网络安全 频道

僵尸网络日益剧烈 企业需保持高度警惕

专家称对于现在的企业来说,对僵尸网络造成的日益剧烈的和增加的威胁保持清醒是很有必要的,并且应该在为时未晚的时候采取果断的和有效的措施。但是这种事情是说起来容易做起来难的,因为僵尸网络往往是很狡诈的,并且以秘密行动作为僵尸网络的关键手段。一旦这些僵尸计算机被控制,这些计算机就会被用于一些罪恶的目的中,包括扫描其他网络的易受攻击的系统,利用DoS攻击一个特定的目标,发送垃圾邮件,记录键盘使用记录来为以后的ID和密码盗取做准备。 

  专家称对于现在的企业来说,对僵尸网络造成的日益剧烈的和增加的威胁保持清醒是很有必要的,并且应该在为时未晚的时候采取果断的和有效的措施。但是这种事情是说起来容易做起来难的,因为僵尸网络往往是很狡诈的,并且以秘密行动作为他们的关键手段。Bot是Robot的简称,也就是一台被僵尸网络感染的计算机,当然了,僵尸网络就是由这些被感染的计算机组成的。一旦这些僵尸计算机被控制,这些计算机就会被用于一些罪恶的目的中,包括扫描其他网络的易受攻击的系统,利用DoS攻击一个特定的目标,发送垃圾邮件,记录键盘使用记录来为以后的ID和密码盗取做备。

  僵尸网络一般是通过垃圾邮件或是广告软件背后的软件代理商创造的,有时也被叫做“僵尸”。被俘获的或是被僵尸化的机器受恶意软件的创造者远程控制,他们被称作僵尸主人。

  “如果不得不通过附加的软件下载来完成这一过程的话,僵尸计算机首先可能会利用一些机制—FTP, PFTP, HTTP—来安装这种软件。”网络安全公司Global Crossing的信息安全主管Jim Lippard解释说,这家公司的客户包括世界500强中的35%,还有700家电信运营商和因特网服务的提供赏。

  僵尸计算机做的下一步叫做呼叫主机。它会经常通过一个有僵尸主人命名的特殊的名称作出DNS查找,然后它就会找到特定名字的主机,并且利用一个标准的IRC协议来连接它。

  僵尸网络的规模越大,它所造成的危害的也就越可怕。比如说,当一个僵尸网络连接了数以千计的计算机来发动DoS攻击的话,后果将是不堪设想的。

  绝大多数僵尸网络的操控者所追求的是经济利益。僵尸网络有时候出租给垃圾邮件的制造者,引起网络恐慌的造谣者和其他一些犯罪分子。Lippard将僵尸软件看作是“Internet犯罪中的瑞士军刀。”他说,“在僵尸网络经济中有3个功能性的角色。例如,有僵尸网络的操纵者——就是控制僵尸电脑的人。Lippard谈到了2种普遍的僵尸主人赚钱的方法,第一种就是在他所控制的系统中安装广告软件或是免费软件。然后他们就利用这些程序在系统的所有者中发布广告,或者是通过点击广告来获取来自于某个会员联盟所给予的钱财。”

  第二种获取利润的方式就是将僵尸网络的使用权租用给垃圾邮件的制造者。“他们并不是以僵尸网络作为广告词,而是一种垃圾邮件的制造者可以利用的代理服务。僵尸网络的所有者每天将根据代理名单的数量收取费用,有时甚至是按小时计费。”

  Lippard说他曾经听说过有些僵尸网络的所有者一个月就通过广告软件或是出售代理赚取高达10000美圆的报酬。 利用僵尸网络发动DoS攻击攻击的行为也上升了,Lippard说,这些攻击的最早的目标只是宣传非法经营赌博网站,还有为这些网站进行信用卡处理的网站。但是僵尸网络现在已经试着去尽量减少攻击其它的商业网站,因为僵尸网络的攻击也要依赖这些网站来运行。一些僵尸网络变体,也被叫做Rinbot,被用来偷盗游戏的注册密码。

  尽管Christopher Maxwell的案件已经众所周知,专家估计现在仍然有很多未被发现的僵尸网络。因为僵尸网络的交易行为相当秘密,很难对他们的日益增加的威胁作一个精确的数量统计。

  在2007年三月,Symantec在它的半年度互联网安全报告中发布了一些令人相当担忧的数据。根据这份报告,僵尸网络行为相比过去一年增加了10%,并且其中40%的控制接点是在美国。

  因为大多数僵尸网络的控制者所追求的是经济利益,所以他们很热衷于被感染的系统并且被感染的用户并没有发现和修正这些问题。正如很多专家所指出的,僵尸网络为了防止被发现一直在花费时间传播,他们的创造者与其他的恶意代码的作者不同,他们不需要急于在尽可能短的时间里交出数以千计的被感染计算机。

  唯一一个能够相对快速的检测出僵尸网络的方法就是,如果僵尸网络的所有者走的过于极端,安装了如此多的恶意软件以至于系统变的相当的慢——到达了难以利用的程度。

  Lippard的同事Bob Hagen在他的博客中指出,现行的侦察和根除僵尸网络的控制者的方法和机制正在失去效用。

  “历史上,绝大多数的僵尸网络利用在线聊天系统(IRC)作为僵尸计算机和控制者之间交流的机制,”Hagen指出,他现在是Global Crossing的安全发展部门的主管。“僵尸计算机会持久的与一台IRC服务器相连并且通过一个指定的渠道聆听命令。”他说侵入侦察技术能够很轻易的检查到这个交流渠道。

  HTTP(超文本传输协议),就不同了,它很少被阻止。因此,HTTP渠道现在在僵尸网络的交流中越来越受欢迎。更加恐慌的是,中心僵尸网络的控制者正逐渐开始利用分散的对等网络模式,比如说文件传输网络Gnutella和BitTorrent,来控制僵尸计算机。

  专家建议道,阻止这些新的策略需要方法上的改变,需要网络的创建者和运营者之间共同的努力。

  “电信运营商的网络必须在它们的核心设备中建立智能的,以流量为基础的传感器,这样就可以不间断的侦察到分布式的DoS攻击,并且采取有效的措施减少攻击的影响。”矫正措施应该包括在路由器上应用配置限速访问列表或者甚至是通过外在闸道通信协议发送广告。更重要的是,这些流量数据会被这些监控器收集整理从而可以对这种分布式的DoS攻击有一个全面的了解,这样就能使僵尸计算机被发现并且告之受感染者。

  最后,Hagen说传感器同样应该与网络管理系统连为一体,这样行动小组就能在DoS攻击被发现的时候警惕起来。虽然这种防御态势看起来是一个倒退,但是却会使网络安全集团开发出更加有效的策略从而使僵尸计算机和僵尸网络减少。

0
相关文章