风暴僵尸网络
风暴僵尸网络或称为风暴蠕虫僵尸网络,是一种受远程控制的僵尸计算机 (或直译机器人网络)组成的网络。该网络是由暴风蠕虫 (一种通过垃圾电子邮件散播的木马)连起来的。研究预测截至2007年9月为止,风暴僵尸网络至少藏身于1百万到5千万台计算机系统里某处默默执行。其他消息来源则折衷风暴僵尸网络的大小约为25万到1百万台计算机。更保守一点的估计,一位网络保全分析家宣称他曾写过一个软件“爬”过僵尸网络,并预测风暴僵尸网络控制了约16万台受感染的计算机。风暴僵尸网络首度发现于2007年1月左右,当时风暴蠕虫约占所有运行于微软窗口平台计算机流氓软件的8% 。
风暴僵尸网络已被用于各式各样的犯罪行为。目前它的控制者以及风暴蠕虫的作者仍未被查出。风暴僵尸网络已展示出防御性的行为,显示它的控制者正积极的保护僵尸网络以避免种种追踪或者终止该程序的尝试。僵尸网络会针对某些试图侦查它们的保全公司或者研究员进行攻击。保全专家乔•史都华(Joe Stewart)透露在2007年晚期,僵尸网络操作者开始进一步的分散其运作,可能计划将风暴僵尸网络部分卖给其他的操作者。同时期某些报告指出风暴僵尸网络正在收缩,然而许多保全专家报告说他们认为僵尸网络仍旧是在线主要保全威胁,而且考量僵尸网络身为银行诈欺、个人信息窃取、以及其他电子犯罪方面的共犯,美国联邦调查局仍将其列为网络保全重点对象。
2007年9月的报告指出僵尸网络已强大到足以将整个国家从互联网上隔离。根据预测,它每秒执行指令的速度足以超过某些世界顶尖的超级计算机。然而,这并不是完全精确的比较。根据保全分析师詹姆士•透纳(James Turner)说把僵尸网络与超级计算机拿来比较,就像拿狙击手组成的军团与核武器相比较一样。英国保全公司马歇尔(Marshal)的布莱德雷•安斯底斯(Bradly Anstis)说:“更值得担忧的事是带宽。只要算一下4百万倍的标准ADSL连接。那是很大的带宽,这让我相当担忧。有像那样的资源在他们手上 — 分散在世界各地,高度密布于很多国家内 — 意味着他们可以对许多网页寄存服务商投射非常有效的离散式攻击。”
起源风暴僵尸网络首度在2007年1月于互联网被侦测到。它与其蠕虫之所以得其名是因为一开始它用来感染宿主的email都有一行与风暴相关的标题,像“风暴侵袭欧洲,230人死亡。”后期耸动的标题如:“中国导弹击落美国飞机。”以及“美国国务卿康多莉扎•赖斯踹了德国总理安格拉•默克尔一脚。”信息安全专家们怀疑某些知名在逃的垃圾邮件大王,包括李欧•库马耶夫 (Leo Kuvayev),可能参与或控制风暴僵尸网络的运作。科技专栏作家丹尼尔•汀南(Daniel Tynan),在他一篇以罗伯特•克灵居礼(Robert X. Cringely)作为笔名的著作写道:很大部分风暴僵尸网络之所以存在的过失得归因于微软与Adobe Systems。其他研究指出,风暴僵尸网络取得牺牲品的主要方法是通过经常变换其社会工程体系来蛊惑用户。根据派崔克•朗诺(Patrick Runald)的研究,风暴僵尸网络有强烈的美国事务焦点,因此多半在美国国内有干员在其组织中工作并支持其运作。不过,某些专家相信风暴僵尸网络控制者群是俄罗斯人,特别是俄罗斯商业网络涉有重嫌。其根据是援引风暴软件提到了对在莫斯科的卡巴斯基公司的憎恨,并且文件里含括了个俄罗斯的单字"buldozhka",即“斗牛犬”之意。
