虽然目前还没有一套简单自动的检测方案能够确切诊断感染状况的存在,但我们可以从以下几种典型症状入手:系统运行速度比正常情况慢;硬盘驱动器LED灯在空闲模式下仍然不停闪烁;文件与文件夹突然消失,或者以某种方式发生改变;朋友或同事提醒用户称他们收到了由其发送的垃圾邮件;计算机上的防火墙通知用户有程序正在试图访问互联网;某个从互联网上下载的程序突然出现运行图标消失现象,弹出的报错信息明显多于以往;网上银行突然要求用户提供此前从未索取过的个人信息。
了解僵尸网络的运作机制是成功帮助系统抵御僵尸网络攻击的良好开端。除了学习之外,用户在防护方面需要做好的另一件要事,是要保证自己使用的所有软件都来自合法及可信来源,而且需要进一步为所有应用程序安装最新安全补丁。在浏览网络内容时使用过时的互联网浏览器,或者使用AdobeFlash或甲骨文Java等未及时更新的插件,相当于自己提升了安全风险。许多企业都提供了足以在功能丰富程度上与著名杀毒厂商看齐的免费版本。因此在设备中安装杀毒软件套件,且保持更新是必须的,同时还要养成定期进行全盘系统扫描的良好习惯,坚持使用一套杀毒软件。而同时使用多种杀毒方案可能会给系统造成意外损害,要使用个人防火墙程序并利用警报机制在程序试图连接互联网时向我们发出提示。
为了防止数据收集软件的窥探,目前银行等机构实现敏感或受监管数据远程访问的主要方案之一在于双因子验证机制。所谓双因子,是指用户知道的信息与用户具有的信息:用户知道的信息包括标准的登录名与密码。用户具有的信息,即由密钥卡(也称为硬件安全令牌)或者手机等设备生成的一次性动态密码。
双因子认证也不保万全
然而,僵尸网络的组织者们针对这套方案推出了应对机制,也就是浏览器中间人(简称MitB)攻击。在MitB攻击当中,恶意软件会伪装成从表面上看与合法网络站点毫无区别的银行网站。用户一旦访问这些欺诈性网站,必然会向其提供必要的安全登录资料,包括双因子身份验证过程中产生的动态密码。只要信息输入完成,欺诈性网站会立即将信息转发至真正的银行站点,再由组织者接手对受害者账户进行访问。
另一种常见的MitB攻击方式则暗中通过受害者的浏览器将附加字段注入到银行的登录页面中,这些附加字段会在登录过程中要求用户输入比通常情况下更详细的个人信息。例如母亲的姓名、出生城市等等。有了这些细节资料,僵尸网络组织者将可以堂而皇之地致电银行,索取用户个人资料,并直接对受害账户加以访问。
值得庆幸的是,目前银行已经部署了大量复杂的算法,有助于识别账户内部的欺诈活动。当恶意活动出现时,银行方面往往会立即提醒受害者核查账户的可疑操作。然而一旦组织者成功实施了MitB攻击,他们通常会首先将个人信息中的“联系电话”设定为VoIP号码并转接到自己这边。如此一来,当银行在拨打用户电话时,实际拨通的是组织者的号码。这个时候恶意人士就可以为所欲为了,甚至直接通过海外电汇将受害者的资金转到境外账户。
另一种关注程度不高的僵尸网络影响在于对机密信息及知识产权资料的窃取。目前已经有僵尸网络尝试通过有针对性的电子邮件在企业或政府机构的特殊用户系统中安装后门。一旦企业网络被这种鱼叉式网络钓鱼攻击所渗透,组织者将悄无声息地对受害者个人计算机及其能够访问的共享网络驱动器加以搜索,试图寻找技术图纸、源代码、投标报价文件、客户名单,以及内部电子邮件等敏感数据。
金钱:僵尸网络最主要动机
软件开发者之所以会创造出这样复杂的恶意软件,自然是看中了僵尸网络强大的赢利能力,而且其创建与维护方面的风险也相当之低。由于互联网的全球化特性,以及僵尸网络组织者出色的隐藏能力,我们很难揪出这些犯罪分子,更别说逮捕或对他们提起诉讼。
僵尸网络组织者通过出租方式将自己的成品方案交给有意进行拒绝服务攻击的客户,由此带来的经济收益每天可高达数千美元。组织者甚至想出了将僵尸网络体系进一步划分为更小群组的方法,旨在同时针对多个站点发起多轮攻击。对于小型网站而言,一般由几百台僵尸设备构成的体系即可使其陷入瘫痪。而在大型网站方面,则往往需要成千上万台设备联手协作。根据攻击规模的不同,组织者能够通过调整,最大限度地提高资金收入。卡巴斯基实验室发布的一项研究结果表明,仅在2008年僵尸网络持有者通过DDoS攻击所获得的收入总额就高达两千万美元之巨。
另外,出售从受害者处搜集到的个人信息也能成为收入来源。根据账户类型的不同,每个用户账户平均能卖到5到15美元。这些账户通常会被汇总在大的资料包中,批量出售给有意从事经济诈骗的恶意人士。对于那些打算通过垃圾邮件窃取更多信息的犯罪分子来说,电子邮件地址也成为理想的交易对象——目前一万个电子邮件地址的售价在20到100美元之间。僵尸网络持有者自己也提供垃圾邮件发送服务,当下每两万封电子邮件的发送费用约为40美元。事实上,某些僵尸网络在一天之内就能发送上千万封垃圾邮件,大家可以算算他们的实际经济收入何等可观。搜索引擎优化感染的单位价格更高,每两万个垃圾链接、文章或评论的收费就是80美元。
按点击收费领域的欺诈行为又是另一种赚钱的好途径。根据微软研究院发布的一项调查,目前每季度所有在线广告点击中约有四分之一来自欺诈性操作。ClickForensics网站则认为有17%的广告点击源自欺诈活动,其中约有三分之一直接由僵尸网络实现。基于在线广告支出总额,我们可以计算出点击欺诈行为每年给僵尸网络持有者们带来总计上千万美元的收入。
比特币的出现为僵尸网络组织者开辟了一条赚钱的新路,尽管收益不高但却相当简单、稳定,且完全是笔外财。通过安装非法软件,组织者将在僵尸成员们的辛勤劳作下源源不断地获得比特币。
最重要的是,上述赢利机制彼此之间并不矛盾——“聪明勤劳”的僵尸网络运营者能够利用被感染的计算机,同时从事其中大多数甚至全部赢利方案。
了解僵尸网络的运作机制是成功帮助系统抵御僵尸网络攻击的良好开端。除了学习之外,用户在防护方面需要做好的另一件要事,是要保证自己使用的所有软件都来自合法及可信来源,而且需要进一步为所有应用程序安装最新安全补丁。
(责任编辑:安博涛)
