经常看电影、小说甚至玩过植物大战僵尸游戏的用户对“僵尸”已经不再陌生。在网上搜索会得到这样的解释:僵尸,指四肢僵硬,头不低,眼不斜,腿不分,不腐烂的尸体。而僵尸网络的提出似乎给网络安全领域蒙上了神秘面纱,这个安全“黑社会”的技术给安全领域带来了不小的挑战,怎样揭开僵尸网络的神秘面纱?做到知己知彼百战不殆,应先从了解僵尸网络开始。
僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而使攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。
僵尸网络是在控制者和被感染主机之间所形成的一个可一对多控制的网络,之所以用这个名字,是为了更形象的让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。目前,最大最严重的僵尸网络包括以下五种:
1. 爱上远程服务器的装载机:Bredolab
Bredolab也是很流行的装载机。除了发送垃圾邮件外,Bredolab还专注于下载“Scareware”(假杀毒软件)以及“Ransomware”产品。Bredolab.SV是一种特洛伊病毒,能够下载并生成Win32/Zbot 和 Win32/Cutwail病毒。它将获取的系统信息发送到远程服务器,并从远程服务器接收URL和文件。
恶意程序通过垃圾邮件传播,并诱惑用户运行恶意程序。其主要商业模式是使用这些产品感染很多系统,希望受害者购买Scareware和Ransomware产品,然后获取佣金利润。
2. 臭名远扬的“装载机” Pushdo/Cutwail
Pushdo本身是一个“装载机”,其可以下载其他组件安装在系统中,于2007年和另一个僵尸网络 Storm同时出现,是全球第二大垃圾信息僵尸网络,臭名远扬的原因在于黑客使用不同技术使Pushdo难以被侦测,PushDo不但主导全球大量的垃圾信息发送,同时也是黑客用来散布恶意程序的主要管道。虽然Storm已经不复存在,但Pushdo 却越来越强大,每日从大约150万台僵尸电脑中发送190亿封垃圾邮件。
在商业模式中,Pushdo可以为客户定制安装特定恶意软件,根据每个安装来收取费用。通常通过Pushdo进入被感染的电脑系统,并下载垃圾邮件程序Cutwail。Pushdo使用Cutwail来自我复制垃圾邮件,从而不断扩大其僵尸网络,也可通过Cutwail租出垃圾邮件服务。Pushdo/Cutwail僵尸网络发送的垃圾邮件内容很杂,包括医药产品,网络赌博,网络钓鱼邮件以及链接到包含恶意代码网站的邮件。
3. 垃圾邮件的缔造者:Waledac
与Cutwail一样,Waledac 最广为人知的应该是发送垃圾邮件的功能,此外他还会下载执行任意文件,Waledac也可以利用其下载的定制模版发送垃圾邮件。由于它是基于模版的,Waledac也为垃圾邮件服务收费。与Pushdo不一样,Waledac在点到点网络操作,所以很难被攻破。它还可以加载恶意软件,代理HTTP内容来通过僵尸网络传播恶意网站。
它下载执行的文件并不限于恶意软件。Waledac 也会试图下载安装免费的抓包库 "WinPcap"。它利用这个库的功能来嗅探网络流量,查找 SMTP、POP、HTTP 和 FTP 协议中所传输的验证信息。
除了我们在之前的 Blog 中所提到的 Waledac被 Win32/Bredolab 变种下载,我们还发现 Waledac 会被正在传播的 Win32/Cutwail 下载。
4. 骚客一族:Conficker
这个僵尸网络可能不需要过多介绍。虽然历史悠久,但Conficker从来没有真正导致过重大事故。但这并不意味着不存在威胁,该僵尸网络仍然很活跃。Conficker病毒主要是借助闪存、利用微软的MS08-067漏洞进行传播的。当Conficker病毒进入系统后,首先破坏系统中的默认属性设置,接着会自动搜索局域网内有漏洞的其他电脑,一旦发现有存在漏洞的计算机系统,就会激活该漏洞并同感染系统创建连接,最后进行远程感染。
5. 记录用户击键:Zeus
提起Zeus ,我们不得不回顾今年4月份一个名为Zeus的病毒不断窃取网上银行的账户信息,相关数据显示,当时有550万台计算机已经被检测到不同版本的Zeus感染。Zeus 1.6可以感染使用IE和Firefox浏览器的用户,并对用户实施击键记录,进而通过分析银行网站日志并将数据发送到远程服务器,或由网络黑客团伙出售。
Zeus作为犯罪软件工具包出售,这意味着它不仅仅是一个大型僵尸网络,而是很多独立僵尸网络。任何人都可以利用这个工具来创建自己的僵尸网络,而且很受欢迎。最近我们检测到很多Zeus变种。Zeus通常被配置为窃取信息,包括银行凭证信息和返回给攻击者的报告。
从个人端到服务器端,从垃圾邮件缔造者到恶意程序发布者,从记录用户的击键记录到随处可见的Conficker病毒,僵尸网络给我们更多恐怖之后是对安全行业对金钱驱使下的黑产业链的澄清,为用户谋取更安全健康的网络环境成为安全厂商努力方向。