5月7日外電頭條:發自僵尸網絡臥底小組的安全報告
原創【51CTO.com快譯】在今年早些時候,加州大學圣巴巴拉分校(UCSB)的研究小組令人吃驚的殺入了互聯網的黑暗陣營,他們成功地入侵了一個僵尸網絡,并且掌握了大量關鍵細節,可以幫助IT行業更好的保護自己免受類似威脅。
研究人員來自學校的計算機科學系,他們控制了一個Torpig僵尸網絡(也稱Mebroot或Sinowal)長達一周多的時間,研究僵尸網絡如何工作,并且更好的理解了這種威脅的蔓延方式。當然,如果您對僵尸網絡還不夠了解,可以參考51CTO.com安全頻道中專家的詳細介紹:什么是僵尸網絡。
在他們控制Torpig的10天內,他們還檢查了僵尸網絡從被感染的PC用戶那里竊取的信息,被感染的PC總數大概是18280臺,其中約有17217臺在企業網絡上。
上個月小組發布了研究報告,報告中說他們觀察的僵尸網絡在用戶沒有察覺的情況下竊取了超過69GB的數據,主要是銀行帳戶憑據和信用卡信息,這兩者都是網絡罪犯的最想得到的目標。
在10天的觀察中,Torpig僵尸竊取了1660個獨立的信用卡或借記卡號,以及410家不同的金融機構的8310個賬戶。其中的熱門目標包括PayPal賬戶1770個,Poste Italiane賬戶765個,Capital One賬戶314個,E*Trade賬戶304個,以及Chase賬戶217個(51CTO.com注,以上這些賬戶都是美國常見的金融領域運營品牌)。其他的被盜數據包括電子郵件地址、電子郵件帳戶和Windows密碼等。研究人員說,他們已將發現的信息提供給了受影響的金融機構和執法機關。
避免數據被盜
報告中也許最讓人惱火的部分就是研究小組了解到有很多損失本是可以預防的。“我們發現,很多被感染的用戶沒有使用最新版本的操作系統或網頁瀏覽器,”UCSB副教授Giovanni Vigna說,他的呼吁和所有安全工作者們一樣,請讓軟件保持最新的更新。
然而,即使是防御周密的用戶也可能被僵尸網絡攻破,因為僵尸網絡會使用“瀏覽即下載(drive-by download)”的感染技術,在合法網站中安裝惡意軟件。此外,根據51CTO.com安全頻道專家的經驗,僵尸網絡等攻擊手段的日益翻新,例如0Day攻擊等,也讓很多傳統的防御手段束手無策,比如近期的Adobe閱讀器漏洞攻擊等。
研究小組說,雖然侵入了Torpig,但他們沒有試著摧毀它,因為這樣做可能有意想不到的后果,可能會促使罪犯采取進一步的保護行動。例如,Torpig現在已經使用了一種更加復雜的算法,研究小組的成員說,對手已經察覺并且關閉了他們得以控制的僵尸網絡一個漏洞。
怎樣潛入僵尸網絡
研究小組的成員首先要弄清僵尸網絡要到哪里去尋找攻擊域名的指令,即他們通常用來控制網絡的command-and-control(C&C)服務器。
研究小組稱Torpig僵尸網絡使用的技術為domain flux(域名流動技術,關于捕捉動態域名或“域名流動技術”介紹請參見51CTO.com安全頻道:SNIFFER透視動態域名),Torpig每周會按照一種新的順序檢查一個不同的網站,目的是使安全研究人員更難預計僵尸的行動。
但是,研究小組證明了要想找到Torpig最新指示的攻擊目標并不困難。這是因為Torpig僵尸網絡在確定攻擊目標時使用了比較簡單的算法:使用當前的日期創建一個隨機域名,然后對該域名的.com、.net和.biz等頂級域名進行獵殺。
研究小組發現,僵尸網絡的主人僅提前幾周才開始準備攻擊,因此他們提前計算出了Torpig將很快檢查的域名,并特意在名聲不好的域名提供商那里購買了這些域名。
這種做法收到了成效,研究小組在1月25日成功控制了C&C服務器,并開始接收Torpig收割到的所有數據。研究在2月4日停頓下來,因為僵尸網絡控制者有所查覺,使用了新版的Torpig,改變了僵尸網絡選擇域名的算法。
那么研究小組還能夠重復他們的實驗來打擊僵尸網絡嗎?有可能。
“研究員們逆向研究了新算法,發現他們最近改變了域名算法,按照Twitter熱門主題的第一個字母來生成域名列表。”Vigna說。但是,這樣的方法不可能對每一個僵尸網絡都能正常工作。雖然這次入侵Torpig的成本僅為20美元——只是注冊兩個域名的成本——但研究小組的報告指出,新的惡意軟件已經設計出來,如果依然采取購買域名的方法,那么花費將無法接受。例如,最近的Conficker變種每天可以產生多達5萬個域名的列表,要想把這些域名都買下來,每年的開銷將是一個天文數字。
另外捕獵僵尸網絡還要考慮到更現實的條件。Vigna說,在他們決定入侵Torpig之前他曾警告說,學校的IT部門可能會在幾周內碰到一些不尋常的網絡流量。
“我們的實驗室已經習慣了各種稀奇古怪的網絡事件,但我們還是做好了準備,”Vigna說,“我們真的不知道能不能成功入侵,能收集到多少信息,但最終我們做到了,現在看來效果還不錯。”
【51CTO.com譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
原文:Researchers Seize Botnet, Peer Into Net's Dark Side 作者:Alex Goldman
【編輯推薦】
