风暴僵尸网络

✍ dations ◷ 2024-12-23 08:03:29 #网络安全,分散式计算

风暴僵尸网络或风暴蠕虫僵尸网络,是一种受远程控制的僵尸电脑(机器人网络)组成的网络。该网络是由暴风蠕虫(一种透过垃圾电子邮件散播的木马)连起来的。研究预测截至2007年9月为止,风暴僵尸网络至少藏身于1百万到5千万部电脑系统里某处默默运行。其他消息来源则折衷风暴僵尸网络的大小约为25万到1百万部电脑。更保守一点的估计,一位网络保全分析家宣称他曾写过一个软件“爬”过僵尸网络,以此预测风暴僵尸网络控制了约16万部受感染的电脑。风暴僵尸网络首度于2007年1月左右发现,当时风暴蠕虫约占所有运行于微软窗口平台电脑流氓软件的8%。

风暴僵尸网络已被用于各式各样的犯罪行为。目前它的控制者以及风暴蠕虫的作者仍未被查出。风暴僵尸网络已展示出防御性的行为,显示它的控制者正积极的保护僵尸网络,以避免种种追踪或者终止该程序的尝试。僵尸网络会针对某些试图侦查它们的保全公司或者研究员进行攻击。保全专家乔·史都华(Joe Stewart)透露在2007年晚期,僵尸网络操作者开始进一步的分散其运作,可能项目将风暴僵尸网络部分卖给其他的操作者。同时期某些报告指出风暴僵尸网络正在收缩,然而许多保全专家报告说他们认为僵尸网络仍旧是在线主要保全威胁,而且考量僵尸网络身为银行诈欺、个人信息窃取、以及其他电子犯罪方面的共犯,美国联邦调查局仍将其列为网络保全重点对象。

2007年9月的报告指出僵尸网络已强大到足以将整个国家从互联网上隔离。根据预测,它每秒运行指令的速度足以超过某些世界顶尖的超级电脑。然而,这并不是完全精确的比较。根据保全分析师詹姆士·透纳(James Turner)说把僵尸网络与超级电脑拿来比较,就像拿狙击手组成的军团与核武器相比较一样。英国保全公司马歇尔(Marshal)的布莱德雷·安斯底斯(Bradly Anstis)说:“更值得担忧的事是带宽。只要算一下4百万倍的标准ADSL连线。那是很大的带宽,这让我相当担忧。有像那样的资源在他们手上—分散在世界各地,高度密布于很多国家内—意味着他们可以对许多网页托管服务商投射非常有效的离散式攻击。”

风暴僵尸网络首度在2007年1月于互联网被侦测到。它与其蠕虫之所以得其名是因为一开始它用来感染宿主的email都有一行与风暴相关的标题,像“风暴侵袭欧洲,230人死亡。”后期耸动的标题如:“中国导弹击落美国飞机。”以及“美国国务卿康多莉扎·赖斯踹了德国总理安格拉·默克尔一脚。”信息安全专家们怀疑某些知名在逃的垃圾邮件大王,包括李欧·库马耶夫(Leo Kuvayev),可能参与或控制风暴僵尸网络的运作。科技专栏作家丹尼尔·汀南(Daniel Tynan),在他一篇以罗伯特·克灵居礼(Robert X. Cringely)作为笔名的著作写道:很大部分风暴僵尸网络之所以存在的过失得归因于微软与Adobe Systems。其他研究指出,风暴僵尸网络获取牺牲品的主要方法是透过经常变换其社会工程体系来蛊惑用户。根据派崔克·朗诺(Patrick Runald)的研究,风暴僵尸网络有强烈的美国事务焦点,因此多半在美国国内有干员在其组织中工作并支持其运作。不过,某些专家相信风暴僵尸网络控制者群是俄罗斯人,特别是俄罗斯商业网络涉有重嫌。其根据是援引风暴软件提到了对在莫斯科的卡巴斯基公司的憎恨,并且文件里含括了个俄罗斯的单字“Buldozhka”,即“斗牛犬”之意。

