据悉思科公司安全业务部门IronPort Systems发现了网上犯罪生态系统的核心流程:利用僵尸网络发送垃圾邮件来宣传其网站的非法药品供应链。通过把垃圾邮件转换成具有高价值的药物购买行为,这些药品供应链企业让兜售信息的僵尸网络盈利,为僵尸网络攻击以及持续的创新提供利润来源。在IronPort最新的年度网络安全趋势报告中, IronPort分析了这些僵尸网络的影响并且揭示了药品垃圾信息与相关恶意软件经济背后的真正驱动因素。
IronPort技术副总裁同时也是思科院士Patrick Peterson表示:“根据我们之前的研究,利用僵尸网络的加拿大药品网站按订单售出的非法药品背后有一个非常精明的供应链。但是到目前为止,专注技术的僵尸网络负责人与全球供应链组织之间的关系仍然不为人所知。我们的研究表明,Storm和其它僵尸网络生成委托订单,然后由Spamlt.com或 GlavMed等供应商完成订单,这些发布信息的公司每年可以获得超过1.5亿美金的收入。
IronPort的研究表明,Storm僵尸网络发布的邮件中有超过80%是网上药店的广告,比如CanadianPharmacy.com、TheCanadianMeds.com以及 CanadianPharmacyLtd.com。这些垃圾邮件通过多种社会工程诡计以及网络数据搜索感染的数以百万计的个人电脑发送。进一步研究表明,与Strom(风暴)恶意软件合作的一个俄罗斯犯罪组织GlavMed提供了垃圾邮件模板、垃圾邮件广告的网址、网站设计、信用卡处理、产品实现以及客户支持。
GlavMed利用僵尸网络垃圾邮件发送者来宣传他们的非法药品网站,后者将获得销售订单额的40%作为佣金。GlavMed负责完成医药产品订单、信用卡处理以及客户支持服务。但是,IronPort发起的一个药品测试显示:虽然这些药品中有三分之二含有活性成分,但是剂量不准确,而其他部分则仅仅是安慰剂。最后结果就是,消费者服下了来自外国分销商的未知物质,面临很大的风险。
关于Storm僵尸网络以及它与GlavMed供应链之间的关系详见IronPort的特别报告《2008年互联网恶意软件发展趋势:Storm僵尸网络与社会工程的未来》。这份报告同时指出了一些恶意软件感染寄主PC并跳过安全软件的方法。这些方法包括:
·网络垃圾邮件 复杂的僵尸网络结合自动以及手动Captcha破坏程序来产生大量的网络邮件账户。(“Capcha”表示区分计算机和人类的全自动公开图灵测试。一个普通的“Captcha”测试需要有人输入一系列扭曲的字母和数字来保证回答不是计算机生成的。)账户产生后,僵尸网络利用这些账户发送垃圾邮件信息,并且这些垃圾信息接收者以为这些信息源于合法ISP的邮件服务器,而不是僵尸网络。这些信誉盗窃式攻击在2008年的第一季度占据了垃圾信息的5%,而在上一个季度还不到1%。
·利用Google搜索 下一代恶意软件利用Google的“手气不错”搜索选项把用户导向受感染网站。大约1.3%的Google搜索会把恶意软件网站作为合法结果。由于每分钟都会有大量的搜索在进行,这项功能是恶意软件发布者的潜在巨大机会。
·邮件自动回复功能 当用户启用邮箱的自动回复功能时,垃圾邮件散布者将能够确定这些邮件地址是存在的,而且使得垃圾信息发布者劫持此企业邮件服务器以看似合法的方式发送垃圾邮件。这种攻击方式相当新,它体现了垃圾邮件发布者在寻求跳过垃圾邮件过滤器时非常精明。
报告中研究的僵尸网络的特别之处在于它们把垃圾邮件活动和当前事件或者牟利网站联系起来,并且通过邮件和网站结合来传播。此外,这些分散且高度协同的攻击产生了多种多样的网络入侵,从邮件与博客垃圾信息到网络钓鱼、即时通信(IM)攻击以及分布式拒绝服务(DDoS)攻击。
根据IronPort研究人员的说法,Storm恶意软件是此复杂社会工程趋势的先驱,在2008年1月和2月间累计影响了全球范围内四千万台电脑。在2007年7月的高峰期,Storm总共占据了垃圾信息总量的20%,感染了140 万台电脑。并且,它每个月会继续感染或者重新感染90万台电脑。截至2007年9月,生成Storm垃圾消息的同时活跃计算机的数量减少到每天28万台,并且它发出的垃圾信息只占所有垃圾信息的4%。目前,Storm只占每天发送的1610亿条垃圾信息的一小部分,但是Storm的变种仍然活跃。
在评估这类基于社会工程的攻击带来损害的同时,此项报告详细介绍了垃圾信息和病毒的可能的发展趋势以及企业为保证其网络安全所应采取的措施。垃圾信息已经不仅仅是个人寻求荣耀的产物。现在,它已经变种为有组织,有技术含量的,有资金支持的行为,并且其规模在一定程度上可以和合法软件生产商相媲美。为了提高效率以及收益,恶意软件制造商甚至开始以整套方案出售其产品,包括技术支持、分析与管理工具以及软件更新。近期发现的僵尸网路恶意软件有Bobax、Kraken/Kracken和Srizbi。
为了阻止Storm及后续僵尸网络的扩散,IronPort的报告向每个公司推荐使用垃圾邮件过滤器,评估其网络信誉,监测端口以及通信活动,并保持所有的反病毒或者反恶意软件产品时时更新。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
警惕!垃圾邮件程序窃取7.11亿条记录
安全研究人员发现包含大量电子邮件地址和密码的垃圾邮件程序(spambot)列表,并称这表明我们需要更多地了解垃圾邮件程序业务。
-
电邮风险猛于虎 分层安全刻不容缓
攻击者总能将自己伪装成其它东西,例如他们可以从一个可信任的源发送一份邮件,其中的链接却指向被恶意软件感染的网站,或是包含有被恶意软件感染的文件附件。
-
趋势科技安全预警:新一轮勒索软件将蔓延中国大地
今天,全球服务器安全、虚拟化及云计算安全领导厂商趋势科技发出安全预警,新一轮勒索软件在中国开始蔓延。
-
Linux如何防范垃圾邮件?
垃圾邮件已成为人们最头疼的问题之一,它极大地消耗了网络资源,本文介绍了Linux中广泛使用的防垃圾邮件技术。