在僵尸网络的世界里出现了一个新的孩子——不是一直都有吗?重量级的垃圾邮件僵尸网络称为Festi只有被研究人员追踪信息实验室智能自去年8月以来,但已经负责大约5%的全球垃圾邮件(每天约25亿垃圾邮件),根据保罗•伍德与信息库的高级分析师,长期关注垃圾邮件和僵尸网络活动。
当像Festi这样的僵尸网络突然出现在安全研究人员的雷达屏幕上时,它不仅提出了一个问题:它在做什么以及它能造成多大的破坏;还有一个问题是该如何称呼它。尽管僵尸网络在网上很流行,也很强大,但在命名僵尸网络时,并没有一个真正的系统。
到目前为止,一种常见的做法是用与之相关的恶意软件来命名它;这种做法有一些缺点。
伍德解释了菲斯蒂的历史。
“这个名字来自微软;他们发现了它背后的恶意软件,并给它取了一个最吸引人的名字,”伍德说。“通常,许多公司会同时识别僵尸网络,并根据僵尸网络的特征给它命名。它最初的名字是backdoor.winnt/festi。或backdoor.trojan。后门droppers是常见的,这不会坚持,它将太一般。通常名称和约定来自于实际软件本身的措辞,并以某种方式使用。这个词可能与节日(festival)之类的词有关。”
由于安全行业缺乏给僵尸网络命名的统一方法,结果有时会出现一长串不同杀毒软件供应商使用的相同僵尸网络名称,这可能会让客户感到困惑。现在,臭名昭著的Conficker也被称为Downup, Downadup和Kido。Srizbi僵尸网络也被称为Cbeplay和交换机。Kracken也是僵尸网络Bobax。为什么他们被称为他们的名字取决于第一个发现他们的研究人员。
Shadowserver基金会(Shadowserver Foundation)主任安德烈•迪莫(Andre DiMino)表示:“在很大程度上,这取决于我们第一次看到运行中的机器人,以及它做了什么。”Shadowserver基金会是一个网络犯罪终结者志愿者组织,在业余时间致力于发现和阻止僵尸网络等恶意活动。
例如,迪莫说,今年早些时候,一个大型僵尸网络Gumblar上了新闻(现在可能又活跃起来了),它首先攻击了Gumblar .cn域名。另一个被称为Avalanche的域名被认为是如此,因为diamo称僵尸网络使用的域名占了优势。
赛门铁克安全响应部门副总裁文森特•威弗(Vincent Weafer)表示,命名难题很难解决。多年来,为恶意软件命名有一些基本规则。
“不要以作者的名字命名任何东西,”他说。“在病毒为出名而写的时候,这是最重要的。”
威弗剔除了几个近年来登上新闻头条的“僵尸网络”名称,并尽力回忆它们是如何获得这个头衔的。他说,Conficker是其中最著名的一个,它被认为是英语单词configure和德语单词ficker的组合,后者是淫秽的意思。“风暴”僵尸网络是以欧洲一场著名的风暴以及与之相关的垃圾邮件命名的。克拉肯以传说中的海怪命名。MegaD是一个大型垃圾邮件机器人,它之所以得名,是因为它以兜售伟哥和各种男性增强草药的垃圾邮件而闻名。
“你可以猜到Mega后面的D代表什么,”他说。
安全公司Damballa的研究副总裁Gunter Ollmann认为,现在是时候用一种供应商能够同意的系统方法来命名僵尸网络了。他说,由于僵尸网络的变形和变化如此频繁,它们很少继续与促使研究人员首先为其命名的原始恶意软件样本存在有意义的联系。
“Botmasters并不局限于一个恶意软件,”奥尔曼说,“他们使用多种工具来生成多种恶意软件家族。在一个恶意软件之后称一个特定的僵尸网络是naïve,这并不能真正涵盖真正的威胁。”
参见《僵尸网络:发现和打击僵尸网络越来越难的4个原因》
奥尔曼还补充说,绝大多数恶意软件没有真正人性化的名称,只是被视为数字,这使得命名不可能。对于企业客户来说,这是一个令人困惑的局面,他们可能试图清理由恶性蠕虫造成的混乱,却发现不同的供应商对同一个问题使用不同的名称。
奥尔曼说:“反病毒厂商正在为恶意软件网站制定命名规则,但这是独立于僵尸网络的。”“这种情况已经持续了好几年了。最近一次讨论的重点是如何传输描述恶意软件特定名称威胁的元数据。但目前还没有最终用户可以利用的明显进展。”
奥尔曼说,丹巴拉现在在客户同意的情况下使用僵尸网络命名系统,它喜欢两部分名称,工作原理很像美国国家气象局使用的飓风命名系统。名字的第一部分来自预先商定的名字列表。一旦僵尸网络被识别出来,它的名字就会被使用,并将其从名单上划掉。它成为了与僵尸网络永远联系在一起的名字。名字的第二部分追踪的是目前与僵尸网络相关的最常见的恶意软件。奥尔曼说,虽然僵尸网络的主人每天都在改变他们的恶意软件,但他们通常只在两三天的基础上改变他们的恶意软件家族平衡。然后,名字的第二部分改为,以反映这种波动。
奥尔曼说:“出现了这么多这样的名字,这就变成了一种情况,即分配一个人类可读的名字,而没有其他名称与之相关。”“用飓风命名系统来命名它们或许有些失礼,但这或许说明了这一威胁的本质。”
这篇题为“僵尸网络如何得名”的文章最初是由方案 .