风暴僵尸网络是由微软窗口作为其操作系统的电脑组成。一旦受到感染,机器就变成了僵尸电脑。该僵尸电脑便在电脑拥有者不知情或允许下径自自动进行多种工作,包括任何从获取用户资料、攻击网站、到转发传染电子邮件的种种事务。预估约5千到6千部电脑是专门做透过电子邮件夹带感染过的附件来繁殖扩散蠕虫这件事。截至2007年9月,僵尸网络提交了12亿条病毒信息,其中光在2007年8月22日的单日纪录就达到5千7百万条。根据电脑法学鉴识家劳伦斯·鲍德温(Lawrence Baldwin)所言:“总合来说,暴风僵尸网络每日提交约10亿条信息。它可轻易的再多加两个零。”勾引受害者的方法之一是感染免费音乐网站,像提供如碧昂丝·诺利斯、凯莉·克莱森、蕾哈娜、老鹰乐队、及一些当地知名艺人音乐免费下载的网站。而基于数字签名为主的侦测(一种大部分电脑系统对抗病毒与流氓软件感染主要防御手段)因受到大量风暴蠕虫变种的攻击而阻碍其性能。

控制僵尸网络与风暴蠕虫扩散的后台服务器群自动对它们的扩散感染软件以一小时两次的速度重新编码,作为新的传播介质。这种手段使得杀毒软件商终止病毒扩散及运作较为棘手。另外,控制僵尸网络的远程服务器位置藏在一种固定变换DNS技术,叫做“快速通量”(fast flux)之后,使发现并拦截其宿主站与邮件主机更为困难。简单来说,这群机器名称与位置常常轮换,往往是几分钟就换一次。风暴僵尸网络操作者透过点对点技术控制系统,让外部查杀该系统更加不易达成。在风暴僵尸网络里并没有中央“命令控制点”可以停止该网络。僵尸网络也利用加密流传播。其感染个人电脑的办法通常不外乎透过操弄使人们相信并下载夹带病毒电子邮件的几种实做里打转。其中一个简单的例子,僵尸网络控制者利用美国国家美式足球联盟开赛周末,提交电子邮件谎称提供“足球赛事追踪程序”,事实上它除了感染用户电脑以外什么事都没做。据MessageLabs的首席反垃圾邮件技术员麦特·斯尔金(Matt Sergeant)说:“以计算能力论,超级电脑终究不堪一击。如果你把所有500部顶尖的超级电脑能力加起来,超级电脑群只能与两百万部僵尸网络机器匹敌。这些罪犯拥有可使用如此计算能力实在很可怕,然而我们可以反击的部分实在有限。”保全专家们预估现在使用的只有全部风暴僵尸网络总容量与能力的10%到20%。

保全专家乔·史都华利用隔离考察中间系统被感染至加入僵尸网络的方式进一步揭露其过程:尝试加入僵尸网络的任务是由参与对话中的电脑系统逐步运行一系列的EXE文件。通常,这些文件被按照顺序命名,例如从game0.exe到game5.exe,或者类似文件名。它随后继续轮流引导可执行文件。这些可执行文件一般进行的任务如下:

在每个阶段里,中间跳板系统将连上僵尸网络。快速通量DNS技术使得追踪这个过程异常艰难。这代码是从窗口系统下透过系统内核rootkit运行,并且所有连回僵尸网络的连线都是透过修改过的eDonkey/Overnet通信协议达成。

风暴僵尸网络以及它的变种采用广泛的攻击方法,因而相对多样的的防御步骤亦同时存在。风暴僵尸网络不但受到其背后组织监控并自我防卫,它也会攻击那些提供在线扫描被风暴病毒感染电脑的主机。僵尸网络会以拒绝访问反击以防卫它自己,借此保持其内部一贯性。在过去某个时段,以前用来散播僵尸网络的风暴蠕虫曾企图在互联网上释放上百上千种它自己的版本,打算以一次密集性攻击来压垮杀毒反流氓软件保全公司的防卫线。根据IBM保全研究员约书亚·柯曼(Joshua Corman)指出:“这是我记忆中有史以来第一次看过研究员真的害怕去调查这个漏洞。”研究员们仍旧不确定僵尸网络的防御及反击是由程序自动引导的,或是该系统操作者手动运行的。“如果你试着给它绑个调试器,或者对中继站回报的站点进行查询,僵尸网络马上知道并立刻惩罚你。在SecureWorks事件后,僵尸网络中一小块直接拒绝访问服务某研究员并把他拿下网。每一次我听到某个调查站试着要查这档事,他们会自动被惩罚。它知道它自己被调查,并惩罚他们。它进行反击。”柯曼补充道。

