染的电脑。风暴僵尸网路首度发现于2007年1月左右,当时风暴蠕虫约占所有运行于微软视窗平台电脑流氓软体的8%。
风暴僵尸网路已被用于各式各样的犯罪行为。目前它的控制者以及风暴蠕虫的作者仍未被查出。风暴僵尸网路已显示出防御性的行为,显示它的控制者正积极的保护僵尸网路以避免种种追踪或者终止该程式的尝试。僵尸网路会针对某些试图侦查它们的保全公司或者研究员进行攻击。保全专家乔史都华(Joe Stewart)透露在2007年晚期,僵尸网路操作者开始进一步的分散其运作,可能计划将风暴僵尸网路部分卖给其他的操作者。2007年晚期某些报告指出风暴僵尸网路正在收缩,然而许多保全专家报告说他们认为僵尸网路仍旧是线上主要保全威胁,而且在僵尸网路作为银行诈欺、个人信息窃取、以及其他电子犯罪方面的共犯上,美国联邦调查局仍视它为主要隐患。
2007年9月的报告指出僵尸网路已强大到足以将整个国家从互联网上隔离,而且根据预测它每秒执行指令的速度足以超过某些世界顶尖的超级电脑。然而,这并不是完全精确的比较。根据保全分析师詹姆士透纳(James Turner)说把僵尸网路与超级电脑拿来比较,就像拿狙击手组成的军团与核武器相比较一样。英国保全公司马歇尔(Marshal)的布莱德雷·安斯底斯(Bradly Anstis)说:“更值得担忧的事是频宽。只要算一下4百万倍的标准ADSL连线。那是很大的频宽,这让我相当担忧。有像那样的资源在他们手上 — 分散在世界各地,高度密布于很多国家内 — 意味着他们可以对许多网页寄存服务商投射非常有效的离散式攻击。”
起源编辑本段回目录
风暴僵尸网路首度在2007年1月于互联网被侦测到,它与其蠕虫之所以被命名是因为一开始它用来感染宿主的email都有一行与风暴相关的标题,像“风暴侵袭欧洲,230人死亡。”后期耸动的标题如:“中国导弹击落美国飞机。”、以及“美国国务卿康多莉扎·赖斯踢了德国总理安格拉·默克尔一脚。”信息安全专家们怀疑某些知名在逃的垃圾邮件大王,包括李欧·库马耶夫 (Leo Kuvayev),可能参与或控制风暴僵尸网路的运作。根据科技专栏作家丹尼尔·汀南(Daniel Tynan),在他一篇以罗伯特·克灵居礼(Robert X. Cringely)作为笔名的著作写道,很大部分风暴僵尸网路之所以存在的过失得归因于微软与Adobe Systems。其他研究资源指出风暴僵尸网路取得牺牲品的主要方法是透过经常变换其社会工程体系来蛊惑用户。根据派崔克朗诺(Patrick Runald)的研究,风暴僵尸网路有强烈的美国事务焦点,因此多半在美国国内有干员在其中工作并支持其运作。不过,某些专家相信风暴僵尸网路控制者群是俄罗斯人,特别是俄罗斯商业网路涉有重嫌,其根据是援引风暴软体提到了对在莫斯科的卡巴斯基公司的憎恨,并且包括了俄罗斯的单字"buldozhka",即“斗牛犬”之意。
组成编辑本段回目录
机器人网路,或称僵尸网路,是由微软视窗作为其操作系统的电脑组成。一旦受到感染,机器就变成了僵尸电脑。该僵尸电脑便在电脑拥有者不知情或允许下迳自自动进行多种工作 — 包括任何从取得用户资料、攻击网站、到转发传染电子邮件的种种事务。预估约5千到6千台电脑是专门做透过电子邮件夹带感染过的附件来繁殖扩散蠕虫这件事;截至2007年9月,僵尸网路送出了12亿条病毒信息,其中光在2007年8月22日的单日纪录就达到5千7百万条。根据电脑法学鉴识家劳伦斯·鲍德温(Lawrence Baldwin)所言:“总合来说,暴风僵尸网路每天送出约10亿条信息。它可轻易的再多加两个零。”勾引受害者的方法之一是感染免费音乐网站,像提供如碧昂丝·诺利斯、凯莉·克莱森、蕾哈娜、老鹰乐队、及一些当地知名艺人音乐免费下载的网站。而基于数位签章为主的侦测 (一种大部分电脑系统对抗病毒与流氓软体感染主要防御手段) 因受到大量风暴蠕虫变种的攻击而阻碍其效能。
