虽然目前还没有一套简单自动的检测方案能够确切诊断感染状况的存在,但我们可以从以下几种典型症状入手:系统运行速度比正常情况慢;硬盘驱动器LED灯在空闲模式下仍然不停闪烁;文件与文件夹突然消失,或者以某种方式发生改变;朋友或同事提醒用户称他们收到了由其发送的垃圾邮件;计算机上的防火墙通知用户有程序正在试图访问互联网;某个从互联网上下载的程序突然出现运行图标消失现象,弹出的报错信息明显多于以往;网上银行突然要求用户提供此前从未索取过的个人信息。
了解僵尸网络的运作机制是成功帮助系统抵御僵尸网络攻击的良好开端。除了学习之外,用户在防护方面需要做好的另一件要事,是要保证自己使用的所有软件都来自合法及可信来源,而且需要进一步为所有应用程序安装最新安全补丁。在浏览网络内容时使用过时的互联网浏览器,或者使用AdobeFlash或甲骨文Java等未及时更新的插件,相当于自己提升了安全风险。许多企业都提供了足以在功能丰富程度上与著名杀毒厂商看齐的免费版本。因此在设备中安装杀毒软件套件,且保持更新是必须的,同时还要养成定期进行全盘系统扫描的良好习惯,坚持使用一套杀毒软件。而同时使用多种杀毒方案可能会给系统造成意外损害,要使用个人防火墙程序并利用警报机制在程序试图连接互联网时向我们发出提示。
为了防止数据收集软件的窥探,目前银行等机构实现敏感或受监管数据远程访问的主要方案之一在于双因子验证机制。所谓双因子,是指用户知道的信息与用户具有的信息:用户知道的信息包括标准的登录名与密码。用户具有的信息,即由密钥卡(也称为硬件安全令牌)或者手机等设备生成的一次性动态密码。
双因子认证也不保万全
然而,僵尸网络的组织者们针对这套方案推出了应对机制,也就是浏览器中间人(简称MitB)攻击。在MitB攻击当中,恶意软件会伪装成从表面上看与合法网络站点毫无区别的银行网站。用户一旦访问这些欺诈性网站,必然会向其提供必要的安全登录资料,包括双因子身份验证过程中产生的动态密码。只要信息输入完成,欺诈性网站会立即将信息转发至真正的银行站点,再由组织者接手对受害者账户进行访问。
另一种常见的MitB攻击方式则暗中通过受害者的浏览器将附加字段注入到银行的登录页面中,这些附加字段会在登录过程中要求用户输入比通常情况下更详细的个人信息。例如母亲的姓名、出生城市等等。有了这些细节资料,僵尸网络组织者将可以堂而皇之地致电银行,索取用户个人资料,并直接对受害账户加以访问。
值得庆幸的是,目前银行已经部署了大量复杂的算法,有助于识别账户内部的欺诈活动。当恶意活动出现时,银行方面往往会立即提醒受害者核查账户的可疑操作。然而一旦组织者成功实施了MitB攻击,他们通常会首先将个人信息中的“联系电话”设定为VoIP号码并转接到自己这边。如此一来,当银行在拨打用户电话时,实际拨通的是组织者的号码。这个时候恶意人士就可以为所欲为了,甚至直接通过海外电汇将受害者的资金转到境外账户。
另一种关注程度不高的僵尸网络影响在于对机密信息及知识产权资料的窃取。目前已经有僵尸网络尝试通过有针对性的电子邮件在企业或政府机构的特殊用户系统中安装后门。一旦企业网络被这种鱼叉式网络钓鱼攻击所渗透,组织者将悄无声息地对受害者个人计算机及其能够访问的共享网络驱动器加以搜索,试图寻找技术图纸、源代码、投标报价文件、客户名单,以及内部电子邮件等敏感数据。#p#
金钱:僵尸网络最主要动机
软件开发者之所以会创造出这样复杂的恶意软件,自然是看中了僵尸网络强大的赢利能力,而且其创建与维护方面的风险也相当之低。由于互联网的全球化特性,以及僵尸网络组织者出色的隐藏能力,我们很难揪出这些犯罪分子,更别说逮捕或对他们提起诉讼。