Spameater.com以及其他站像419eater.com与Artists Against 419,都是对抗419电子垃圾邮件诈欺的网站,他们都曾经历过DDoS攻击,造成被攻击站点暂时完全无法运作。DDoS攻击包括进行大量的同时网络请求到这些或者其他目标的IP地址群,造成服务器负载过荷并阻塞主机回应请求。其他反垃圾反诈欺的集团,如Spamhaus Project,也遭受到攻击。Artist Against 419网站网管表示该站倒站前服务器达到每小时4千亿字节资料量(400gbits/h),相当于约300部ADSL连线机器同时持续不断的上传攻击流量,并每部必须达到其带宽最大理论值每秒30万字节(300kbit/s)。鉴于理论值现实上永不可能达到,当时动员的机器可能两倍多,并且类似做案方式发生在一打以上的反诈欺网站上。一位垃圾信件研究员陈杰夫说:“在打击风暴僵尸网络的观点上,从好的方面看是艰钜,从坏的方面看是不可能,因为这些坏蛋控制了数以百计百万比特(megabits)的流量。某些证据显示他们可能控制了上以百计十亿比特(gigabis)的流量,这种流量足以将某些国家整个从互联网驱离。”

风暴僵尸网络的系统也在受害人电脑系统本地端采取步骤防卫它自己。在某些中间系统里,僵尸网络在窗口机器下创造了某个电脑进程;无论何时一个新程序或者其他进程开始运行该进程都会告知风暴系统。在之前,风暴蠕虫在本地端仅仅只会告诉其他程序—如反毒反流氓程序—不去运行。然而,根据IBM保安研究指出,现在版本的暴风蠕虫不过“愚弄”本地系统以为程序能正常运行无误,不过实际上,它们什么都不做。“程序,不单包括可能触发访问违规的exe档、dll档、与sys档,亦包括软件像P2P应用程序BearShare以及eDonkey都将看起来顺利运行,即使它们并不实际上做什么事,这种方式远远比起一个进程受到外面影响突然间终止那种做法较不容易让人起疑。”Sophos公司的理查·科函(Richard Cohen)道。中间系统的用户,以及相关的保全系统,将会假定保全软件跑得好好的,实际上阳奉阴违。

2007年9月17日,一个美国共和党的网站被当作中继站来散播风暴蠕虫与僵尸网络。2007年10月,僵尸网络利用YouTube里邮件系统里CAPTCHA应用程序的漏洞,递送垃圾邮件到Xbox拥有者,假意欺骗他们有机会赢得最后一战3电子游戏特别版。其他攻击方式像利用人们喜欢可爱或者新奇事物的心理,例如微笑的小猫动画、跳舞的骷髅图片以获取人们点击木马程序下载,还有蛊惑雅虎地球村服务的旗下用户下载软件,因为信件假称地球村本身需要用到它。趋势科技的保罗·佛古森(Paul Ferguson)特别针对地球村的那次攻击称之为“充分准备的入侵感染”,并牵涉到俄罗斯商业网络—一个知名的垃圾邮件与流氓软件服务组织—的成员。2007年圣诞夜,风暴僵尸网络开始提交有针对男与女“性”趣假期专题信息,像“找个美豚过剩蛋”(Find Some Christmas Tail)、“圣诞12女(The Twelve Girls of Christmas)”、“耶诞老婆今晚上门!(Mrs. Claus Is Out Tonight!)”、以及媚惑的女性照片。这种方式被描述为企图在假期期间勾引更多未保护系统加入僵尸网络以拓展其规模,而此时相对的网络保全商的保全更新可能得花较长时间才能部署完毕。在圣诞节脱衣舞娘邮件散播后隔一日,风暴僵尸网络操作者立刻开始提交新一轮电子邮件,宣称希望他们的收件人都“2008年新年快乐”。