组成机器人网络,或称僵尸网络,是由微软窗口作为其操作系统的计算机组成。一旦受到感染,机器就变成了僵尸计算机。该僵尸计算机便在计算机拥有者不知情或允许下迳自自动进行多种工作 — 包括任何从取得用户数据、攻击网站、到转发传染电子邮件的种种事务。预估约5千到6千台计算机是专门做通过电子邮件夹带感染过的附件来繁殖扩散蠕虫这件事。截至2007年9月,僵尸网络送出了12亿条病毒信息,其中光在2007年8月22日的单日纪录就达到5千7百万条。根据计算机法学鉴识家劳伦斯•鲍德温(Lawrence Baldwin)所言:“总合来说,暴风僵尸网络每天送出约10亿条信息。它可轻易的再多加两个零。”勾引受害者的方法之一是感染免费音乐网站,像提供如碧昂丝•诺利斯、凯莉•克莱森、蕾哈娜、老鹰乐队、及一些当地知名艺人音乐免费下载的网站。而基于数字签章为主的侦测 (一种大部分计算机系统对抗病毒与流氓软件感染主要防御手段) 因受到大量风暴蠕虫变种的攻击而阻碍其效能。
控制僵尸网络与风暴蠕虫扩散的后台服务器群自动对它们的扩散感染软件以一小时两次的速度重新编码,作为新的传播媒介。这种手段使得杀毒软件商终止病毒扩散及运作较为棘手。另外,控制僵尸网络的远程服务器位置藏在一种固定变换DNS技术,叫做“快速通量”(fast flux)之后,使发现并拦截其宿主站与邮件主机更为困难。简单来说,这群机器名称与位置常常轮换,往往是几分钟就换一次。风暴僵尸网络操作者通过点对点技术控制系统,让外部查杀该系统更加不易达成。在风暴僵尸网络里并没有中央“命令控制点”可以停止该网络。僵尸网络也利用加密流传播。其感染个人计算机的办法通常不外乎通过操弄使人们相信并下载夹带病毒电子邮件的几种实做里打转。其中一个简单的例子,僵尸网络控制者利用美国国家美式足球联盟开赛周末,送出电子邮件谎称提供“足球赛事追踪程序”,事实上它除了感染用户计算机以外什么事都没做。据MessageLabs的首席反垃圾邮件技术员麦特•斯尔金(Matt Sergeant)说:“以计算能力论,超级计算机终究不堪[僵尸网络]一击。如果你把所有500台顶尖的超级计算机能力加起来,超级计算机群只能与两百万台僵尸网络机器匹敌。这些罪犯拥有可使用如此计算能力实在很可怕,然而我们可以反击的部分实在有限。”保全专家们预估现在使用的只有全部风暴僵尸网络总容量与能力的10%到20%。
保全专家乔•史都华利用隔离考察中间系统被感染至加入僵尸网络的方式进一步揭露其过程:尝试加入僵尸网络的任务是由参与对话中的计算机系统逐步执行一系列的EXE文件。通常,这些文件被按照顺序命名,例如从game0.exe到game5.exe,或者类似档名。它随后继续轮流启动执行档。这些执行档一般进行的任务如下[28]:
game0.exe — 后门 / 下载器
game1.exe — SMTP转发
game2.exe — Email 地址盗号器
game3.exe — Email 病毒扩散器
game4.exe — 分布式阻断服务攻击 (DDos) 工具
game5.exe — 更新过的风暴蠕虫拷贝
在每个阶段里,中间跳板系统将连上僵尸网络。快速通量DNS技术使得追踪这个过程异常艰难。这代码是从窗口系统 %windir%system32wincom32.sys 下通过系统内核rootkit执行,并且所有连回僵尸网络的连接都是通过修改过的eDonkey/Overnet通讯协议达成。
加密与销售2007年10月15日左右,研究显示部分风暴僵尸网络与其变种上市待售[45][46]。这交易可通过使用特制的保全金钥对僵尸网络流量与信息加密进行[24]。该特制金钥允许与其相匹配的风暴僵尸网络的每个部分、或者子区域进行联系。然而,这种方式在未来可使他人侦测、追踪、并且屏闭风暴僵尸网络的流量,如果金钥有特定长度与签名的话[45]。计算机保全公司Sophos同意,将风暴僵尸网络划分很可能是它转售其服务征兆的这个臆测。Sophos的葛拉汉•库雷 (Graham Cluley)说:“风暴僵尸网络对加密流的使用是一个引起我们实验室注目的有趣功能。它最有可能的用途在提供电子罪犯租用部分的网络以作为其滥用所需。如果网络被这些人用来做垃圾邮件、分布式阻断服务攻击、以及其他恶意用途,我们都不会感到惊讶。”[47]保全专家们表示,如果风暴僵尸网络被流氓软件市场所切割,以“立即可用+僵尸网络制作+垃圾邮件包”形式发行,世人将会看到风暴僵尸网络相关感染与中继计算机系统数量急遽的增加[48]。加密仅仅只有影响到自2007年10月第二周以来风暴僵尸网络作为中继系统的计算机,意味着任何在这个时段之前被当作中继计算机的系统被追踪与屏闭仍旧困难重重[49]。
