比僵尸更恐怖 五大主流僵尸網(wǎng)路全解析
經(jīng)??措娪?、小說(shuō)甚至玩過(guò)植物大戰(zhàn)僵尸游戲的用戶對(duì)“僵尸”已經(jīng)不再陌生。在網(wǎng)上搜索會(huì)得到這樣的解釋:僵尸,指四肢僵硬,頭不低,眼不斜,腿不分,不腐爛的尸體。而僵尸網(wǎng)絡(luò)的提出似乎給網(wǎng)絡(luò)安全領(lǐng)域蒙上了神秘面紗,這個(gè)安全“黑社會(huì)”的技術(shù)給安全領(lǐng)域帶來(lái)了不小的挑戰(zhàn),怎樣揭開(kāi)僵尸網(wǎng)絡(luò)的神秘面紗?做到知己知彼百戰(zhàn)不殆,應(yīng)先從了解僵尸網(wǎng)絡(luò)開(kāi)始。
僵尸網(wǎng)絡(luò)是指采用一種或多種傳播手段,將大量主機(jī)感染bot程序(僵尸程序),從而使攻擊者通過(guò)各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī),而被感染的主機(jī)將通過(guò)一個(gè)控制信道接收攻擊者的指令,組成一個(gè)僵尸網(wǎng)絡(luò)。
僵尸網(wǎng)絡(luò)示意圖
僵尸網(wǎng)絡(luò)是在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò),之所以用這個(gè)名字,是為了更形象的讓人們認(rèn)識(shí)到這類危害的特點(diǎn):眾多的計(jì)算機(jī)在不知不覺(jué)中如同中國(guó)古老傳說(shuō)中的僵尸群一樣被人驅(qū)趕和指揮著,成為被人利用的一種工具。目前,最大最嚴(yán)重的僵尸網(wǎng)絡(luò)包括以下五種:
1. 臭名遠(yuǎn)揚(yáng)的“裝載機(jī)” Pushdo/Cutwail
Pushdo本身是一個(gè)“裝載機(jī)”,其可以下載其他組件安裝在系統(tǒng)中,于2007年和另一個(gè)僵尸網(wǎng)絡(luò) Storm同時(shí)出現(xiàn),是全球第二大垃圾信息僵尸網(wǎng)絡(luò),臭名遠(yuǎn)揚(yáng)的原因在于黑客使用不同技術(shù)使Pushdo難以被偵測(cè),PushDo不但主導(dǎo)全球大量的垃圾信息發(fā)送,同時(shí)也是黑客用來(lái)散布惡意程序的主要管道。雖然Storm已經(jīng)不復(fù)存在,但Pushdo 卻越來(lái)越強(qiáng)大,每日從大約150萬(wàn)臺(tái)僵尸電腦中發(fā)送190億封垃圾郵件。
在商業(yè)模式中,Pushdo可以為客戶定制安裝特定惡意軟件,根據(jù)每個(gè)安裝來(lái)收取費(fèi)用。通常通過(guò)Pushdo進(jìn)入被感染的電腦系統(tǒng),并下載垃圾郵件程序Cutwail。Pushdo使用Cutwail來(lái)自我復(fù)制垃圾郵件,從而不斷擴(kuò)大其僵尸網(wǎng)絡(luò),也可通過(guò)Cutwail租出垃圾郵件服務(wù)。Pushdo/Cutwail僵尸網(wǎng)絡(luò)發(fā)送的垃圾郵件內(nèi)容很雜,包括醫(yī)藥產(chǎn)品,網(wǎng)絡(luò)賭博,網(wǎng)絡(luò)釣魚郵件以及鏈接到包含惡意代碼網(wǎng)站的郵件。
2. 愛(ài)上遠(yuǎn)程服務(wù)器的裝載機(jī):Bredolab
Bredolab也是很流行的裝載機(jī)。除了發(fā)送垃圾郵件外,Bredolab還專注于下載“Scareware”(假殺毒軟件)以及“Ransomware”產(chǎn)品。Bredolab.SV是一種特洛伊病毒,能夠下載并生成Win32/Zbot 和 Win32/Cutwail病毒。它將獲取的系統(tǒng)信息發(fā)送到遠(yuǎn)程服務(wù)器,并從遠(yuǎn)程服務(wù)器接收URL和文件。
