据来自旧金山的2013 RSA信息安全大会的消息,虽然联合执法摧毁僵尸网络已经司空见惯,可能甚至还有点儿没劲,但在上周, 参加2013 RSA信息安全大会的安全专家,却看到了僵尸网络在现场被实时摧毁,这着实振奋人心。
Tillmann Werner是信息安全防御公司CrowdStrike的高级安全研究员,他现场实况演示了控制P2P僵尸网络的过程,令与会者惊讶不已。当Werner开始展示一些多数观众都无法破译的简短代码时,这次展示的高潮部分开始了。Werner把展示切换到一张世界地图,形象地展示了他与每一台被感染机器的通信。在展示过程中,一个红点变成五个,然后很快变成二十个。观众们鼓掌喝彩。
根据Drone Butcher的行动手册:控制P2P僵尸网络的现场演示,Werner展示了他利用sinkholing技术攻击Kelihos僵尸网络操作幕后的许多技术。实际上,可破译的shinkhole替换了僵尸网络命令中心与受其感染机器之间的通信。由于Kelihos僵尸网络的P2P性质,这个本身已经非常复杂的任务就更加困难。
Werner说,我们认为这个僵尸网络很有挑战性,因为它是P2P的。对付sinkholing就困难得多,因为没有中央服务器。Werner首先演示了以前的Kelihos版本以及在每个版本被控制之后发生的事情。在kelihos A感染了5万台机器后,在2011年9月得到遏制。Kelihos B在大约三周后运行,在它感染了大约十二万台机器后,于2012年2月也最终被控制。
Werner展示中被摧毁的Kelihos 版本是Kelihos C,在前一个版本被拿下后,居然活跃了还不到20分钟。Werner估计,在被2012年5月的一个有稍许变化的版本替换之前,Kelihos C已经感染了大约四万台机器。
一位与会者问,为什么Kelihos每个版本出现得如此之快。Werner回答说,“他们从其它犯罪组织购买安装,这当然会很快了。”对执法部门和反僵尸网络的相关人员来说,虽然新生活中这种不断重复的反复可能令人泄气,但Werner说每一次击垮僵尸网络仍然会给犯罪组织带来经济损失。他们通过一次一次地改造自己的僵尸网络,可以做同样的事情。但在他们每次做这些事情时,必须花费更多的钱。
但对一个僵尸网络打击成功,也不能宣告胜利。恰恰相反,必须准备好基础架构,以应对报复性反击。Werner说,“你在消灭一种商业交易,而这些人不喜欢你这样做。”
即使技术能力和人力可进行这种操作,能否确保这种打击合法还是问题。Werner所演示的攻击要与许多不同的执法部门和政府机构等协作,其中包括FBI。此外,他告诉与会观众,进行这种操作需要一种规避风险的方法,这意味着在作出任何举动之前需要咨询大量的法律顾问。Werner 说,“我的意思是,这种操作是否合法,并不是我决定的。我会推测这样做仍是合法的,但我们也可能置身于困难。”
作为攻击之后的清理工作,互联网服务供应商和CERT要相互联系,从而有助于对付残余的受感染机器。微软还会提供检测功能作为它反病毒套件的一部分,在摧毁Kelihos B僵尸网络的案例中,同样的措施仅仅减少了50%的感染机器。Werner说:“我们希望这次会更成功,可以极大地减少感染数量,从而摧毁sinkhole。”