近期发生了三起较有影响力的,业界联手打击僵尸网络的事件。
一是欧美执法部门联合安全企业关闭了了辛巴达僵尸网络的14台命令控制服务器。该僵尸网络半年业感染了全世界190国家的77万台计算机。
二是英特尔安全、卡巴斯基以及欧洲和美国的执法机构联合打掉了已经存在6年的拥有3.5万台肉机的僵尸网络“蜂骨”(Beebone)。
三是国际电信巨头Level 3与思科直接把“SSH精神病”(Psychos)关进了黑洞。
但不幸的是,僵尸不死。
9个月前,Akamai威胁研究小组在其博客上记录了一个僵尸网络的技术细节。这个僵尸网络利用Joomla内容编辑器插件的一个已知漏洞,上传未授权的恶意文件。九个月后,研究小组还在继续观察这个僵尸网络。
你也许认为作为一个有逼格的僵尸大人,本该默默地在黑暗世界游走,但却被安全博客披露的体无完肤,应该无法再在这个圈子里混了。但恰恰相反,它不仅没有逐渐销声匿迹,反而还继续进化,侵蚀到了其他的内容管理系统,比如WordPress。
那么,我们就只能看着这个毫不尊重互联网秩序的恶棍继续地肆无忌惮?僵尸的确不死,但那是在电影、电视上,互联网上的僵尸会永生么?
僵尸概览
这个僵尸网络包含1037个肉机,均为互联网上公开的网页服务器,绝大部分运行着Joomla和WordPress。
尽管它算不上一只大型僵尸,但仍然能给如今的网络环境带来不小的威胁。从DDoS攻击,到数据盗窃,再到网站挂马、恶意链接,扫描网络寻找肉机,进一步扩大感染。它使用分布式技术针对7800种网页应用程序,以尽可能多的找到有漏洞的网站内容管理系统。
通过对这只僵尸的分析,发现以下几点主要特征:
1.不停的活动
尽管它的活动程度在下降,但它并没有死掉,每天平均都有50台肉机处于活动中。
2.随着时间增长
有趣的是,虽然观察到它的活动程度在下降,可是它实际上还在不断的捕获新的肉机,增加自己的体量。平均每天约有11台肉机加入进来,即每个月360台。
3.肉机的活动时间
基于Joomla的肉机平均是29天,其他网站平台的服务器是10天。原因未知,但怀疑与Joomla漏洞的大规模利用有关。
4.JCE漏洞之外
除了JCE,还发现其他的平台及其相关漏洞也是该僵尸网络的对象:
· WordPressr图片尺寸重设模块TimThumb中的远程文件包含(RFI)漏洞
· Open Flash Chart库的远程代码执行(RCE)漏洞
5.肉机寿命
9个月之前的肉机中,还有43台机器还在进行恶意活动。这么长的生存时间不得不令人惊讶,因为现在的环境非常不利用肉机生存。如:
a) 该僵尸针对一个已曝光3年的漏洞,含有此漏洞的服务器应该都已经升级了;
b) 对该漏洞的利用已经广为人知,况且这也不是第一个JCE漏洞;
c) 该僵尸网络的活动非常明显,毫不讳人,攻击许多网站应用程序,因而很容易被检测到。
6.肉机上的后门
发现某些肉机上有安装后门的迹象,这些后门可以远程控制肉机,完全的拥有这台机器。后门的操纵者可以盗取肉机用户的金融和个人信息,并发动针对其他服务器的各种攻击。
总结
很不幸,僵尸网络的故事无法终结。
仅仅对僵尸网络和它的伎俩进行曝光,是无法阻止它的。而且,即使屏蔽掉它控制着的每一台肉机也称不上是非常有效的方法,因为它繁衍的更快。我们需要另外的解决方案。
一种方案是通过基于信誉的系统监控所有的攻击源,从而令安全操作人员能够依据过去行为和行为分类来评估新出现的威胁。通过对网络流量各因素的处理,如攻击者的持续性,攻击目标程序的数量,攻击程度和造成的严重性,给其打分,以预测攻击源的下一步行动或意图,然后预先采取行动。
另一种方案则是本文开始的“SSH精神病”,找到攻击源后直接从电信运营商级别把攻击流量扔进黑洞。
但这两种方案并不容易实现,首先信誉系统的建立和统一就是一个非常麻烦的事情。而直接与电信运营商合作,则关乎法律问题,更何况不是每个安全厂商都能够方便自由的与电信联合一起打僵尸的。
僵尸网络利用的是漏洞,只要它咬上你一口,你便成为其中一份子,然后自动寻找下一个受害者。无论怎样,它都会永远继续下去。除非它咬不到人,也就意味着一个没有漏洞的互联网。
很明显,这是不可能的。
最新消息
2007年出现的“推动”(Pushdo)僵尸网络,在承受了四次打击围剿之后,随着一个最新的版本又重生了。目前,该僵尸网络的感染范围已到50个国家。