迷失在噪声中

　　自从 2007 下半年开始，网络犯罪者就不断滥用 Web 2.0 让网民自行创作内容的特点。首先是利用博客和 RSS 讯息做为幕后操控的通讯管道，歹徒会将操控指令张贴在公开的博客，僵尸网络程序则透过 RSS 讯息接收这些指令。反之，僵尸程序从感染系统窃取到的数据，则张贴在另一个公开的正常博客，让幕后操控服务器透过 RSS 讯息接收这些数据。

　　随着 Web 2.0 服务呈倍数成长且开始逐渐获得企业采纳，网络犯罪手法也因而更加速翻新。例如，目前已有 Amazon EC2 云端内遭入侵的无辜服务器被用来提供 ZeuS Bot 程序的组态配置文档。而且，歹徒也利用 Twitter 作为垃圾邮件恶意 URL 的目标网页，藉此躲避电子邮件 URL 过滤技术。Twitter、Facebook、Pastebin、Google Groups 和 Google AppEngine 都曾被用于当成幕后操控基础架构的代理。歹徒利用这些公开交流管道将经过混淆编码的指令传送到分散全球的僵尸网络Botnet，这类指令内含进一步的 URL 来让 僵尸Bot 程序下载更多指令或组件。

　　这些网站与服务对网络罪犯的吸引力在于，它们提供了一个公开、开放、可扩充、可随时使用而且相对匿名的方式来维持其幕后操控基础架构，同时也较不容易被传统的技术侦测。虽然网络内容检查解决方案应该可以发现那些已知恶意网站 (幕后操控服务器) 通讯或使用可疑不当通讯管道 (如 IRC) 的端点装置，但一般说来，只要计算机透过标准的 HTTP GET 请求、经由端口 80 来连上内容服务商，如：Facebook、Google 或 Twitter，就算是一天连上好几次，也都算正常行为。然而，随着 Bot 网络经营者和犯罪者不断分散其幕后操控基础架构，并且混杂在互联网噪声当中，上述行为已不能再视为正常。

　　当然，我们可以完全预料网络罪犯会朝这个方向发展，以后还会有更多 僵尸网络Botnet会利用更有效的点对点 (P2P) 通讯、更新、管理通讯管道等等。Bot 程序和 僵尸 Bot网络控制者之间的通讯，也将采用更强的加密方法，PKI 加密是可能的方式之一。而幕后操控服务器也将更有效分散行踪，使用云端服务的点对点通讯，以及入侵正常的服务来建立秘密通讯管道。垃圾讯息的散发能力将会更强。僵尸网络已经会利用社交网络来散播 (例如恶劣的 KOOBFACE )，它会发送、张贴讯息，不难预料在不久的将来僵尸网络程序将具备散发社交网络垃圾讯息的能力。