企业用户应提防僵尸网络的致命攻击

日期: 2008-02-14 翻译:潘春燕 来源:TechTarget中国

  如果说恶意软件是一般的害虫,那么僵尸网络就是白蚁――它们隐藏在你的安全网络边界后面,潜伏上一段时间,然后伺机攻击。

  一旦某台计算机被感染上,它就会等候为非作歹的僵尸网络操纵者(bot herder)下达的命令,这些人把这些僵尸计算机变成了庞大的僵尸网络,然后在互联网上制造大量的垃圾邮件及其他恶意软件。

  你恐怕无法完全阻挡僵尸网络的入侵,但是借助多层的僵尸网络追捕技术,并且结合一些常识,你还是可以尽量减小网络受到的影响。

  每个人都可能中僵尸网络的招

  你在与僵尸网络作斗争之前,一定要明白这个问题的严重性。加利福尼亚州圣何塞PayPal公司的首席信息安全官(CISO)Michael Barrett说:“但大家一直否认这个问题(僵尸网络)的严重性。”

  其实,《Network World》杂志在最近对394名负责网络安全的读者开展的一项调查显示,居然多达43.7%的调查对象表示受到威胁的客户机不是一个严重的问题。另有30.2%的调查对象表示他们没见过什么证据可以表明网络上的任何计算机受到了感染。

  Rick Wesson是旧金山负责跟踪僵尸网络爆发情况的Support Intelligence公司的首席执行官,他表示,就因为近四分之三的调查对象没有处于高度戒备状态,并不意味着就没有威胁。在任何特定的一天,他公司的蜜罐(honeypot)都会捕获到来自僵尸客户机的各种各样的危险及欺诈性的垃圾邮件。

  他说:“现在的情况是,这些僵尸网络操纵者相当狡猾;而操作系统非常容易受到攻击,结果每个人都中了僵尸网络的招。大多数公司运行相当严密的网络,但由此认为僵尸网络不会在你的系统上运行,那也未免过于幼稚。我们有大量数据表明,《财富》1000强公司当中相当一部分中了僵尸网络的招。”

  要是《财富》1000强公司都阻止不了僵尸网络,小规模公司和消费者个人就更别指望什么了。弗吉尼亚州阿灵顿的安全服务提供商Cyveillance公司的安全主管Ken Lloyd表示,小公司没有太多的资源来执行安全更新或者监控自己的网络和机器,从而查找异常流量模式。Lloyd说,消费者面临的风险最大,因为他们的安全机制往往最薄弱。

  入侵检测软件生产商Sourcefire公司的首席技术官Martin Roesch说:“大企业同样存在这个问题,这一点毫无疑问。”没有经过合理设置以便防御恶意软件攻击的移动机器给企业带来的危害最大。他说:“这时候就会出现问题――人们在进行即时通讯时遭遇垃圾邮件,或者是木马及病毒;要不就是在收件箱中出现这些东西;还有就是使用存在漏洞的IE和Firefox浏览器来浏览不该浏览的网站。”

  实际上,Gartner公司预测:到年末,多达75%的企业会遭到僵尸网络的感染。

  网络入侵趋向犯罪化

  让人不安的是,在过去的一年里,僵尸网络操纵行为在向以盈利为目的的有组织性的犯罪活动转变。年轻人发动分布式拒绝服务攻击、从而炫耀自己的时代已一去不复返了。举例说,去年夏天发生在伦敦的一次重大逮捕就牵涉三名男子,年龄分别为63岁、28岁和19岁。这些人更有组织性、更加专业,对从事偷偷摸摸的勾当也更有兴趣。

  Lloyd说:“这起案子涉及的工作量之大简直成了一条龙渠道。有人负责制造,有人负责兜售,有人负责使用。一个人不可能完成从制造到使用的这整个活动。而脚本小子是不可能得手的。从事这些非法活动的人基本上形成了有组织的犯罪团伙。”

  具体来说,僵尸网络操纵者正在策划回报丰厚的骗局,比如垃圾邮件、通过记录击键内容(捕获击键内容从而盗取用户姓名和密码)来盗取身份、点击欺诈(自动点击广告商按点击付费的横幅广告)以及盗版软件(分发盗版软件)。

  研究人士表示,作案规模和涉及金额可能相当大。咨询公司ClickForensics声称,举例说,点击欺诈占了所有点击数的大约14%,以及多达20%的高价广告。研究公司IncreMentalAdvantage表示,估计去年广告商因此蒙受的损失达到了6.66亿美元。商业软件联盟声称,全球四分之一的软件是盗版软件,这使软件开发商损失了数十亿美元的收入。

