据来自旧金山的2013 RSA信息安全大会的消息,虽然联合执法摧毁僵尸网络已经司空见惯,可能甚至还有点儿没劲,但在上周, 参加2013 RSA信息安全大会的安全专家,却看到了僵尸网络在现场被实时摧毁,这着实振奋人心。
Tillmann Werner是信息安全防御公司CrowdStrike的高级安全研究员,他现场实况演示了控制P2P僵尸网络的过程,令与会者惊讶不已。当Werner开始展示一些多数观众都无法破译的简短代码时,这次展示的高潮部分开始了。Werner把展示切换到一张世界地图,形象地展示了他与每一台被感染机器的通信。在展示过程中,一个红点变成五个,然后很快变成二十个。观众们鼓掌喝彩。
根据Drone Butcher的行动手册:控制P2P僵尸网络的现场演示,Werner展示了他利用sinkholing技术攻击Kelihos僵尸网络操作幕后的许多技术。实际上,可破译的shinkhole替换了僵尸网络命令中心与受其感染机器之间的通信。由于Kelihos僵尸网络的P2P性质,这个本身已经非常复杂的任务就更加困难。
Werner说,我们认为这个僵尸网络很有挑战性,因为它是P2P的。对付sinkholing就困难得多,因为没有中央服务器。Werner首先演示了以前的Kelihos版本以及在每个版本被控制之后发生的事情。在kelihos A感染了5万台机器后,在2011年9月得到遏制。Kelihos B在大约三周后运行,在它感染了大约十二万台机器后,于2012年2月也最终被控制。
Werner展示中被摧毁的Kelihos 版本是Kelihos C,在前一个版本被拿下后,居然活跃了还不到20分钟。Werner估计,在被2012年5月的一个有稍许变化的版本替换之前,Kelihos C已经感染了大约四万台机器。
一位与会者问,为什么Kelihos每个版本出现得如此之快。Werner回答说,“他们从其它犯罪组织购买安装,这当然会很快了。”对执法部门和反僵尸网络的相关人员来说,虽然新生活中这种不断重复的反复可能令人泄气,但Werner说每一次击垮僵尸网络仍然会给犯罪组织带来经济损失。他们通过一次一次地改造自己的僵尸网络,可以做同样的事情。但在他们每次做这些事情时,必须花费更多的钱。
但对一个僵尸网络打击成功,也不能宣告胜利。恰恰相反,必须准备好基础架构,以应对报复性反击。Werner说,“你在消灭一种商业交易,而这些人不喜欢你这样做。”
即使技术能力和人力可进行这种操作,能否确保这种打击合法还是问题。Werner所演示的攻击要与许多不同的执法部门和政府机构等协作,其中包括FBI。此外,他告诉与会观众,进行这种操作需要一种规避风险的方法,这意味着在作出任何举动之前需要咨询大量的法律顾问。Werner 说,“我的意思是,这种操作是否合法,并不是我决定的。我会推测这样做仍是合法的,但我们也可能置身于困难。”
作为攻击之后的清理工作,互联网服务供应商和CERT要相互联系,从而有助于对付残余的受感染机器。微软还会提供检测功能作为它反病毒套件的一部分,在摧毁Kelihos B僵尸网络的案例中,同样的措施仅仅减少了50%的感染机器。Werner说:“我们希望这次会更成功,可以极大地减少感染数量,从而摧毁sinkhole。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
As news writer for SearchSecurity and SearchCloudSecurity, Brandan Blevins covers the enterprise information security landscape, from data breaches and research reports to IT security product market trends and case studies.
相关推荐
-
RSAC 2017:IoT安全威胁登话题榜首
在物联网设备近年来被攻击者滥用后,物联网安全在2017年RSA大会上的话题列表中位列榜首,而安全专家担心的远不止于此……
-
对付僵尸网络?这两大策略要get住
最近,安全博主Brian Krebs的网站遭受了历史上最强大的一次DDoS攻击,经证实,由路由器、安全摄像机(监控摄像机)、打印机、数字视频记录机(DVR)构成的大规模僵尸网络是发动此攻击的罪魁祸首……
-
2017:更多IoT攻击堆高数据泄露事故
不断叠高的数字让企业对这类事故似乎变得有些麻木,实际上这是非常危险的。在新一年,由IoT攻击带来的数据泄露事故或成为最大的安全问题。而目前,企业仍未做好应对威胁形势的准备……
-
日进300万美元!广告欺诈活动Methbot猖獗到极点
据最新报告显示,通过生成大量虚假视频广告,大规模网络犯罪行动Methbot每天赚取数百万美元。