經(jīng)?�?措娪?����、小說(shuō)甚至玩過(guò)植物大戰僵尸游戲的用戶(hù)對“僵尸”已經(jīng)不再陌生����。在網(wǎng)上搜索會(huì )得到這樣的解釋?zhuān)航┦?���,指四肢僵硬��,頭不低����,眼不斜��,腿不分��,不腐爛的尸體����。而僵尸網(wǎng)絡(luò )的提出似乎給網(wǎng)絡(luò )安全領(lǐng)域蒙上了神秘面紗��,這個(gè)安全“黑社會(huì )”的技術(shù)給安全領(lǐng)域帶來(lái)了不小的挑戰����,怎樣揭開(kāi)僵尸網(wǎng)絡(luò )的神秘面紗?做到知己知彼百戰不殆����,應先從了解僵尸網(wǎng)絡(luò )開(kāi)始����。
僵尸網(wǎng)絡(luò )是指采用一種或多種傳播手段��,將大量主機感染bot程序(僵尸程序)����,從而使攻擊者通過(guò)各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機����,而被感染的主機將通過(guò)一個(gè)控制信道接收攻擊者的指令����,組成一個(gè)僵尸網(wǎng)絡(luò )�����。
僵尸網(wǎng)絡(luò )是在控制者和被感染主機之間所形成的一個(gè)可一對多控制的網(wǎng)絡(luò )�����,之所以用這個(gè)名字����,是為了更形象的讓人們認識到這類(lèi)危害的特點(diǎn):眾多的計算機在不知不覺(jué)中如同中國古老傳說(shuō)中的僵尸群一樣被人驅趕和指揮著(zhù)�����,成為被人利用的一種工具��。目前����,最大最嚴重的僵尸網(wǎng)絡(luò )包括以下五種:
1. 臭名遠揚的“裝載機” Pushdo/Cutwail
Pushdo本身是一個(gè)“裝載機”����,其可以下載其他組件安裝在系統中�����,于2007年和另一個(gè)僵尸網(wǎng)絡(luò ) Storm同時(shí)出現����,是全球第二大垃圾信息僵尸網(wǎng)絡(luò )����,臭名遠揚的原因在于黑客使用不同技術(shù)使Pushdo難以被偵測����,PushDo不但主導全球大量的垃圾信息發(fā)送��,同時(shí)也是黑客用來(lái)散布惡意程序的主要管道����。雖然Storm已經(jīng)不復存在��,但Pushdo 卻越來(lái)越強大��,每日從大約150萬(wàn)臺僵尸電腦中發(fā)送190億封垃圾郵件����。
在商業(yè)模式中����,Pushdo可以為客戶(hù)定制安裝特定惡意軟件����,根據每個(gè)安裝來(lái)收取費用�����。通常通過(guò)Pushdo進(jìn)入被感染的電腦系統����,并下載垃圾郵件程序Cutwail����。Pushdo使用Cutwail來(lái)自我復制垃圾郵件��,從而不斷擴大其僵尸網(wǎng)絡(luò )����,也可通過(guò) Cutwail租出垃圾郵件服務(wù)�����。Pushdo/Cutwail僵尸網(wǎng)絡(luò )發(fā)送的垃圾郵件內容很雜����,包括醫藥產(chǎn)品����,網(wǎng)絡(luò )賭博����,網(wǎng)絡(luò )釣魚(yú)郵件以及鏈接到包含惡意代碼網(wǎng)站的郵件�����。
2. 愛(ài)上遠程服務(wù)器的裝載機:Bredolab
Bredolab也是很流行的裝載機�����。除了發(fā)送垃圾郵件外��,Bredolab還專(zhuān)注于下載“Scareware” (假殺毒軟件)以及“Ransomware”產(chǎn)品����。Bredolab.SV是一種特洛伊病毒�����,能夠下載并生成Win32/Zbot 和 Win32/Cutwail病毒�����。它將獲取的系統信息發(fā)送到遠程服務(wù)器�����,并從遠程服務(wù)器接收URL和文件��。
惡意程序通過(guò)番禺網(wǎng)站設計垃圾郵件傳播��,并誘惑用戶(hù)運行惡意程序��。其主要商業(yè)模式是使用這些產(chǎn)品感染很多系統��,希望受害者購買(mǎi)Scareware和 Ransomware產(chǎn)品��,然后獲取傭金利潤����。