控制僵尸网路与风暴蠕虫扩散的后台伺服器群自动对它们的扩散感染软体以一小时两次的速度重新编码,作为新的传播媒介,这种手段使得防毒软体商终止病毒扩散及运作较为棘手。另外,控制僵尸网路的远端伺服器位置藏在一种固定变换DNS技术,叫做“快速通量”(fast flux)之后,使发现并拦截其宿主站与邮件主机更为困难。简单来说,这群机器名称与位置常常轮换,往往是几分钟就换一次。风暴僵尸网路操作者透过点对点技术控制系统,让外部查杀该系统更加不易达成。在风暴僵尸网路里并没有中央“命令控制点”可以停止该网路。僵尸网路也利用加密流传播。其感染个人电脑的办法通常不外乎透过操弄使人们相信并下载夹带病毒电子邮件的几种实做里打转。其中一个简单的例子,僵尸网路控制者利用美国国家美式足球联盟开赛周末,送出电子邮件谎称提供“足球赛事追踪程式”,事实上它除了感染用户电脑以外什么事都没做。据MessageLabs的首席反垃圾邮件技术员麦特·斯尔金(Matt Sergeant)说:“以计算能力论,超级电脑终究不堪[僵尸网路]一击。如果你把所有500台顶尖的超级电脑能力加起来,超级电脑群只能与两百万台僵尸网路机器匹敌。这些罪犯拥有可使用如此计算能力实在很可怕,然而我们可以反击的部分实在有限。”保全专家们预估现在使用的只有全部风暴僵尸网路总容量与能力的10%到20%。
保全专家乔·史都华利用隔离考察中间系统被感染至加入僵尸网路的方式进一步揭露其过程:尝试加入僵尸网路的任务是由参与对话中的电脑系统逐步执行一系列的EXE档案。通常,这些档案被按照顺序命名,例如从game0.exe到game5.exe,或者类似档名。它随后继续轮流启动执行档。这些执行档一般进行的任务如下:
1. game0.exe — 后门 / 下载器
2. game1.exe — SMTP转发
3. game2.exe — Email 地址盗号器
4. game3.exe — Email 病毒扩散器
5. game4.exe — 分散式阻断服务攻击 (DDos) 工具
6. game5.exe — 更新过的风暴蠕虫拷贝
在每个阶段中间系统将连上僵尸网路;快速通量DNS技术使得追踪这个过程异常艰难。这代码是从视窗系统 %windir%\system32\wincom32.sys 下透过系统内核rootkit执行,并且所有连回僵尸网路的连线都是透过修改过的eDonkey/Overnet通讯协定达成。
方法论编辑本段回目录
风暴僵尸网路以及它的变种采用广泛的攻击方法,因而相对多样的的防御步骤亦同时存在。风暴僵尸网路不但受到其背后组织监视并自我防卫,它也会攻击那些提供线上扫描被风暴病毒感染电脑的主机。僵尸网路会以拒绝访问反击以防卫它自己,借此保持其内部一贯性。在过去某个时段,以前用来散播僵尸网路的风暴蠕虫曾企图在互联网上释放上百上千种它自己的版本,打算以一次密集性攻击来压垮防毒反流氓软体保全公司的防卫线。根据IBM保全研究员约书亚·柯曼 (Joshua Corman)指出:“这是我记忆中有史以来第一次看过研究员真的害怕去调查这个漏洞。”研究员们仍旧不确定是否僵尸网路的防御及反击是程式自动的,或者是该系统操作者手动执行的。“如果你试着给它绑个除错器,或者对中继站回报的站点进行查询,僵尸网路马上知道并立刻惩罚你。在SecureWorks事件后,僵尸网路中一小块直接拒绝存取服务某研究员并把他拿下网。每一次我听到某个调查站试着要查这档事,他们会自动被惩罚。它知道它自己被调查,并惩罚他们。它进行反击。”柯曼补充道。