在风暴僵尸网络这部分被发现的几天内,来自新子区段的垃圾邮件已被各大保全公司所揭露。于10月17日晚间,保全公司开始看到新的垃圾邮件内嵌了MP3音乐档,而该信企图欺骗受害者去投资细价股,以作为非法炒股诈骗的一部分。研究相信此次是前所未见、首度利用实际上音乐文件以愚弄受害者的垃圾电子邮件欺诈案例[50]。然而,几乎不像所有其他的风暴僵尸网络相关的电子邮件,这些新的音乐-股票欺诈信息并没有包括任何病毒或者风暴僵尸网络流氓软件酬载;它完全不过是股票欺诈的一部分[51]。
2008年1月,僵尸网络首度被侦测出与针对主要金融机构用户的钓鱼网站攻击挂勾。瞄准的欧洲银行机构包括:巴克莱银行、海利发克斯银行、以及苏格兰皇家银行[44][52]。F-Secure指出特制金钥意味着用于攻击的僵尸网络区段是租来的[52]。
现状2007年9月25日,据预测微软对窗口恶意软件移除工具(MSRT)中的一个更新可抑制僵尸网络的规模最多达20%[53]。微软宣称,新的修补程序从二百六十万台扫描过的窗口系统中274,372台移除风暴蠕虫[54]。不过,根据微软资深保全人员所说:“超过180,000已被MSRT清理干净的机器,它们很可能打从第一天开始就是家用机器,意思就是不活跃参与‘风暴僵尸网络’每日的作业。”这间接指出MSRT清理可能只是象征性能采取的最好行动[55]。
2007年10月末,某些报告指出风暴僵尸网络已经正在失去其暨有规模,并且数量显著的减少[56]。圣地牙哥加利福尼亚大学的保全分析师布兰登•恩来 (Brandon Enright)估计僵尸网络截至10月末已经掉到约160,000台中继系统,与他于2007年7月预测的约1,500,000台系统相比较[3]。不过,恩来注明:僵尸网络的组合时常变动,而且它仍旧主动的自我防御外来的攻击与监测。“如果你是个研究员并且你造访流氓软件宿主网页太多次...那么一个自动进程将自动对你投射拒绝访问攻击。”他说道,并且随后补充了他的研究使得风暴僵尸网络攻击圣地牙哥加利福尼亚大学,造成该校部分的网络瘫痪无法上网[57]。
计算机保全公司McAfee表示风暴蠕虫很可能是未来攻击的基础[58]。之前发现Mydoom蠕虫的著名保全专家克雷格•雪姆加 (Craig Schmugar) 称风暴僵尸网络是趋势设立者,其行为引领了罪犯们利用更多类似的策略[59]。这类僵尸网络的衍申之一被赋予“垃圾邮件帮派名人”的称号,肇因于他们使用与风暴僵尸网络控制者类似的技术工具。然而,不像过去风暴操作者使用来勾引牺牲品的复杂社交工程那样,垃圾邮件帮派名人承散播影视名人 (如安吉丽娜•朱莉与布兰妮•斯皮尔斯) 的裸照之便[60]。思科系统保全专家在报告中指出他们相信风暴僵尸网络在2008年依然是个严重威胁,并且说他们预测其规模仍保持在“上百万台”[61]。
于2008年年初,在其黑帽经济体系下运作的风暴僵尸网络也碰到了其商业上的竞争对手:努哈赤 (Nugache) 组织,它是另一个类似的僵尸网络首度于2006年被鉴识出来。报告指出介于两者僵尸网络操作者为其电子邮件递送服务销路的价格战可能暗潮汹涌[62]。随着介于2007-2008年圣诞节与元旦假期间,德国 Honeynet 计划研究者报告指出风暴僵尸网络可能会在该期间最多扩展其 20% 的规模[63]。MessageLabs Intelligence于2008年3月的报告预测所有互联网上的垃圾电子邮件总数超过20%来自于风暴僵尸网络[64]。