电子犯罪黑帮囤积着大量被恶意软件所感染的僵尸机器,主要利用它们来发送大量的垃圾邮件。目的是推销制药、草药及色情信息。但是它们也经常被出租用于更加罪恶的目的,监控这些机器的专家表示。
僵尸网络可以用来实施分布式拒绝服务攻击(简称DDoS),利用被感染系统来中断和彻底摧毁web站点。僵尸网络通常传播恶意软件,并且是隐藏在钓鱼攻击活动幕后的主要“引擎”、或是在强大的点击攻击活动幕后的“推动力”。犯罪新手刚开始在IRC网络上做的活动——使用连接到IRC上人们的力量把受害者踢下线——很快成为一种以盈利为目的的冒险活动,这和电子犯罪欺诈活动有关,戴尔旗下的安全服务公司SecureWorks的恶意软件研究主管Joe Stewart谈到。“现在我们看到的是政府和黑客主义分子卷入到不仅仅是与金钱相关的游戏中”。
Stewart和其他安全专家表示,许多企业的网络中运行着他们没有意识到的僵尸机器。这些被远程控制的恶意软件目的不是为了干扰系统,是为了找出企业最具价值的财产:知识产权。“他们高度关注商业公司和政府部门”,Stewart说到。“任何你能够想象得到的在这个虚拟世界中可能被窃取的东西,很可能是拥有僵尸网络的某些人正在做的”。
Stewart和其他安全专家表示,许多公司过于依赖自动化的系统来监控网络流量,例如像入侵防御与侦测系统这样的大型安全设备。他们呼吁企业雇用技能熟练的IT安全从业人员来主动地监控这些系统并且调查问题。他们表示这种手段在问题发展为棘手的难题前解决并隔离它们,提升了在大多数企业中已部署的安全系统。
好消息是,使用大多数传统的安全设备和终端安全软件、包括防病毒软件可以侦测到众所皆知的僵尸网络有关的一些恶意软件。但是更为严重的威胁是针对性的攻击——特别是那些瞄准企业雇员的——这些攻击利用的恶意软件结合用于上躲避侦测的技术。一旦某个终端机器被隐匿的恶意软件所感染,木马程序就把自己嵌入到系统,然后尝试连接电子罪犯等待指令。企业的网络监控工具能够侦测到这些邪恶的流量并且拦截其中的一部分。但是过去的几年中,电子罪犯已经懂得使用强加密算法通过隧道进行通信。在系统偶尔没有被完全地监控、或是发出类似于正常网络流行的较小通信数据包,抓紧时间通信。
“你可以期待公司部署在网关、或是桌面的防病毒产品侦测到僵尸网络感染,但是从测试结果中我们知道这些产品不具有最高的侦测率,” Stewart谈到。“如果你深入网络的国度,能够发现许多此类的活动,因为它们不会十分频繁地改变自身的网络活动指纹”。#p#
僵尸网络的规模不是问题所在
Stewart表示最强大的僵尸网络不一定是规模最大的。例如,Flame恶意软件工具包位于伊朗的僵尸网络不到200台受感染机器组成,然而在幕后它支配着强大的“军火库”。根据该攻击的有限范围,人们相信它是国家级别所驱动的电子间谍活动,能够让该僵尸网络的操纵者隐秘地对受害者进行窃听、偷窃数据并且捕获视频多年之久。
相比之下,更大规模的僵尸网络让电子罪犯们可以利用受感染计算机计算能力,传播恶意软件以及执行其它恶意活动。它们可能被用于加强拒绝服务攻击来摧毁web站点、或是快速传播恶意软件并窃取帐户的凭证信息。
感染Zeus和SpyEye系列恶意软件的机器组成了大规模的僵尸网络,多年来对金融行业造成了极大的破坏。由于网络罪犯在恶意软件后建立的业务模式,这些僵尸网络迅速地传播。使用自动化的攻击软件套件,罪犯们建立了一个附属网络,奖赏其他感染机器的罪犯。Zeus木马在2006年声名狼藉。该恶意软件可以编码来伪装web站点、窃取帐户凭证并且耗光其银行帐号的金钱。安全公司通过中断与其有相关的“命令与控制”服务器,一直在努力捣毁该僵尸网络。但是尽管付出这些努力,罪犯用内置的机制把这些服务器重新恢复上线。最近的微软采取法律行动来彻底摧毁位于美国的Zeus僵尸网络服务器。
侦测:人为因素
没有比指派一名技能熟练的IT专业人员来寻找公司网络异常更好的技术,SANS研究院的首席研究官Johannes Ullrich表示。技能熟练的系统管理员应该检查网络流量和系统日志,在标识出的潜在问题以进行深入调查时应用创新的思路。数据包分析器以及其它过滤工具可以帮助网络安全人员判断是否可疑的流量实质上是恶意的。“许多企业仍然依赖过时、基于签名的防病毒软件。但是针对性攻击以及此类的僵尸网络应该依靠专业人员”。
许多企业将网络监控活动外包已经成为趋势,但是Ullrich表示从他的经验来看,外包的安全监控通常无法侦测到最为重要的针对性攻击和僵尸网络感染。外包的服务遵循一个检查列表,每个小时要处理许多具体的请求,如果外包的服务是帮助系统管理员“发现下一个新的问题而不是昨天的僵尸机器”会更佳。“他们没有真正地理解业务,所以也就是为什么一些企业花重金把监控工作重新交由内部负责。”
终端安全结合基于网络的安全技术、如主机入侵防御以及其它的基于信任度和过滤的系统能够帮助缓解恶意软件感染情况,Securosis LLC公司的总裁兼分析师Mike Rothman表示,该公司是一家位于亚利桑那州凤凰城的安全研究公司。最近该公司总结它的恶意软件侦测系列研究,该研究关注于为什么侦测是如此具有挑战性。
网络安全设备可以提供应用场景和用户行为,但是它需要调整来避免对终端用户造成严重的影响,Rothman在一篇描述该公司研究成果的博客中表示。这对于Web过滤和基于信任度的技术来说同样存在。“我们需要在充分的安全和不要过于干扰用户之间找到平衡,引导对掌握设备和控制设备的限制,让设备在任何位置和网络连接中都可用。