在2008年1月,僵尸网络首度被侦测到跟钓鱼网站攻击主流金融机构挂勾,此次的目标是巴克莱银行与海利发克斯银行。

2007年10月15日左右,研究显示部分风暴僵尸网络及其变种上市待售。这交易可透过使用特制的保全密钥对僵尸网络流量与信息加密进行。该特制密钥允许与其相匹配的风暴僵尸网络的每个部分、或者子区域进行联系。然而如果密钥有特定长度与签名的话,这种方式在未来将可使他人侦测、追踪、并且封闭风暴僵尸网络的流量,。电脑保全公司Sophos同意,将风暴僵尸网络进行细切,可以猜测为是它准备转售其服务的征兆。Sophos的葛拉汉·库雷(Graham Cluley)说:“风暴僵尸网络对加密流的使用,是引起我们实验室注目的有趣功能。它最有可能的用途,是提供电子罪犯租用部分的网络以作为其滥用所需。如果网络被这些人用来做垃圾邮件、分布式拒绝服务攻击、以及其他恶意用途,我们都不会感到惊讶。”保全专家们表示,如果风暴僵尸网络被流氓软件市场所切割,以“立即可用+僵尸网络制作+垃圾邮件包”形式发行,世人将会看到风暴僵尸网络相关感染与中继电脑系统数量急遽的增加。密钥加密功能仅仅存在于2007年10月第二周以后成为风暴僵尸网络中继系统的电脑。这意味着要被追踪与屏闭在这段时间之前成为中继电脑的系统仍旧困难重重。

在风暴僵尸网络这部分被发现的几日内,来自新子区段的垃圾邮件已被各大保全公司所揭露。于10月17日晚间,保全公司开始看到新的垃圾邮件内嵌了MP3音乐档,而该信企图欺骗受害者去投资细价股,以作为非法炒股诈骗的一部分。研究相信此次是前所未见、首度利用实际的音乐文件以愚弄受害者的垃圾电子邮件欺诈案例。然而,几乎不像所有其他的风暴僵尸网络相关的电子邮件,这些新的音乐-股票欺诈信息并没有包括任何病毒或者风暴僵尸网络流氓软件酬载;它完全不过是股票欺诈的一部分。

2008年1月,僵尸网络首度被侦测出与针对主要金融机构用户的钓鱼网站攻击挂勾。瞄准的欧洲银行机构包括:巴克莱银行、海利发克斯银行、以及苏格兰皇家银行。F-Secure这些攻击载台应用特制密钥,此表示用于攻击的僵尸网络区段是租来的。

2007年9月25日,据估计微软对窗口恶意软件移除工具(MSRT)中的一个更新抑制了僵尸网络的规模最多达20%。微软宣称,二百六十万部扫描过的窗口系统中,新的补丁从其中的274,372部受感染系统中移除了风暴蠕虫。不过,根据微软资深保全人员所说:“超过180,000已被MSRT清理干净的机器,它们很可能打从第一日开始就是家用机器,意思就是不活跃参与‘风暴僵尸网络’每日的作业。”这间接指出MSRT清理可能只是象征性能采取的最好行动。

2007年10月末,某些报告指出风暴僵尸网络已经正在失去其暨有规模,并且数量显著的减少。圣地牙哥加利福尼亚大学的保全分析师布兰登·恩来(Brandon Enright)估计僵尸网络截至10月末已经掉到约160,000部中继系统,与他于2007年7月预测的约1,500,000部系统相比较。不过,恩来注明:僵尸网络的组合时常变动,而且它仍旧主动的自我防御外来的攻击与监测。“如果你是个研究员并且你访问流氓软件宿主网页太多次...那么一个自动进程将自动对你投射拒绝访问攻击。”他说道,并且随后补充了他的研究使得风暴僵尸网络攻击圣地牙哥加利福尼亚大学,造成该校部分的网络瘫痪无法上网。