Spameater.com 以及其他站像 419eater.com 与 Artists Against 419,都是对抗419电子垃圾邮件诈欺的网站,他们都曾经历过DDoS攻击,造成被攻击站点暂时完全无法运作。DDoS攻击包括进行大量的同时网路请求到这些或者其他目标的IP位址群,造成伺服器负载过荷并阻塞主机回应请求。其他反垃圾反诈欺的集团,如Spamhaus Project,也遭受到攻击。Artist Against 419网站网管表示该站倒站前伺服器达到每小时4千亿位元组资料量(400gbits/h),相当于约300台ADSL连线机器同时持续不断的上载攻击流量,并每台必须达到其频宽最大理论值每秒30万位元组(300kbit/s)。鉴于理论值现实上永不可能达到,当时动员的机器可能两倍多,并且类似做案方式发生在一打以上的反诈欺网站上。一位垃圾信件研究员陈杰夫说:“在打击风暴僵尸网路的观点上,从好的方面看是艰巨,从坏的方面看是不可能,因为这些坏蛋控制了数以百计百万位元(megabits)的流量。某些证据显示他们可能控制了上以百计十亿位元(gigabis)的流量,这种流量足以将某些国家整个从互联网驱离。”
风暴僵尸网路的系统也在受害人电脑系统本地端采取步骤防卫它自己。在某些中间系统里,僵尸网路在视窗机器下创造了某个电脑进程;无论何时一个新程式或者其他进程开始执行该进程都会告知风暴系统。在之前,风暴蠕虫在本地端仅仅只会告诉其他程式 — 如反毒反流氓程式 — 不去执行。然而,根据IBM保安研究指出,现在版本的暴风蠕虫不过“愚弄”本地系统以为敌方程式正常执行无误,不过实际上,它们什么都不做。“程式,不单包括可能触发存取违规的exe档、dll档、与sys档,亦包括软体像P2P应用程式BearShare以及eDonkey都将看起来顺利执行,即使他们并不实际上做什么事,这种方式远远比起一个进程受到外面影响突然间终止那种做法较不容易让人起疑。”Sophos公司的理查·科函(Richard Cohen)道。中间系统的使用者,以及相关的保全系统,将会假定保全软体跑得好好的,实际上阳奉阴违。
2007年9月17日,一个美国共和党的网站被当作中继站来散播风暴蠕虫与僵尸网路。2007年10月,僵尸网路利用YouTube里邮件系统里CAPTCHA应用程式的漏洞,递送垃圾邮件到Xbox拥有者,假意欺骗他们有机会赢得最后一战3电子游戏特别版。其他攻击方式像利用人们喜欢可爱事物的心理,例如微笑的小猫动画图片以取得人们点击木马程式下载,还有蛊惑雅虎地球村服务的旗下用户下载软体,因为信件假称地球村本身需要用到它[39][40]。趋势科技的保罗·佛古森(Paul Ferguson)特别针对地球村的那次攻击称之为“充分准备的入侵感染”,并牵涉到俄罗斯商业网路—一个知名的垃圾邮件与流氓软体服务组织—的成员。2007年圣诞夜,风暴僵尸网路开始送出有针对男与女“性”趣假期专题信息,像“找个美豚过剩蛋”(Find Some Christmas Tail)、“圣诞12女 (The Twelve Girls of Christmas)”、“耶诞老婆今晚上门!(Mrs. Claus Is Out Tonight!)”、以及媚惑的女性照片。这种方式被描述为企图在假期期间勾引更多未保护系统加入僵尸网路以拓展其规模,而此时相对的网路保全商的保全更新可能得花较长时间才能部署完毕。在圣诞节脱衣舞娘邮件散播后隔天,风暴僵尸网路操作者立刻开始送出新一轮电子邮件,宣称希望他们的收件人都“2008年新年快乐”。
在2008年1月,僵尸网路首度被侦测到跟钓鱼网站攻击主流金融机构挂勾,此次的目标是巴克莱银行与海利发克斯银行。
加密与销售编辑本段回目录
2007年10月15日左右,研究显示部分风暴僵尸网路与其变种上市待售。这交易可透过使用特制的保全金钥对僵尸网路流量与资讯加密进行。该特制金钥允许与其相匹配的风暴僵尸网路的每个部分、或者子区域进行联系。然而,这种方式在未来可使他人侦测、追踪、并且屏闭风暴僵尸网路的流量,如果金钥有特定长度与签名的话。电脑保全公司Sophos同意,将风暴僵尸网路划分很可能是它转售其服务征兆的这个臆测。Sophos的葛拉汉·库雷 (Graham Cluley)说:“风暴僵尸网路对加密流的使用是一个引起我们实验室注目的有趣功能。它最有可能的用途在提供电子罪犯租用部分的网路以作为其滥用所需。如果网路被这些人用来做垃圾邮件、分散式阻断服务攻击、以及其他恶意用途,我们都不会感到惊讶。”保全专家们表示,如果风暴僵尸网路被流氓软体市场所切割,以“立即可用+僵尸网路制作+垃圾邮件包”形式发行,世人将会看到风暴僵尸网路相关感染与中继电脑系统数量急遽的增加。加密仅仅只有影响到自2007年10月第二周以来风暴僵尸网路作为中继系统的电脑,意味着任何在这个时段之前被当作中继电脑的系统被追踪与屏闭仍旧困难重重。