僵尸网络组织者通过出租方式将自己的成品方案交给有意进行拒绝服务攻击的客户,由此带来的经济收益每天可高达数千美元。组织者甚至想出了将僵尸网络体系进一步划分为更小群组的方法,旨在同时针对多个站点发起多轮攻击。对于小型网站而言,一般由几百台僵尸设备构成的体系即可使其陷入瘫痪。而在大型网站方面,则往往需要成千上万台设备联手协作。根据攻击规模的不同,组织者能够通过调整,最大限度地提高资金收入。卡巴斯基实验室发布的一项研究结果表明,仅在2008年僵尸网络持有者通过DDoS攻击所获得的收入总额就高达两千万美元之巨。
另外,出售从受害者处搜集到的个人信息也能成为收入来源。根据账户类型的不同,每个用户账户平均能卖到5到15美元。这些账户通常会被汇总在大的资料包中,批量出售给有意从事经济诈骗的恶意人士。对于那些打算通过垃圾邮件窃取更多信息的犯罪分子来说,电子邮件地址也成为理想的交易对象——目前一万个电子邮件地址的售价在20到100美元之间。僵尸网络持有者自己也提供垃圾邮件发送服务,当下每两万封电子邮件的发送费用约为40美元。事实上,某些僵尸网络在一天之内就能发送上千万封垃圾邮件,大家可以算算他们的实际经济收入何等可观。搜索引擎优化感染的单位价格更高,每两万个垃圾链接、文章或评论的收费就是80美元。
按点击收费领域的欺诈行为又是另一种赚钱的好途径。根据微软研究院发布的一项调查,目前每季度所有在线广告点击中约有四分之一来自欺诈性操作。ClickForensics网站则认为有17%的广告点击源自欺诈活动,其中约有三分之一直接由僵尸网络实现。基于在线广告支出总额,我们可以计算出点击欺诈行为每年给僵尸网络持有者们带来总计上千万美元的收入。
比特币的出现为僵尸网络组织者开辟了一条赚钱的新路,尽管收益不高但却相当简单、稳定,且完全是笔外财。通过安装非法软件,组织者将在僵尸成员们的辛勤劳作下源源不断地获得比特币。
最重要的是,上述赢利机制彼此之间并不矛盾——“聪明勤劳”的僵尸网络运营者能够利用被感染的计算机,同时从事其中大多数甚至全部赢利方案。#p#
恶意软件背后的从业者
如今的网络犯罪活动已经进入组织化、集团化模式,与合法企业一样追求运营效率最大化。正如FortiGuard在2013年犯罪软件报告中的结论,这些犯罪组织拥有完善且为我们所熟悉的结构体系:高层管理者,中层管理人员,最后是苦工分别负责具体工作以及资金转移。
僵尸网络开发者绝不会在完成了网络部署后就沉浸在成功的喜悦中而是努力想办法改善自己的技术成果,使其更难被检测并移除。另外,他们也在不断寻求新的赚钱途径,希望让受感染的设备能为自己带来更可观的收入。通过将命令服务器隐藏在多层代理服务器之后,加密通信机制甚至完全脱离传统客户端-服务器方案而转向点对点结构等创新型策略,他们不断用自己的“聪明才智”将反恶意软件及威胁的研究带向新的高度。#p#
僵尸网络越来越廉价
僵尸网络曾经是个圈子有限、对技术水平要求很高的领域。但时至今日,创建僵尸网络的起步成本已经几乎为零。举例来说,2011年5月臭名昭著的Zeus僵尸网络源代码被泄露到网上,任何愿意花点时间搜寻互联网资源的访问者,都能在某些藏得较深的角落里找到软件拷贝,且只需稍加修改就能打造自己的僵尸网络体系。2012年12月,赛门铁克公司发现了一名犯罪分子,这家伙愿意以250美元的价格帮助技术水平不高的用户完成Zeus的全面安装。
更具专业性的僵尸网络服务每个月则需要花费数千美元的代理运营成本,但专业服务通常包含受感染计算机网络访问,以及全天候技术支持等高端项目。
如果某个有理想、有抱负,但却缺乏编程知识的家伙希望设置并部署属于自己的僵尸网络,那么时至今日成熟的服务体系将会圆满实现其犯罪渴望,或者按他们自己的说法叫“创业意愿”。举例来说,协助客户建立僵尸网络的咨询类服务一般只需350到400美元。
