有组织的犯罪分子劫持了数以百万计的电脑,并把它们当作僵尸,在互联网上散布垃圾邮件和恶意软件。但有办法反击僵尸网络的入侵。
你可能无法完全阻止僵尸网络的入侵,但是通过层层的僵尸搜索技术和常识,你可以将对你的网络的影响降到最低。
“每个人都机器人”
在与机器人战斗之前,您必须了解问题的范围。“我们一直否认问题的严重性,”贝宝首席信息官迈克尔·巴雷特(Michael Barrett)说。
事实上,在最近对394人的调查中有个足球雷竞技app网络负责读者安全令人吃惊的是,43.7%的受访者表示,客户受到影响并不是一个重大问题。另有30.2%的人说,他们没有看到任何证据表明网络上的计算机曾经被感染。
旧金山一家跟踪僵尸病毒爆发的公司Support Intelligence的首席执行官里克•韦森(Rick Wesson)说,仅仅因为近四分之三的受访者没有处于高度戒备状态,并不意味着威胁就不存在。在任何一天,他的公司的蜜罐都会陷阱各种阴险和欺诈的垃圾邮件来自僵尸客户。
“这些机器人牧民非常聪明,操作系统非常脆弱,每个人都有机器人。大多数公司运行的是非常紧密的网络,但是在您的系统上不运行bot网络的想法是幼稚的。我们有大量数据表明,《财富》1000强中有相当一部分拥有机器人。
如果《财富》1000强无法阻止机器人,那么较小的组织和消费者就不会祈祷了。小家伙有更少的资源来执行安全更新或监控网络和机器奇怪的交通模式,肯·劳埃德说,安全主任安全服务提供者Cyveillance在阿灵顿,弗吉尼亚州消费者风险最高的,因为他们往往最安全,劳埃德说。
“企业也有这个问题,这是毫无疑问的。入侵检测软件制造商Sourcefire。企业最容易受到漫游机器的攻击,因为它们没有正确地设置来抵御恶意软件的攻击。“那就是麻烦的时候——人们会通过(即时通讯)收到垃圾邮件,或者木马病毒通过即时通讯工具,或者把这些东西放进收件箱,或者用ie和Firefox的漏洞版本在不应该出现的地方冲浪。
事实上,Gartner预测到年底将有75%的企业被机器人感染。
互联网犯罪化
在过去的一年里,机器人放牧已经变成了一种令人不安的、旨在赚钱的有组织犯罪活动。典型的青少年为了自我满足而分散开来拒绝服务袭击已经成为过去。例如,去年夏天在伦敦发生的一起备受瞩目的逮捕案件涉及一名63岁的男子、一名28岁的男子和一名19岁的男子。这些人更有条理,更专业,对秘密行动更感兴趣。
“在这方面所付出的努力,实际上需要一个分销渠道。你有制造它的人,销售它的人,使用它的人。一个人不可能完成从创造到使用的整个过程。脚本kiddy是不可能的,”Lloyd说。“经营这些事情的人基本上都是有组织犯罪。”
具体来说,bot herders推出了高付费的骗局,如垃圾邮件、通过键盘记录(捕捉击键来了解用户的姓名和密码)身份盗窃、点击欺诈(自动点击广告条,广告商按点击次数付费)和warez(盗版软件的分发)。
研究人员说,涉及的规模和金额可能是巨大的。例如,点击欺诈占所有点击的14%,高价广告的20%,ClickForensics说。据研究公司IncreMentalAdvantage估计,去年这一广告花费了广告商6.66亿美元。商业软件联盟声称,世界上四分之一的软件是盗版的,这给软件制造商造成了数十亿美元的损失。
黑市服务器在那里,人们买卖僵尸网络,并签订合同。
“机器人是地下经济的重要组成部分……这是一个新的转折,是我们在过去六个月左右看到的爆炸式增长赛门铁克安全的回应。这些服务器也是犯罪分子出售从机器人那里获得的被盗信息的地方,比如信用卡号码。
僵尸网络之战
因为机器人牧人明显地花费资源来管理和运行他们的僵尸网络,他们对增加他们所管理的网络数量变得不那么感兴趣了。赛门铁克(Symantec)报告称,2006年下半年,命令和控制服务器的数量减少了25%,这表明机器人牧人(bot herders)正在进行整合,使每个网络变得更大。
一些奇怪的新攻击让安全研究人员猜测,机器人牧人正在进行地盘争夺战,互相攻击。一些恶意软件的目标可能是摧毁对手的无人机;在这个过程中,这会导致网络的混乱。例如,最近的一个蠕虫病毒被定向到访问了恶意“泵出并转储”网站的机器上。网络监控公司Websense报告说,它感染了一种病毒,导致机器不断重新启动,使它们无法进行合法工作(以及非法使用)。
因为机器人牧人更感兴趣的是保密他们数以百万计的受感染机器,他们会激活机器,轰炸垃圾邮件或运行点击欺诈游戏,并迅速关闭连接。Rootkit感染在操作系统上不可见地运行。机器人牧人通过HTTP控制他们的机器(不一定依赖互联网中继聊天);这意味着在你的网络中检测僵尸程序是很困难的。
社交网络的疾病
更令人担忧的是,今天的机器人牧人使用诸如有毒博客、跨站点脚本和iframe等技术,这些技术不需要用户采取任何行动(如点击电子邮件附件)就会被感染。如果一台装有易受攻击的操作系统或浏览器的电脑访问了含有恶意代码的网站或博客,它就会被秘密地感染。恶意的JavaScript(有时是广告软件)会自动下载到电脑上。然后它被定向到其他恶意网站来接收它的命令,机器人就开始工作了。随着廉价的基于共享服务器的Web主机的流行,黑客可以使用一个操作系统漏洞来访问几十个Web服务器。
有毒博客和跨站点脚本编写(包括在合法站点中植入恶意代码)已经存在多年了。然而,机器人牧人正在寻找利用它们的新方法。其中一个更臭名昭著的例子是机器人牧人在超级碗之前入侵了海豚体育馆的网站,当时有成千上万的人试图购买门票。
社交网络也可能成为恶意软件的污水池,因为这些网络允许用户上传和共享文件、数据和其他潜在的有害代码。有了iFrames,不可见的框架可以用来自动下载未被检测到的恶意软件在受攻击的网站,以及在博客和社交网络上。
“网站和社交网站,在这些网站上有太多的个人信息,所以许多用户来说,它只是一个金矿的信息,”克里斯·博伊德说,恶意软件研究主任FaceTime通信、网络监视公司专门从事保护实时应用程序,如即时通讯和网络电话。