僵尸网络大搜捕编辑本段回目录
包含数千甚至数百万已感染病毒和远程控制计算机的网络是因特网灾难的根源。这些所谓的“僵尸网络”在网络和计算机系统中发送垃圾邮件并发起攻击。
研究人员已经想出了识别感染机器的方法,就是利用其与控制服务器通信的途径。
许多僵尸网络使用被称为“域流量”(domain fluxing)技术,这让查找并禁用其控制服务器变得很困难。一个被感染的计算机会产生大量随机域名列表,并检测每个域中的控制服务器。这样要找到僵尸网络控制器就非常困难。其创建者知道怎样产生相同的列表,只需要保留一个域来向僵尸网络发送命令。
在最近的一篇论文中,德克萨斯州农工大学(Texas A&M University)的一个研究小组和一家安全公司Narus发现了使用域流量技术来识别僵尸网络计算机的方法。他们发现僵尸网络所生成的域比正当途径得到的那些要更加无规则。
研究人员查看了许多不同机器发出的域名查询。“如果这些名字接近随机分布,我们就说他们是不规则的,”那罗辛哈·瑞迪(A.L. Narasimha Reddy)说,他是德克萨斯农工大学的工程学教授,是他和同事一起开发了这项技术。每次向500个域发送请求的计算机可以被认定为僵尸网络的一部分。
但是瑞迪担心一种新的秘密型号的僵尸网络,它只被唤醒用来引导攻击,那样会使检测工作变得困难。“我非常相信僵尸网络的编写者将试图通过采取抵制检测的措施来进行革新,”瑞迪说,“既然我们有钓鱼攻击,可以轻松的诱惑人们点击链接,攻击者将想办法走在前面。”
新的合法途径可以协助与僵尸网络的斗争。3月中旬,美国司法官和计算机取证专家在网络上袭击了7城市的虚拟主机中心,拔出了那些用于控制大型僵尸网络Rustock的服务器硬盘。这个网络由超过200万个发送垃圾邮件的计算机组成。
微软使用众所周知的商标侵权法——兰哈姆法案(Lanham Act)引导了一场打击Rustock的运动。宣布垃圾邮件制作者在未经微软和辉瑞制药(Pfizer)允许的情况下使用其商标,这样法官相信必须采取极端措施。一个特别法律命令允许微软和美国司法官在不首先通知所有人的情况下缴获罪犯的硬件设备。
微软联合多国围剿黑客编辑本段回目录
在微软公司总部有这样一群人:他们以前是警察、法官、检察官或是一些顶尖的技术高手,他们组成了网络犯罪调查部,他们的任务是打击网络黑客。
在微软公司总部有这样一群人:他们以前是警察、法官、检察官或是一些顶尖的技术高手,他们组成了网络犯罪调查部,他们的任务是打击网络黑客。当然,他们不是单打独斗,微软公司内部还有其他部门配合他们的行动,同时也与业界、学术界以及各国政府合作,才能够完成这个复杂的过程。
一年前,微软通过“B49”行动,关闭了Waledac垃圾邮件僵尸网络。最近,微软又通过“B107”行动,联合多国政府进行的一次黑客围剿。这次行动打击的是全球最大的Rustock垃圾邮件僵尸网络。
歼灭Rustock僵尸网络
僵尸网络被认为是网络罪犯用于攻击网络的常用工具。它利用受感染的个人电脑发送垃圾邮件,向网站实施拒绝服务攻击,传播恶意代码,造成网络广告点击欺诈等等。Rustock正是这样一个网络。
据微软网络犯罪调查部研究显示,全球有将近一百万台被Rustock恶意软件感染的个人电脑。这些电脑受到操纵僵尸网络的个人或组织的远程控制,而且通常电脑用户并不知道其电脑已经被劫持。僵尸牧人通过多种方式恶意感染电脑,比如当用户浏览潜藏恶意代码的网站,点击恶意广告,或者打开中毒邮件的附件。僵尸牧人通常隐蔽的植入恶意代码,以至于用户通常不知道个人电脑已经被感染。
被Rustock恶意软件控制的电脑被称为“肉鸡”。一台受 Rustock感染的“肉鸡”在45分钟内可发送7500封垃圾邮件,即每天24万封垃圾邮件。通过这个僵尸网络一天可以发送300亿封以上垃圾邮件,内容包括虚假抽奖信息,以及假冒的,甚至是危险的处方药物,给公众带来极大的健康危害。
