在2010年年末短暂的停歇后,僵尸网络又卷土重来了,并且今年他们可能会有一些新花样,专家表示,在过去几周内,NetWitness公司的研究人员报告了Rustock僵尸网络活动的增加,同事Websense的研究人员又发现了来自注明Waledac网络的新一轮垃圾邮件。在很多安全研究人员报告2010年最后一季度垃圾邮件活动下降的不到一个月内,僵尸网络流量出现新高峰。
随着新年的到来,僵尸网络专家表示,虽然去年最后一季度僵尸网络活动有明显的下降,但是他们估计僵尸网络操作者在2011年将继续他们业务的蓬勃发展,还将有一些新的转变。
“我认为不会有很多全新的技术出现,但是会出现增量式发展和完善,”SecureWorks公司恶意软件研究人员主管Joe Stewart表示,“僵尸网络技术已经成熟到一定程度,所以你不会看到太多真正全新的想法出现。但是,出于政治冬季的攻击者已经开始出现一些新的趋势,例如选择加入僵尸网络以及JavaScript跨站僵尸等。我认为在新年中,这些工具将会变得更加容易使用,更加有效率,并且更加有弹性,这将会是有趣的一年。”
在其博客中,反恶意软件技术供应商Dasient预测2011年将会带来“一场大型僵尸网络战争”,并且Zeus将会取得战争的胜利,这个木马工具包在2010年成为僵尸网络操作者喜爱的攻击方式。
“2011年可能会成为大型僵尸网络开始更积极地竞争来维持其发展的一年,并且用户将会被夹在中间,”博客中表示,“Zeus已经证明了其有能力比其他僵尸网络能够增长到更大的规模,并且它同事也是针对金融机构的更有利可图的僵尸网络之一,Zeus将会努力占据主导地位,并与其他试图动摇其地位的僵尸网络做斗争。”
随着僵尸网络变得越来越普遍,很多僵尸网络操作者将会选择简单地从其他僵尸网络操控者的受感染电脑中窃取信息,而不是试图建立他们自己的网络,Dasient公司的首席技术官Neil Daswani表示。这种暗战在2010年已经初见端倪,当僵尸网络操控者开始向其感染的电脑分配恶意软件(实际上是修复漏洞),这让其他僵尸网络操控者更难利用这些漏洞来攻击相同的电脑。“这种事情在2011年将会变得更加明显,并且有些用户甚至会看到明显的影响,”Daswani表示。“一旦用户的电脑落入僵尸网络间的战争,用户的电脑将会变得很缓慢并且不稳定,这些在过去都是僵尸网络试图隐藏的问题。”
另一个兴起的趋势就是使用社会网络来实行僵尸网络命令和控制,Damballa公司(研究抵御僵尸网络和其他高级持续性威胁攻击的技术的公司)高级研究分析师Christopher Elisan表示,“在过去,僵尸网络操控者会使用IRC或者其他更容易被打倒的渠道来执行他们的命令和控制,”Elisan表示,“但是你不能打到社交网络。”
所有僵尸网络专家都提到了最近增加的政治动机分布式拒绝攻击,例如那些支持维基解密的人,这种攻击趋势在2011年也可能增长。Stewart指出,一些这样的攻击被建立在“选择加入”僵尸网络上,允许支持某政治事业的用户自愿使用他们的电脑来加入。这种建立僵尸网络的方法很难被抵御,因为这些攻击是来自之前与僵尸网络没有任何关联的机器和软件。
DDoS攻击也改变了僵尸网络被使用的方式,Elisan表示。虽然大型僵尸网络的操控者通常会将部分网络资源分配来支持一些垃圾邮件活动,DDoS在一次简单的攻击中可能会利用僵尸网络的全部节点。在最大网络的案例中,这种集中型的策略可以让DDoS攻击几乎无法抵御,这也是让大型企业深思的问题,因为大型网络很可能成为下一个目标,专家标准。
在另一方面,攻击者开始越来越多的使用较小的僵尸网络来躲避检测机制,并且感染具体目标,分析家表示,“我们看到很多只有10台电脑的小型僵尸网络,僵尸网络越小,足迹就越小,并且就更难被检测,”Elisan表示。一些小型僵尸网络可能会给定节点名称和地址,看起来就像是日常网络名称地址,让他们能够躲过网络管理员的检查,毕竟管理员也不知道要找寻什么。
虽然较小型僵尸网络可能有利于隐蔽的数据收集,但是较大型的僵尸网络将会继续被用于更广泛的攻击,例如垃圾邮件活动和分布式拒绝攻击,专家表示。但是是否存在我们还没发现的僵尸网络的用途呢?
“我相信我们今年将会看到至少一个新的僵尸网络应用程序,也是我们以前没有见过的,”Daswani表示,“我们已经看到有些人利用僵尸网络来进行键盘记录,我们认为将会出现更多的音频记录和网络日志等,这个方面将有很大发展。”