一旦体系建成,僵尸网络软件需要通过不断传播来最终转化为完全成熟的犯罪体系。目前已经有一些网站联盟推出了按安装数量计费(简称PPI)的网络扩散模式,帮助客户迅速将自己的木马传播出去,从而建立规模的僵尸网络。这类恶意联盟需要的信息很简单:第一,客户需要感染多少套系统。第二,由客户提供相应的僵尸网络软件。除此之外,他们将打理剩下的一切事务。再来看令人怦然心动的实惠价格——每一千次安装仅收费100美元。其承接的服务目标区域也相当广泛,无论是北美、欧洲还是澳大利亚都没问题,不过在亚洲及东欧的计费标准会更高一些。
一般来说,租赁僵尸网络来实施拒绝服务攻击的价格为535美元,涵盖时间为一周、每天五小时。发送两万封垃圾邮件的费用为40美元,在论坛及评论中发布垃圾信息的费用则为每30条2美元。#p#
如何阻止僵尸网络的扩散
尽管僵尸网络持有者们似乎占尽了上风,但如今我们也已经拥有多种手段足以与之相抗衡。微软等主流企业纷纷转向法律制度,希望针对僵尸网络持有者制定司法议案来对其进行起诉。过去我们无法控告一个连真实姓名都不了解的对象,但在新的议案中,无论是网络昵称还是“匿名者”都可以成为犯罪嫌疑人。最近域名登记服务的严格管控已经初见成效,原本可被僵尸网络持有者用于创建数千域名,以保证C&C基础设施正常起效的宽松机制已经逐渐收紧。
如果一位研究人员能够通过逆向工程的方式解析服务器列表生成所使用的算法,就完全有可能帮助反僵尸网络机构提前注册这些域名,从而以阻断C&C服务器的方式控制住僵尸网络。这项技术通常被称为“sinkholing”,能够非常有效地减缓,甚至消除僵尸网络的负面影响,尤其是在恶意软件与安装或卸载程序整合时效果更好。Sinkholing技术同时也是研究人员了解僵尸网络的理想工具,它能够粗略估算僵尸网络的实际规模、受感染终端如何与组织者进行通信,甚至在某些情况下揭开持有者所处位置或身份等秘密。
计算机应急响应小组(简称CERT)同样在努力帮助我们扼制僵尸网络的蔓延。许多国家的学术机构及企业都拥有自己的CERT组织,而且这些团队往往乐于在彼此之间共享信息。当多方面都希望阻止同一项网络犯罪活动时,各CERT组织通常会以带头人的身份参与进来,起到至关重要的指挥与调度作用。未来可能将有更多公共及民间团队开展国际化合作,通过加大域名注册机制监控力度的方式,阻止僵尸网络扩散,从而更迅速地对这类威胁做出响应。#p#
僵尸网络如何演变
以智能手机与平板设备为代表的移动终端已经无处不在。随着移动趋势浪潮的汹涌袭来,访问网络的设备数量激增,但同时大量出现的还有移动恶意软件。移动设备已经成为很多僵尸网络开发者的首选目标,相信在不久的将来,我们会看到利用移动设备成功实现此类资金营收的尝试。到那个时候,短信收费欺诈,以及勒索软件必然引发新一轮威胁狂潮,同时成为犯罪分子们的又一吸金法宝。
FortiGuard实验室还发现了另一个有趣的现象,即在过去一年中,很多个人会自愿在设备上安装恶意代码,使自己成为僵尸网络中的一部分。以“匿名者”为代表的黑客组织会向其程序员群体提供工具,并统一下达命令,针对企业、政府或者其他机构发起出于政治目的的猛烈攻击。总体来说,这类自愿参与的情况往往仍被视为恶意活动,而且由于很多人对需要表达特定诉求的困苦群体充满同情,因此这类示威型攻击短时间内很难消除。
从向互联网用户发送垃圾邮件到窃取金钱,再到刺探政府机密,僵尸网络已经给互联网乃至全球经济带来巨大影响。僵尸网络的运营者们神出鬼没,难以定位,不易防范,甚至几乎没办法对其提出诉讼。而互联网的匿名性以及不同国家之间政策的差异性也使得网络犯罪分子的活动风险极低,但回报却非常可观。只有全球安全组织与各个国家齐心协力、团结合作、迅速响应,才能真正与僵尸网络及其创造者们相抗衡。
本文节选自FortiGuard全球安全威胁与响应实验室2013僵尸网络研究报告。