安德烈·迪莫从14岁起就自称是极客,他一直对计算机和网络感兴趣。但直到多年后他进入职业生涯,他才对这个世界的安全方面产生了兴趣。
“我是一个相当大的网络的系统管理员,在一个周末经历了一次重大的黑客事件,”迪莫说。“我开始全神贯注地学习袭击的方法,可能涉及的人,以及它来自哪里。就在那时,我开始对安全的各个方面以及实施袭击的各个组织充满热情。”
今天,在他的四十岁时,它是Dimino对安全的黑暗面的兴趣,消耗了他的大部分空闲时间。白天,DIMINO是一个专业的数字法医分析师。夜间,他担任称为已知为的组织主任Shadowserver Foundation.,一群志愿者致力于脱掉网络犯罪分子并将其关闭。
DIMINO,以及另一个不再是组织的联合国,2004年推出了ShadowServer,并在网上跟踪恶意活动的初始使命并找到一些方法来使其停止。
“我们只是开始追逐恶意软件,追逐机器人,”Dimino说。“主要是我们对了解恶意软件所做的,它的发展方式是什么感兴趣,它是如何发展的。”
他们的时间有很多时间花了跟踪恶意僵尸网络,运行通过病毒或蠕虫的软件的受损计算机网络的网络,没有业主的知识;然后通过“机器人主人”远程控制这些系统。它们用于各种在线犯罪,包括发出垃圾邮件,网络钓鱼,提交点击欺诈和推出拒绝服务(DDOS)攻击。虽然今年早些时候报告了Mac Botnet,但Windows PC是典型的目标。
迪莫说,就在五年前,追捕僵尸网络还是一种完全不同的游戏。他说,僵尸网络相当直接,主要的通信方式是IRC (Internet Relay Chat)。迪莫和其他志愿者能够像罪犯一样加入僵尸网络,观察其流量,以了解它是如何构建的,并更多地了解它的特殊功能。他们发现他们的努力是值得的,因为他们开始联系网络主机,警告它们正在支持僵尸网络,并看到它们关闭。
“事情真的开始滚雪球,”Dimino说。“我们决定应该为社区提供服务,以改善互联网的安全。我们开始建立一个安全专家的横断面来帮助。”
Shadowserver现在有十个Dimino在世界各地的几个地点举办了“精心审查”志愿者。他说,这些网络犯罪者需要对最大的信任来说,因为Shadowserver志愿者处理的数据非常敏感。这正是糟糕的家伙想要的。
行业工具
迪莫详细介绍了Shadowerver用来阻止僵尸网络的四个步骤。该组织首先通过设置“蜜罐”(容易被黑客发现和感染的联网系统)来检测恶意软件,然后他们使用许多不同类型的技术来分析输入和输出的流量。
“在僵尸网络/恶意软件网络分析中,我们喜欢动态和静态分析,”Dimino说。“动态地,我们希望研究完整的内容网络流量,以帮助确定电线上发生的情况。因此,诸如Wireshark,Chaosreader,Argus等的开源工具是有用的。我们还可以测试如何检测如何检测系统可能会检测恶意网络活动,因此我们也使用Snort。然后我们使用的各种开源蜜蜂舌是我们的恶意软件集合的一部分。任何对恶意软件检测/集合有兴趣的组织都应该运行某种服务器端蜜罐他们的网络上的不同点。它可以非常好地指示他们面临的是潜在的恶意流量。“
这些蜜罐传感器捕获垃圾邮件和恶意软件,然后进行分析。志愿者想知道它的网络接触点;恶意软件去了哪里?它试图联系谁?这是找到僵尸网络的第一步。(见Gozi的第一个第二次展开为了详细看看一个特洛伊木马的行为。)不幸的是,它不是很简单,需要一个微妙的平衡,使他们允许他们获得信息而不为问题提供贡献。
迪莫说:“机器人大师们现在有办法探测这些无人机并把它们踢走。”“另外,我们不想参与攻击,所以我们不希望我们的监控系统运行垃圾邮件或类似的事情。”
所有信息都被编译成报告ShadowServer为网络运营商提供,以及法律执法官员以及可能需要研究数据或其他目的的保证和国防组织。ShadowServer还将联系网络运营商,以便他们知道他们是否正在托管僵尸网络。对免费数据的唯一请求表示DIMINO,是主机采取行动并取下僵尸网络。
它可以是一个不票事的工作:对于善意的网络运营商可以禁用僵尸网络,网络中的机器仍然被感染,犯罪分子通常会使他们“回到工作”,从而非常迅速地说话。例如,在托管多个大规模垃圾邮件发送僵尸网络的网络托管公司McColo Corp.之后,已于去年年底关闭,垃圾邮件水平下降了65%,但几周后又回来了。
“有时可以令人沮丧和令人沮丧,看看一些僵尸网络的弹性。但是,我们鼓励了法律执法,各种安全组织,甚至能够跟踪的国际证书团体的兴趣和合作运动并继续产生影响。“
猎人的思想
什么样的人进入了这一工作的工作,基本上是狩猎恶意软件和僵尸网络的职业?根据DiMino的说法,一个极端耐心的人不仅具有激情,而且是时候做到这一点。Shadowserver志愿者每天经常花费超过12小时的自行车,每天跟踪恶意活动。在电气工程学位的Dimino不会猜到他的职业生涯会朝着它的方向前进。
“当我在学校时,我从来没有想过我在我所在的范围内,”我说。“
