无论是电影、小说还是游戏、动漫,仿佛都少不了僵尸的戏份。僵尸很人们的印象仿佛是智力低下、四肢僵硬但是可以批量生产(咬人之类的)而且难以消除(怎么打都打不死,话说其实本来就死了)。而僵尸网络的提出似乎给网络安全领域蒙上了神秘面纱,这个安全“黑社会”的技术给安全领域带来了不小的挑战,怎样揭开僵尸网络的神秘面纱?做到知己知彼百战不殆,应先从了解僵尸网络开始。
僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而使攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。
僵尸网络是在控制者和被感染主机之间所形成的一个可一对多控制的网络,之所以用这个名字,是为了更形象的让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。目前,最大最严重的僵尸网络包括以下五种:
1. 臭名远扬的“装载机” Pushdo/Cutwail
Pushdo本身是一个“装载机”,其可以下载其他组件安装在系统中,于2007年和另一个僵尸网络 Storm同时出现,是全球第二大垃圾信息僵尸网络,臭名远扬的原因在于黑客使用不同技术使Pushdo难以被侦测,PushDo不但主导全球大量的垃圾信息发送,同时也是黑客用来散布恶意程序的主要管道。虽然Storm已经不复存在,但Pushdo 却越来越强大,每日从大约150万台僵尸电脑中发送190亿封垃圾邮件。
在商业模式中,Pushdo可以为客户定制安装特定恶意软件,根据每个安装来收取费用。通常通过Pushdo进入被感染的电脑系统,并下载垃圾邮件程序Cutwail。Pushdo使用Cutwail来自我复制垃圾邮件,从而不断扩大其僵尸网络,也可通过 Cutwail租出垃圾邮件服务。Pushdo/Cutwail僵尸网络发送的垃圾邮件内容很杂,包括医药产品,网络赌博,网络钓鱼邮件以及链接到包含恶意代码网站的邮件。
2. 爱上远程服务器的装载机:Bredolab
Bredolab也是很流行的装载机。除了发送垃圾邮件外,Bredolab还专注于下载“Scareware” (假杀毒软件)以及“Ransomware”产品。Bredolab.SV是一种特洛伊病毒,能够下载并生成Win32/Zbot 和 Win32/Cutwail病毒。它将获取的系统信息发送到远程服务器,并从远程服务器接收URL和文件。
恶意程序通过垃圾邮件传播,并诱惑用户运行恶意程序。其主要商业模式是使用这些产品感染很多系统,希望受害者购买Scareware和 Ransomware产品,然后获取佣金利润。
3. 记录用户击键:Zeus
提起Zeus ,我们不得不回顾今年4月份一个名为Zeus的病毒不断窃取网上银行的账户信息,相关数据显示,当时有550万台计算机已经被检测到不同版本的Zeus感染。Zeus 1.6可以感染使用IE和Firefox浏览器的用户,并对用户实施击键记录,进而通过分析银行网站日志并将数据发送到远程服务器,或由网络黑客团伙出售。
Zeus作为犯罪软件工具包出售,这意味着它不仅仅是一个大型僵尸网络,而是很多独立僵尸网络。任何人都可以利用这个工具来创建自己的僵尸网络,而且很受欢迎。最近我们检测到很多Zeus变种。Zeus通常被配置为窃取信息,包括银行凭证信息和返回给攻击者的报告。
4. 垃圾邮件的缔造者:Waledac
与Cutwail一样,Waledac 最广为人知的应该是发送垃圾邮件的功能,此外他还会下载执行任意文件,Waledac也可以利用其下载的定制模版发送垃圾邮件。由于它是基于模版 的,Waledac也为垃圾邮件服务收费。与Pushdo不一样,Waledac在点到点网络操作,所以很难被攻破。它还可以加载恶意软件,代理HTTP 内容来通过僵尸网络传播恶意网站。
它下载执行的文件并不限于恶意软件。Waledac 也会试图下载安装免费的抓包库 "WinPcap"。它利用这个库的功能来嗅探网络流量,查找 SMTP、POP、HTTP 和 FTP 协议中所传输的验证信息。
相关阅读