由于垃圾邮件滋生了假冒药品市场,辉瑞制药有限公司成为了本案的申诉人之一。辉瑞制药在声明中提供了证据,证明由于假冒药品通常在不安全的环境下生产,垃圾邮件中所推销的药品通常含有错误的活性成分和剂量,有时甚至含有给人体健康带来更大威胁的物质。假冒药品还通常被杀虫剂,铅基公路油漆和地板蜡等物质污染。
除了推销危险的甚至违法的产品,垃圾邮件更是对健康的互联网环境的极大威胁。虽然Rustock的主要功能是发送垃圾邮件,但是如此大规模的僵尸网络可以被用于任何种类的网络犯罪。僵尸网络非常强大,通常只需一个指令就可以转变为垃圾邮件程序和拒绝服务攻击程序。
“通过一段时间的监测和追查,微软公司在美国向法院提起诉讼案,要求法院做出裁决,把所有向僵尸网络发送这种命令、控制信息的这个网络服务器都给关闭。”微软大中华区首席法律顾问关挺立告诉记者,在美国的服务器关闭了之后,微软发现还有一千多个以.CN结尾的域名被内嵌到了恶意代码内部。虽然关闭了在美国的网络服务器,但这些.CN域名能够使僵尸网络死灰复燃。微软把所有.CN域名的详细信息交给了中国国家计算机网络应急技术处理协调中心(以下简称 CNCERT),由他们配合去执行相关的关闭工作。“全球通过Rustock僵尸网络所发出垃圾邮件的数量骤然降低,我们认为这个打击工作非常成功。”
只有合作才能实现围剿
“合作是成功的关键。我们深知没有任何一家公司或一个组织能够单独完成这项重任。这需要业界、学术界、执法部门和各国政府的多方合作。”关挺立告诉记者这是微软在打击僵尸网络的过程中所获得的最宝贵的经验,在B49和B107行动不仅需要将技术与法律的手段相结合,更需要各个机构和政府的配合,“我们目前正在与全球的互联网服务商和网络安全应急机构合作以帮助用户清除恶意代码。如果没有公共机构和个人用户的多方合作,微软不可能成功的关闭僵尸网络。”
以B107行动为例,在关闭Rustock僵尸网络过程中,经过微软网络犯罪调查部及合作伙伴进行了一个月的调查,然后向美国华盛顿西区地方法院的成功辩护,以及联邦法院执行官对多个地点指挥和控制服务器的联合突击。Rustock有更加复杂的结构,因为它利用硬编码的网际网络通讯协定而非域名和点对点指挥和控制服务器来控制僵尸网络。为了保证恶意代码不会迅速转移到新的网络基础结构,微软获得法院允许与联邦法院执行官合作在现场提取证据,并且在某些情况下,从互联网托管服务商获取被感染服务器用于分析。其中,微软截取了在美国7个城市运营的5个互联网托管服务商的服务器,它们分别位于堪萨斯城,斯克兰顿,丹佛,达拉斯,芝加哥,西雅图,和哥伦布市。通过与上游供应商的合作,微软最终成功阻断并禁用了控制僵尸网络的IP地址。
在关闭中国相关的.CN服务器过程中,CNCERT起到了关键作用。谈及这次打击行动中的分工,CNCERT运行部主任周勇林在接受中央电视台采访时表示:微软分析了僵尸网络的情况,把掌握到的僵尸网络用到的域名和控制服务器信息告诉我们,然后我们做一个数据基础的核对,确认这个情况确实是存在的,而且还将是活跃的。核对之后,我们负责在中国的工作体系,利用我们自己的机制去把在中国用到的域名通过服务器停掉。微软作为一个企业,它肯定没有这个职能。他认为微软的长处在于技术,这样的公司可以为执法机关提供很有价值的技术信息。
“我们觉得要解决打击黑客的方案应该分为三部分:一是IT行业本身应该采取行动,就像微软这样的企业应该站出来采取行动。二是政府应该采取行动,相关的管理部门、执法部门应该是去追踪锁定,要去捕获,并且要惩罚这样的电脑数字犯罪人员。三是终端用户本身应该采取一些防范的措施,防止自己的利益受到侵害。”关挺立总结到。
资料链接
四招防止成为“肉鸡”:
1.要保证自己电脑上所运行的所有程序都要升级,保证自己电脑里的程序是最新版本。
2. 安装防火墙,并且打开电脑的时候一定要打开防火墙。
3.要保证自己电脑安装和使用的杀毒软件是最新的版本,同时是由可信赖的、具有一定声誉的厂商所提供的。
4. 避免使用盗版非法软件,因为这样的软件内部很可能存在着恶意代码。
如了解自己的电脑是否中毒以及如何解决,敬请访问:http://www.microsoft.com/china/athome/security/default.mspx