电脑保全公司McAfee表示风暴蠕虫很可能是未来攻击的基础。之前发现Mydoom蠕虫的著名保全专家克雷格·雪姆加(Craig Schmugar)称风暴僵尸网络是趋势设立者,其行为引领了罪犯们利用更多类似的策略。这类僵尸网络的衍申之一被赋予“垃圾邮件帮派名人”的称号,肇因于他们使用与风暴僵尸网络控制者类似的技术工具。然而,不像过去风暴操作者使用来勾引牺牲品的复杂社交工程那样,垃圾邮件帮派名人承散播影视名人(如安吉丽娜·朱莉与布兰妮·斯皮尔斯)的裸照之便。思科系统保全专家在报告中指出他们相信风暴僵尸网络在2008年依然是个严重威胁,并且说他们预测其规模仍保持在“上百万部”。

于2008年年初,在其黑帽经济体系下运作的风暴僵尸网络也碰到了其商业上的竞争对手:努哈赤(Nugache)组织,它是另一个类似的、首度于2006年被鉴识出来的僵尸网络。报告指出介于两者僵尸网络操作者为其电子邮件递送服务销路的价格战可能暗潮汹涌。随着介于2007-2008年圣诞节与元旦假期间,德国Honeynet项目研究者报告指出风暴僵尸网络可能会在该期间最多扩展其20%的规模。MessageLabs Intelligence于2008年3月的报告预测所有互联网上的垃圾电子邮件总数超过20%来自于风暴僵尸网络。

2010年4月28日,迈克菲(McAfee)对传闻中的Stormbot 2予以了证实。

相关

  • 侵入性监测生理监视器是一种电子医学装置,用来作为医疗用途监视,并且显示所监视的资料以及可能具备资料传送能力。生理资料被显示在阴极射线管、发光二极管或是液晶显示器上。萤幕上显示
  • 海洋酸化海洋酸化(英语:Ocean acidification)指的是地球海洋摄入大气中的二氧化碳后,pH值逐渐降低的趋势 人类向大气排放的二氧化碳中有约30%到40%会溶解于海洋、河流和湖泊等水体中 溶
  • 北流北流也可以指:
  • 马塔潘角海战马塔潘角海战是第二次世界大战中在希腊伯罗奔尼撒半岛海岸附近发生的一场海战,战事由1941年3月27日至3月29日,战事中,英国皇家海军及澳大利亚皇家海军舰只在地中海舰队司令安德
  • 兰纳傣阮(北部泰语:ไทยวน,发音:.mw-parser-output .IPA{font-family:"Charis SIL","Doulos SIL","Linux Libertine","Segoe UI","Lucida Sans Unicode","Code2000","Gentium","
  • 氧的同位素氧(原子量:15.9994)共有18种同位素,其中有3种是稳定的。氧的3种稳定同位素是16O、17O、18O,其中16O最多,丰度为99.762 atom%。16O的丰度最大可以由恒星进化论解释。大爆炸产生宇宙
  • 曼·雷曼·雷(原名伊曼纽尔·拉德尼茨基,生于1890年8月27日,卒于1976年11月18日)是一位美国现代主义艺术家,在法国巴黎度过了自己大部分职业生涯。他为达达主义运动和超现实主义运动作
  • 查尔斯·费夫曼查尔斯·路易斯·费夫曼(英语:Charles Louis Fefferman,1949年4月18日-),美国数学家,普林斯顿大学教授,菲尔兹奖得主。他在数学分析的工作,使他在1978年获菲尔兹奖。他的著名成果有,将
  • 贝亚特丽切·博罗梅奥贝亚特丽切·博罗梅奥(Beatrice Borromeo,1985年8月18日-),是一名生于意大利的贵族、记者及社交名媛。她来自意大利米兰一个历史悠久的贵族世家博罗梅奥家族。博罗梅奥在2015年夏
  • 侯乙羽周乙羽周,名周,乙羽姓,汉化后为侯姓,又作侯周。朔方人(或说是雁门人),是侯景的爷爷,侯标的父亲,住在朔州。551年,侯景之乱,侯景废黜萧栋,自称汉帝。左仆射王伟请立七庙,侯景只知道他的父亲(