在风暴僵尸网路这部分被发现的几天内,来自新子区段的垃圾邮件已被各大保全公司所揭露。于10月17日晚间,保全公司开始看到新的垃圾邮件内嵌了MP3音乐档,而该信企图欺骗受害者去投资细价股,以作为非法炒股诈骗的一部分。研究相信此次是前所未见、首度利用实际上音乐档案以愚弄受害者的垃圾电子邮件欺诈案例。然而,几乎不像所有其他的风暴僵尸网路相关的电子邮件,这些新的音乐-股票欺诈信息并没有包括任何病毒或者风暴僵尸网路流氓软件酬载;它完全不过是股票欺诈的一部分。
2008年1月,僵尸网路首度被侦测出与针对主要金融机构用户的钓鱼网站攻击挂勾。瞄准的欧洲银行机构包括:巴克莱银行、海利发克斯银行、以及苏格兰皇家银行。F-Secure指出特制金钥意味着用于攻击的僵尸网路区段是租来的。
现状编辑本段回目录
2007年9月25日,据预测微软对视窗恶意软体移除工具(MSRT)中的一个更新可抑制僵尸网路的规模最多达20%。微软宣称,新的修补程式从二百六十万台扫描过的视窗系统中274,372台移除风暴蠕虫[54]。不过,根据微软资深保全人员所说:“超过180,000已被MSRT清理干净的机器,它们很可能打从第一天开始就是家用机器,意思就是不活跃参与‘风暴僵尸网路’每日的作业。”这间接指出MSRT清理可能只是象征性能采取的最好行动。
2007年10月末,某些报告指出风暴僵尸网路已经正在失去其暨有规模,并且数量显著的减少。圣地牙哥加利福尼亚大学的保全分析师布兰登·恩来 (Brandon Enright)估计僵尸网路截至10月末已经掉到约160,000台中继系统,与他于2007年7月预测的约1,500,000台系统相比较。不过,恩来注明:僵尸网路的组合时常变动,而且它仍旧主动的自我防御外来的攻击与监测。“如果你是个研究员并且你造访流氓软体宿主网页太多次...那么一个自动进程将自动对你投射拒绝存取攻击。”他说道,并且随后补充了他的研究使得风暴僵尸网路攻击圣地牙哥加利福尼亚大学,造成该校部分的网路瘫痪无法上网。
电脑保全公司McAfee表示风暴蠕虫很可能是未来攻击的基础。之前发现Mydoom蠕虫的著名保全专家克雷格·雪姆加 (Craig Schmugar) 称风暴僵尸网路是趋势设立者,其行为引领了罪犯们利用更多类似的策略。这类僵尸网路的衍申之一被赋予“垃圾邮件帮派名人”的称号,肇因于他们使用与风暴僵尸网路控制者类似的技术工具。然而,不像过去风暴操作者使用来勾引牺牲品的复杂社交工程那样,垃圾邮件帮派名人承散播影视名人 (如安吉丽娜·朱莉与布兰妮·斯皮尔斯) 的裸照之便。思科系统保全专家在报告中指出他们相信风暴僵尸网路在2008年依然是个严重威胁,并且说他们预测其规模仍保持在“上百万台”。
于2008年年初,在其黑帽经济体系下运作的风暴僵尸网路也碰到了其商业上的竞争对手:努哈赤 (Nugache) 组织,它是另一个类似的僵尸网路首度于2006年被鉴识出来。报告指出介于两者僵尸网路操作者为其电子邮件递送服务销路的价格战可能暗潮汹涌。随着介于2007-2008年圣诞节与元旦假期间,德国 Honeynet 计划研究者报告指出风暴僵尸网路可能会在该期间最多扩展其 20% 的规模。MessageLabs Intelligence于2008年3月的报告预测所有互联网上的垃圾电子邮件总数超过20%来自于风暴僵尸网路。
