当一个人考虑一个劫持计算机时,僵尸网络的永久增殖几乎没有令人惊讶的是,在没有倾向于用户的情况下,劫持计算机的糟糕的家伙。
僵尸网络长期使用各种配置,部分是为了伪装他们的控制机制 - 见僵尸网络是什么样的.但随着用户友好但不安全的应用程序继续可用——尤其是非技术娴熟的社交网络计划黑客有越来越多的安全漏洞可供选择。根据僵尸网络猎人对最近活动的监控,他们在构建弹性架构方面也变得越来越聪明。
以下是僵尸网络之战愈演愈烈的四个原因,以及应对措施:
1.低调操作虽然最近的关注主要集中在与Conficker蠕虫相关的僵尸网络活动(见Conficker集团:虫460万强),研究人员说,一些最大的僵尸网络主要逃脱了媒体的关注。这就是糟糕的家伙喜欢它。
Alex Lanstein是旧金山湾区的安全供应商Fireeye Inc.的高级安全研究员表示这是因为他们的霸主不想成为新闻,让人们知道他们的机器被感染。例如,CIMBOT是一种恶意软件,它被用于创建僵尸网络,即现在占世界垃圾邮件的约15%,他说。
亚特兰大安全供应商Purewire Inc.的首席研究员保罗·罗亚尔(Paul Royal)发现了其他几个僵尸网络游行者在雷达下运行的例子。在他参与的一个实验项目ZeroPack中,他发现自动混淆技术允许坏人参与诸如服务器端多态性之类的活动。由于恶意软件经常变形,传统的防病毒厂商在保持正确的防病毒签名方面有更多的麻烦。Waledac僵尸网络已经成功地使用了这种方法。
与此同时,他说,黑客正从集中式的命令和控制僵尸网络结构转向更倾向于基于点对点的架构。这是不幸的,因为在更集中的结构中,安全研究人员至少有一个大目标要瞄准。他说,P2P方式意味着更多更小的目标更难瞄准。
“Conficker.C、Storm和Waledec都已经从集中式架构转向基于点对点的架构,”Royal说。
2.恶意软件可以自我屏蔽在试图跟踪和关闭僵尸网络时,安全研究人员遇到的是用于构建僵尸网络的较新的蠕虫正在使用强大的加密,以保护指挥控制中心,主席和加密研究总裁兼首席科学家说。
“它曾经是你可以跟踪僵尸网络如何获得命令并发出假命令将它拿出来,”他说。“这更难做到这一点。”
新的僵尸网络也更擅长于破坏机器的安全控制。
科赫说:“我们还在观察僵尸网络构建蠕虫逃避检测的更复杂的努力。”“它们更多态,从一个拷贝到另一个拷贝。这使得反病毒作者更难设计一个签名来阻止它。”
3.流行的应用超出它的控制研究人员继续发现,对于机器人牧人来说,阻力最小的路径是人们在公司机器上使用但不受IT控制的各种应用程序。他们利用这些数据来回传递各种敏感数据,包括医疗记录、财务数据等。
安全供应商Palo Alto Networks最近发布了2009年春季的应用程序使用和风险报告,从金融服务,制造,医疗保健,政府,零售和教育中审查了来自60多个大型组织的企业应用程序和流量。2008年8月至12月之间进行的评估代表了近90万用户的行为。在调查结果中:
- 在发现的494个应用程序中,超过一半(57%)的应用程序可以绕过安全基础设施——使用端口80或端口443从一个端口跳到另一个端口。这些应用程序的一些例子包括Microsoft SharePoint, Microsoft Groove和一系列软件更新服务(Microsoft update, Apple update, Adobe update),以及终端用户应用程序,如Pandora和Yoics!
- 公司通常不是由公司(CGIProxy,Phproxy,Hopster)和远程桌面访问应用(Logmein!,RDP,PCAnywhere)分别获得的代理分别为81%和95%的时间。还发现了加密的隧道应用,如SSH,TOR,GPASS,GBRIDGE和SWIPS。
- P2P占92%的比例,BitTorrent和Gnutella是发现的21种变体中最常见的。使用YouSendit!而MediaFire是22种变体中最常见的。
报告称,企业每年花费超过6亿美元的防火墙,IPS,代理和URL过滤产品。所有这些产品要求执行某种级别的应用程序控制。分析表明,100%的组织有防火墙,87%也有一个或多个这些防火墙助手(代理,IP,URL过滤) - 然而,它们无法锻炼遍历网络的应用程序流量。
因此,恶意软件推动者可以相对容易地利用这些应用程序进行恶意攻击,包括构建僵尸网络。
4.社交网络扩大了攻击面
然后,使用Facebook,Twitter和MySpace等社交网络程序的使用越来越多,这很容易使用非技术娴熟,并为企业IT商店进行监控。
At the ShmooCon security conference in Washington D.C. in February, for example, researchers Nathan Hamiel and Shawn Moyer guided attendees through attacks made easy because of the very nature of these sites, where users can upload and exchange pictures, text, music and other content with little effort. [See:拍在Facebook中:社交网络危险暴露]
在针对这些程序的攻击中,黑客利用社交网络的技巧欺骗用户打开链接,从而将恶意软件扔到电脑上,有效地将电脑变成一个庞大的僵尸网络中的另一台僵尸机器。
用户教育仍然是一个关键的防御措施基于亚特兰大的安全供应商Damballa,Inc的研究副总裁Gunter Ollmann表示,企业IT商店将迅速升起,以便这些日子检测较少的已知恶意软件习惯了这种毁灭性效果。他说,在过去的2年里,IT商店部署了广泛的检测和预防技术。抵消某些攻击时,每层防御都更好。
“威胁越常见,保护越好,”他说。“但坏人非常了解这些防御如何工作,所以他们正在使用更复杂的,有针对性的社会工程攻击。看着使用的恶意软件,高百分比是ID和AV代理意识。”
Ollmann和其他人提供了相同的建议:因为攻击者如此成功使用社会工程技巧——用关于当前事件的虚假标题来引诱用户,并诱使他们点击恶意链接——最好的防御措施之一仍然是对用户进行教育。
专家们说,向普通用户展示他们每次上网时面临的问题,他们就不太可能被骗去下载构建机器人的代码。
这篇题为“僵尸网络:越来越难找到和对付它们的原因”的文章最初是由方案 .