恶意软件背后的从业者
如今的网络犯罪活动已经进入组织化、集团化模式,与合法企业一样追求运营效率最大化。正如FortiGuard在2013年犯罪软件报告中的结论,这些犯罪组织拥有完善且为我们所熟悉的结构体系:高层管理者,中层管理人员,最后是苦工分别负责具体工作以及资金转移。
僵尸网络开发者绝不会在完成了网络部署后就沉浸在成功的喜悦中而是努力想办法改善自己的技术成果,使其更难被检测并移除。另外,他们也在不断寻求新的赚钱途径,希望让受感染的设备能为自己带来更可观的收入。通过将命令服务器隐藏在多层代理服务器之后,加密通信机制甚至完全脱离传统客户端-服务器方案而转向点对点结构等创新型策略,他们不断用自己的“聪明才智”将反恶意软件及威胁的研究带向新的高度。
僵尸网络越来越廉价
僵尸网络曾经是个圈子有限、对技术水平要求很高的领域。但时至今日,创建僵尸网络的起步成本已经几乎为零。举例来说,2011年5月臭名昭著的Zeus僵尸网络源代码被泄露到网上,任何愿意花点时间搜寻互联网资源的访问者,都能在某些藏得较深的角落里找到软件拷贝,且只需稍加修改就能打造自己的僵尸网络体系。2012年12月,赛门铁克公司发现了一名犯罪分子,这家伙愿意以250美元的价格帮助技术水平不高的用户完成Zeus的全面安装。
更具专业性的僵尸网络服务每个月则需要花费数千美元的代理运营成本,但专业服务通常包含受感染计算机网络访问,以及全天候技术支持等高端项目。
如果某个有理想、有抱负,但却缺乏编程知识的家伙希望设置并部署属于自己的僵尸网络,那么时至今日成熟的服务体系将会圆满实现其犯罪渴望,或者按他们自己的说法叫“创业意愿”。举例来说,协助客户建立僵尸网络的咨询类服务一般只需350到400美元。
一旦体系建成,僵尸网络软件需要通过不断传播来最终转化为完全成熟的犯罪体系。目前已经有一些网站联盟推出了按安装数量计费(简称PPI)的网络扩散模式,帮助客户迅速将自己的木马传播出去,从而建立规模的僵尸网络。这类恶意联盟需要的信息很简单:第一,客户需要感染多少套系统。第二,由客户提供相应的僵尸网络软件。除此之外,他们将打理剩下的一切事务。再来看令人怦然心动的实惠价格——每一千次安装仅收费100美元。其承接的服务目标区域也相当广泛,无论是北美、欧洲还是澳大利亚都没问题,不过在亚洲及东欧的计费标准会更高一些。
一般来说,租赁僵尸网络来实施拒绝服务攻击的价格为535美元,涵盖时间为一周、每天五小时。发送两万封垃圾邮件的费用为40美元,在论坛及评论中发布垃圾信息的费用则为每30条2美元。
如何阻止僵尸网络的扩散
尽管僵尸网络持有者们似乎占尽了上风,但如今我们也已经拥有多种手段足以与之相抗衡。微软等主流企业纷纷转向法律制度,希望针对僵尸网络持有者制定司法议案来对其进行起诉。过去我们无法控告一个连真实姓名都不了解的对象,但在新的议案中,无论是网络昵称还是“匿名者”都可以成为犯罪嫌疑人。最近域名登记服务的严格管控已经初见成效,原本可被僵尸网络持有者用于创建数千域名,以保证C&C基础设施正常起效的宽松机制已经逐渐收紧。
如果一位研究人员能够通过逆向工程的方式解析服务器列表生成所使用的算法,就完全有可能帮助反僵尸网络机构提前注册这些域名,从而以阻断C&C服务器的方式控制住僵尸网络。这项技术通常被称为“sinkholing”,能够非常有效地减缓,甚至消除僵尸网络的负面影响,尤其是在恶意软件与安装或卸载程序整合时效果更好。Sinkholing技术同时也是研究人员了解僵尸网络的理想工具,它能够粗略估算僵尸网络的实际规模、受感染终端如何与组织者进行通信,甚至在某些情况下揭开持有者所处位置或身份等秘密。
计算机应急响应小组(简称CERT)同样在努力帮助我们扼制僵尸网络的蔓延。许多国家的学术机构及企业都拥有自己的CERT组织,而且这些团队往往乐于在彼此之间共享信息。当多方面都希望阻止同一项网络犯罪活动时,各CERT组织通常会以带头人的身份参与进来,起到至关重要的指挥与调度作用。未来可能将有更多公共及民间团队开展国际化合作,通过加大域名注册机制监控力度的方式,阻止僵尸网络扩散,从而更迅速地对这类威胁做出响应。
僵尸网络如何演变
以智能手机与平板设备为代表的移动终端已经无处不在。随着移动趋势浪潮的汹涌袭来,访问网络的设备数量激增,但同时大量出现的还有移动恶意软件。移动设备已经成为很多僵尸网络开发者的首选目标,相信在不久的将来,我们会看到利用移动设备成功实现此类资金营收的尝试。到那个时候,短信收费欺诈,以及勒索软件必然引发新一轮威胁狂潮,同时成为犯罪分子们的又一吸金法宝。
FortiGuard实验室还发现了另一个有趣的现象,即在过去一年中,很多个人会自愿在设备上安装恶意代码,使自己成为僵尸网络中的一部分。以“匿名者”为代表的黑客组织会向其程序员群体提供工具,并统一下达命令,针对企业、政府或者其他机构发起出于政治目的的猛烈攻击。总体来说,这类自愿参与的情况往往仍被视为恶意活动,而且由于很多人对需要表达特定诉求的困苦群体充满同情,因此这类示威型攻击短时间内很难消除。
从向互联网用户发送垃圾邮件到窃取金钱,再到刺探政府机密,僵尸网络已经给互联网乃至全球经济带来巨大影响。僵尸网络的运营者们神出鬼没,难以定位,不易防范,甚至几乎没办法对其提出诉讼。而互联网的匿名性以及不同国家之间政策的差异性也使得网络犯罪分子的活动风险极低,但回报却非常可观。只有全球安全组织与各个国家齐心协力、团结合作、迅速响应,才能真正与僵尸网络及其创造者们相抗衡。
(责任编辑:安博涛)