另一方面,Steve Santorelli从他的职业生涯开始时看到了他在IT安全调查中的未来。U.K.本地最初与苏格兰院子里进入执法,以便在计算机调查中工作。他最终在微软之前搬到了类似的工作,然后是他目前的全球外联董事与非营利组织Cymru队一个集团在十年前创立了四个桑托利人所说的人只是由世卫组织和在线犯罪的原因而受到激励。
桑托雷利说:“当时发生了一场爆炸,几乎是有组织犯罪的完美风暴,银行开始上网,与此同时,电脑恶意黑客开始意识到可以赚钱。”
Cymru团队在全球范围内拥有35名成员调查恶意在线活动,并与执法和其他人合作,以阻止它。
“我发现它是一种令人兴趣的方式,你必须战略地思考,”圣托里利说。“这是一场现代化的国际象棋游戏。”
在那个游戏中,作为Dimino也描述,一个对手总是努力超越另一个,说圣托里利。
他说:“冷战期间曾有过核军备竞赛。“现在,就在银行采取应对措施时,犯罪分子绕过了它。僵尸网络技术也是如此。”
同行对等僵尸网络,就像被称为风暴的那些Conficker.Santorelli表示,将竞争与新一级带到了一个新的水平。
“他们非常令人不安。真正搞垮一个基于点对点的僵尸网络的唯一方法是踢开这扇门,逮捕背后的家伙,”他解释道。“从本质上讲,这些不法分子检查了社区进行调查的方式,并演变成绕过我们实施的对策。”
“这些是非常复杂的僵尸网络,”他继续说。“即使你能黑进僵尸网络的基础设施,你也不被允许发出卸载命令。大多数都有一个简单的命令,可以让你卸载它。但你不能这么做,因为你是在未经授权的情况下修改一个受影响的机器在一个司法管辖区没有法官会允许你这么做。举例来说,你无法让德克萨斯的法官允许你修改东京的一台机器。从技术上讲,即使你可以这么做,也是违法的。”
从暗处到实验室
僵尸网络搜索的工作不仅由志愿者和非营利组织完成,如Shadowserver和Team Cymru,还有许多世界上最大的安全供应商的研究单位,如赛门铁克。该公司安全响应部门的副总裁文森特·威弗(Vincent Weafer)表示,他的团队正忙于搜寻恶意活动,以获取可用于未来安全产品的可行动情报。他还提到了不断演变的威胁格局,在安全部门设法迎头赶上后,犯罪分子几乎立即调整了他们的策略。
“我们每天提供10万个新的病毒签名,”威弗指出。
韦弗说:“在这个行业,时间和经验并不能让工作变得更容易。随着僵尸网络以及掌握僵尸网络的犯罪分子变得越来越隐秘、越来越普遍,病毒感染也在继续攀升。事实上,赛门铁克发现,从2007年到2008年,受机器人感染的计算机数量增长了31%,平均每天75,158台。
“几年前,我们常常谈论[人们被互联网的人感染],在色情网站和这样的各种事物,”韦格说。“但是这些日子大多数攻击者都越来越不同地投射了他们的网。他们发现具有弱安全性的合法网站,并在网站上挖掘出来的概念,如果足够的人访问这些网站,他们将在机器上获取那些利用。”
这意味着关于任何人现在都存在感染风险。并修补您的计算机并更新不再保证用户免疫力。Weafer和其他人指出,这些日子,即使实际恶意软件不坐在您访问的网站上,所有罪犯都需要您做一个脚本,您可以感染。
“很多这些网站现在都没有控制着广告,”圣托里利说。“我们最近看到一些人已经去了合法的网站,并且有一个广告在那里举办了某种恶意代码。”
最近雇用的另一个受欢迎的策略,即使是合法的地方,也是如此提供流氓防病毒软件,依赖于社会工程学诱骗用户下载他们认为可以扫描或删除恶意软件的安全软件。相反,当用户授予下载权限时,他们就会被感染。
“一台被感染的机器往往没有一块恶意软件,它有几件恶意软件,”借口备注。“接下来它是什么是手机回家。它将回到主人沟通,让他们知道”我在线“。
此时,受感染的计算机是僵尸网络的一部分;许多计算机中的一个,以便在某种程度上为犯罪分子提供服务,以便从Botmaster租用各种计划的犯罪分子,如欺诈性药物诈骗,这占70%九月的全球垃圾邮件,根据安全公司McAfee的分析。
“我们经常将其作为服务称为僵尸网络,”韦格说。“并且存在服务质量和带宽来考虑。这些都是僵尸网络掌握所在的东西,因为依次宣传了这一点。”(这个地下在线世界被CSO深入研究在全球黑客服务经济内。)
努力带来许多担忧
听到这些安全调查人员在他们的工作中所看到的一些事情,就像是听到了被感染网络不断增长的不祥故事,其影响还有待观察。这是很可怕的事情。迪莫和桑托雷利都指出,现在众所周知的蠕虫Conficker的兴起是近年来IT安全历史上最令人不安的时刻之一。
“这是一个更令人不安的同伴的同伴僵尸网络之一,因为它非常大,并且它成为媒体感觉,”圣托里利说。“但更令人不安的是,我们还没有看到它尚未使用它将被使用的东西。Conficker被一些估计,互联网上的数百万台机器感染了,但实际上还没有做任何事情。很多人都非常关心它是为了什么。“
“已被习惯于枚举数千个,数十万或数十万的僵尸网络无人机,看到多百万节点僵尸网络快速传播相当令人震惊,”Dimino添加了令人惊叹的。“我们最初担心感染率和广泛的传播,但随后考虑如何使用这种僵尸网络,特别是令人担忧。”
衡量成功