惡意程序通過(guò)垃圾郵件傳播,并誘惑用戶運(yùn)行惡意程序。其主要商業(yè)模式是使用這些產(chǎn)品感染很多系統(tǒng),希望受害者購(gòu)買Scareware和Ransomware產(chǎn)品,然后獲取傭金利潤(rùn)。
3. 記錄用戶擊鍵:Zeus
提起Zeus ,我們不得不回顧今年4月份一個(gè)名為Zeus的病毒不斷竊取網(wǎng)上銀行的賬戶信息,相關(guān)數(shù)據(jù)顯示,當(dāng)時(shí)有550萬(wàn)臺(tái)計(jì)算機(jī)已經(jīng)被檢測(cè)到不同版本的Zeus感染。Zeus 1.6可以感染使用IE和Firefox瀏覽器的用戶,并對(duì)用戶實(shí)施擊鍵記錄,進(jìn)而通過(guò)分析銀行網(wǎng)站日志并將數(shù)據(jù)發(fā)送到遠(yuǎn)程服務(wù)器,或由網(wǎng)絡(luò)黑客團(tuán)伙出售。
Zeus作為犯罪軟件工具包出售,這意味著它不僅僅是一個(gè)大型僵尸網(wǎng)絡(luò),而是很多獨(dú)立僵尸網(wǎng)絡(luò)。任何人都可以利用這個(gè)工具來(lái)創(chuàng)建自己的僵尸網(wǎng)絡(luò),而且很受歡迎。最近我們檢測(cè)到很多Zeus變種。Zeus通常被配置為竊取信息,包括銀行憑證信息和返回給攻擊者的報(bào)告。
4. 垃圾郵件的締造者:Waledac
與Cutwail一樣,Waledac 最廣為人知的應(yīng)該是發(fā)送垃圾郵件的功能,此外他還會(huì)下載執(zhí)行任意文件,Waledac也可以利用其下載的定制模版發(fā)送垃圾郵件。由于它是基于模版的,Waledac也為垃圾郵件服務(wù)收費(fèi)。與Pushdo不一樣,Waledac在點(diǎn)到點(diǎn)網(wǎng)絡(luò)操作,所以很難被攻破。它還可以加載惡意軟件,代理HTTP內(nèi)容來(lái)通過(guò)僵尸網(wǎng)絡(luò)傳播惡意網(wǎng)站。
它下載執(zhí)行的文件并不限于惡意軟件。Waledac 也會(huì)試圖下載安裝免費(fèi)的抓包庫(kù) "WinPcap"。它利用這個(gè)庫(kù)的功能來(lái)嗅探網(wǎng)絡(luò)流量,查找 SMTP、POP、HTTP 和 FTP 協(xié)議中所傳輸?shù)尿?yàn)證信息。
除了我們?cè)谥暗?Blog 中所提到的 Waledac被 Win32/Bredolab 變種下載,我們還發(fā)現(xiàn) Waledac 會(huì)被正在傳播的 Win32/Cutwail 下載。
5. 騷客一族:Conficker
這個(gè)僵尸網(wǎng)絡(luò)可能不需要過(guò)多介紹。雖然歷史悠久,但Conficker從來(lái)沒(méi)有真正導(dǎo)致過(guò)重大事故。但這并不意味著不存在威脅,該僵尸網(wǎng)絡(luò)仍然很活躍。Conficker病毒主要是借助閃存、利用微軟的MS08-067漏洞進(jìn)行傳播的。當(dāng)Conficker病毒進(jìn)入系統(tǒng)后,首先破壞系統(tǒng)中的默認(rèn)屬性設(shè)置,接著會(huì)自動(dòng)搜索局域網(wǎng)內(nèi)有漏洞的其他電腦,一旦發(fā)現(xiàn)有存在漏洞的計(jì)算機(jī)系統(tǒng),就會(huì)激活該漏洞并同感染系統(tǒng)創(chuàng)建連接,最后進(jìn)行遠(yuǎn)程感染。
從個(gè)人端到服務(wù)器端,從垃圾郵件締造者到惡意程序發(fā)布者,從記錄用戶的擊鍵記錄到隨處可見(jiàn)的Conficker病毒,僵尸網(wǎng)絡(luò)給我們更多恐怖之后是對(duì)安全行業(yè)對(duì)金錢驅(qū)使下的黑產(chǎn)業(yè)鏈的澄清,為用戶謀取更安全健康的網(wǎng)絡(luò)環(huán)境成為安全廠商努力方向。
關(guān)鍵詞:僵尸網(wǎng)路
閱讀本文后您有什么感想? 已有 人給出評(píng)價(jià)!
- 55
- 553
- 411
- 113
- 334
- 400