  黑市服务器(有人在上面购买、销售及签约订购僵尸网络)正在蓬勃发展起来。

  赛门铁克安全响应中心的新兴技术主管Oliver Friedrichs说:“僵尸网络是地下经济的一个重要组成部分。它出现了新的变化,我们发现它在过去的六个月左右时间内呈爆炸式发展。”犯罪分子还在这些服务器上兜售从僵尸机器偷来的信息,比如信用卡号码。

  痛击僵尸网络

  因为僵尸网络操纵者显然把大量资源花在了管理及运行各自的僵尸网络上,于是他们对于增加自己管理的网络数量的兴趣有所减弱。赛门铁克声称,在2006年下半年,指挥控制型服务器的数量减少了25%。该公司声称,这表明僵尸网络操纵者正在巩固及壮大每个网络。

  各种新新的攻击手法使得安全研究人士猜测:僵尸网络操纵者正在争夺地盘、相互攻击对方。有些恶意软件的目的可能是摧毁竞争对手的僵尸网络;同时,大肆破坏普通网络。举例说,最近一种蠕虫就是针对访问过恶意的炒股诈骗网站的机器。网络监控公司Websense声称,它会使机器感染上一种病毒,从而导致机器不断重新启动,结果无法用于正常工作(及非法使用)。

  因为僵尸网络操纵者更加感兴趣的是让成千上万台受到感染的机器处于秘密状态,所以他们会激活某台机器,发送大量垃圾邮件,或者施展点击欺诈把戏,然后迅速关闭连接。rootkit感染过程对操作系统来说是看不见的。而僵尸网络操纵者可以通过HTTP(不一定依靠IRC)来控制机器。这意味着你很难查出网络上的僵尸机器。

  社交网络呈现诸多安全隐患

  不过更令人担忧的是,如今的僵尸网络操纵者开始采用诸如带毒博客、跨站脚本攻击和iFrame攻击之类的手法,这些不需要用户采取任何动作(比如点击电子邮件的附件)就可以使用户受到感染。如果一台操作系统或者浏览器存在安全漏洞的个人电脑访问了某个含有恶意代码的网站或者博客,可能不知不觉就会遭到感染。有时出现在广告软件中的恶意JavaScript脚本会自动下载到个人电脑上,然后电脑被引到其他恶意网站来接收恶意脚本的命令,僵尸电脑就这样形成了。由于基于共享服务器的成本低廉的主机托管服务非常流行,黑客只要单单利用某个操作系统的漏洞,就能访问众多Web服务器。

  带毒博客和跨站脚本攻击存在已有好些年了,它们就是在原本合法的网站中植入恶意代码。不过,僵尸网络操纵者找到了新的方法来利用它们。比较臭名昭著的一个例子是,就在全美橄榄球决赛前夕――这时候成千上万的人想设法买到门票,僵尸网络操纵者入侵了决赛场地海豚球场的网站。

  社交网络也有可能成为恶意软件藏污纳垢之地,因为这些网络允许用户上传及共享文件、数据及其他可能有害的代码。借助iFrame攻击,看不见的框架就可以用来把没有被检测出来的恶意软件自动下载到众多网站、博客和社交网络上。

  Chris Boyd是专门保护IM和VoIP等实时应用的网络监控公司FaceTime Communications的恶意软件研究主管,他说:“诸多网站和社交网络站点上有大量的个人资料和用户,这简直是一座信息金矿。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • RSAC 2017:IoT安全威胁登话题榜首

    在物联网设备近年来被攻击者滥用后,物联网安全在2017年RSA大会上的话题列表中位列榜首,而安全专家担心的远不止于此……

  • 对付僵尸网络?这两大策略要get住

    最近,安全博主Brian Krebs的网站遭受了历史上最强大的一次DDoS攻击,经证实,由路由器、安全摄像机(监控摄像机)、打印机、数字视频记录机(DVR)构成的大规模僵尸网络是发动此攻击的罪魁祸首……

  • 2017:更多IoT攻击堆高数据泄露事故

    不断叠高的数字让企业对这类事故似乎变得有些麻木,实际上这是非常危险的。在新一年,由IoT攻击带来的数据泄露事故或成为最大的安全问题。而目前,企业仍未做好应对威胁形势的准备……

  • 日进300万美元!广告欺诈活动Methbot猖獗到极点

    据最新报告显示,通过生成大量虚假视频广告,大规模网络犯罪行动Methbot每天赚取数百万美元。