3. 記錄用戶(hù)擊鍵:Zeus
提起Zeus ����,我們不得不回顧今年4月份一個(gè)名為Zeus的病毒不斷竊取網(wǎng)上銀行的賬戶(hù)信息��,相關(guān)數據顯示�����,當時(shí)有550萬(wàn)臺計算機已經(jīng)被檢測到不同版本的Zeus感染��。Zeus 1.6可以感染使用IE和Firefox瀏覽器的用戶(hù)����,并對用戶(hù)實(shí)施擊鍵記錄��,進(jìn)而通過(guò)分析銀行網(wǎng)站日志并將數據發(fā)送到遠程服務(wù)器����,或由網(wǎng)絡(luò )黑客團伙出售����。
Zeus作為犯罪軟件工具包出售�����,這意味著(zhù)它不僅僅是一個(gè)大型僵尸網(wǎng)絡(luò )�����,而是很多獨立僵尸網(wǎng)絡(luò )����。任何人都可廣州做網(wǎng)站公司以利用這個(gè)工具來(lái)創(chuàng )建自己的僵尸網(wǎng)絡(luò )�����,而且很受歡迎�����。最近我們檢測到很多Zeus變種��。Zeus通常被配置為竊取信息����,包括銀行憑證信息和返回給攻擊者的報告�����。
4. 垃圾郵件的締造者:Waledac
與Cutwail一樣��,Waledac 最廣為人知的應該是發(fā)送垃圾郵件的功能��,此外他還會(huì )下載執行任意文件��,Waledac也可以利用其下載的定制模版發(fā)送垃圾郵件�����。由于它是基番禺網(wǎng)站設計于模版 的����,Waledac也為垃圾郵件服務(wù)收費��。與Pushdo不一樣����,Waledac在點(diǎn)到點(diǎn)網(wǎng)絡(luò )操作����,所以很難被攻破����。它還可以加載惡意軟件��,代理HTTP 內容來(lái)通過(guò)僵尸網(wǎng)絡(luò )傳播惡意網(wǎng)站����。
它下載執行的文件并不限于惡意軟件��。Waledac 也會(huì )試圖下載安裝免費的抓包庫 "WinPcap"�����。它利用這個(gè)庫的功能來(lái)嗅探網(wǎng)絡(luò )流量�����,查找 SMTP��、POP����、HTTP 和 FTP 協(xié)議中所傳輸的驗證信息�����。
除了我們在之前的 Blog 中所提到的 Waledac被 Win32/Bredolab 變種下載�����,我們還發(fā)現 Waledac 會(huì )被正在傳播的 Win32/Cutwail 下載��。
5. 騷客一族:Conficker
這個(gè)僵尸網(wǎng)絡(luò )可能不需要過(guò)多介紹����。雖然歷史悠久����,但Conficker從來(lái)沒(méi)有真正導致過(guò)重大事故�����。但這并不意味著(zhù)不存在威脅����,該僵尸網(wǎng)番禺做網(wǎng)站公司絡(luò )仍然很活躍�����。 Conficker病毒主要是借助閃存�����、利用微軟的MS08-067漏洞進(jìn)行傳播的�����。當Conficker病毒進(jìn)入網(wǎng)站建設系統后����,首先破壞系統中的默認屬性設 置�����,接著(zhù)會(huì )自動(dòng)搜索局域網(wǎng)內有漏洞的其他電腦����,一旦發(fā)現有存在漏洞的計算機系統�����,就會(huì )激活該漏洞并同感染系統創(chuàng )建連接�����,最后進(jìn)行遠程感染����。
從個(gè)人端到服務(wù)器端��,從垃圾郵件締造者到惡意程序發(fā)布者����,從記錄用戶(hù)的擊鍵記錄到隨處可見(jiàn)的Conficker病毒��,僵尸網(wǎng)絡(luò )給我們更多恐怖之后是對安全 行業(yè)對金錢(qián)番禺網(wǎng)站建設驅使下的黑產(chǎn)業(yè)鏈的澄清��,為用戶(hù)謀取更安全健康的網(wǎng)絡(luò )環(huán)境成為安全廠(chǎng)商努力方向�����。
粵公網(wǎng)安備44011302004697
