文章內容

僵尸網絡正在迅速擴張，Tpig最兇險

發(fā)布時間: 2012/8/1 20:32:12

上周，美國和韓國的政府網站屢遭DDoS攻擊，這些攻擊皆來自一個受不明黑客操縱的僵尸網絡——已有人將懷疑的矛頭對準了朝鮮——不管怎樣，僵尸網絡的暗黑世界有如魔都的疆土般無限地擴張著。

根據共享僵尸網絡相關行動信息的組織ShadowServer基金會的報告，6年前開始起步的僵尸網絡，發(fā)展極為迅速，已識別出的僵尸網絡的數量已從兩年前的1500個發(fā)展到了今天的3500個。

迄今為止，僵尸網絡所控制的針對美國和韓國的攻擊相信已在暗中控制了大約5萬臺電腦，其手法是利用了一個舊病毒MyDoom的升級版本，雖說此類攻擊并未對許多網站造成唏噓的損害，但是美國聯(lián)邦貿易委員會（FTC）和美國運輸部的網站皆被迫多次關閉，而FTC.gov網站還在苦苦掙扎。而針對韓國的DDoS攻擊仍在持續(xù)，據韓國的防病毒公司AhnLab說，預計將會有更多的針對韓國銀行和媒體網站的攻擊。

當然，和僵尸網絡相關的不只有DDoS攻擊。僵尸網絡通常是高度專業(yè)化的，專門設計用來分發(fā)垃圾郵件分發(fā)、竊取身份認證信息、竊取銀行賬戶數據或信用卡數據、跟蹤鍵盤動作、點擊欺詐和軟件盜版。

如今，一些更為成熟的僵尸網絡一般會持續(xù)存在多年，幕后有一些影子組織在操縱，已然控制了數百萬臺電腦甚至服務器。

這些僵尸網絡一般都會由專門跟蹤調查它們的研究人員起一些非常詭詐的名稱，這么做是為了能夠更好地識別它們。

例如，據安全公司Damballa透漏，Gammima（游戲口令竊取者）、Conficker（假冒防病毒軟件）和宙斯（信息竊取者）被認為是眾多僵尸網絡中規(guī)模最大的幾個。

然而要準確估計受某個僵尸網絡所控制的實際的電腦數量，也就是被他們控制的僵尸的數量其實是很困難的，很多專家說。

這是因為在計算受控電腦的數量時，一般都是按照已被發(fā)現(xiàn)的受感染機器來計數的，通常是按照IP地址來計數的，但這個數字會因為所采用的網絡技術，比如網址翻譯的影響可能增加也可能縮小。實際上是一個變化的數字。

Conficker據估計已感染了100萬到1000萬臺電腦，并一度試圖向這些受控制的電腦銷售它的假冒防病毒軟件，但到目前為止該僵尸網絡的表現(xiàn)很平靜。

“這是最大的僵尸網絡之一，但是目前它卻什么也沒做，”Arbor網絡公司安全研發(fā)經理Jose Nazario說，他相信Conficker已經感染了大約500萬臺Windows電腦。

最容易計數的僵尸網絡似乎就是垃圾郵件僵尸網絡了。根據賽門鐵克的MessageLabs部門的調查，6月份表現(xiàn)最突出的僵尸網絡叫Cutwail，它發(fā)送的垃圾郵件已占據了全球垃圾郵件的45%，已控制了大約140萬到210萬臺電腦。

Cutwail的生存主要靠兩款不同版本的惡意軟件，MessageLabs的首席反垃圾郵件技術專家Matt Sergeant說，它目前還不是第1位的垃圾郵件僵尸網絡。按照他的估計，到7月底，它有可能淪落為第2名，而原來只占全球垃圾郵件4.5%數量的Rustock有可能一躍而占有50%，成為第1名。

在地下經濟中，購買垃圾郵件服務的買主有可能會放棄Cutwail而選擇Rustock。這兩個僵尸網絡都已存在了多年，它們的主要控制人被懷疑是在烏克蘭或者某個說俄語的國家。其他一些研究者也看到了這兩個僵尸網絡的行為方式和烏克蘭及俄羅斯有很強的聯(lián)系。

Nazario和Sergeant都認為，要起訴僵尸網絡的非法行為非常困難，因為司法管轄權要跨越多個國家，盡管他們很贊賞聯(lián)邦調查局起訴僵尸網絡的堅定決心。

很多人認為，最危險的僵尸網絡應該是Torpig，該僵尸網絡的目的就是竊取身份認證信息、信用卡、銀行賬號和支付寶賬戶等。

“它非常高明，一般是以一個rootkit病毒隱藏在你的電腦內部，”SecureWorks的惡意軟件研究經理Joe Stewart說。“它就在系統(tǒng)里安靜地呆著，一旦捕獲到銀行賬戶的登錄信息，它就會很安靜地將其發(fā)送出去。”

深入Torpig僵尸網絡，搞清楚它到底在做些什么，這是今年初由加州大學計算機科學系安全小組的8位研究人員啟動的一項艱巨任務。他們在一處秘密地點設置了一臺服務器，然后開始等待Torpig來發(fā)現(xiàn)這臺服務器。

“我們已事先得知了它可能會訪問的一串網址，所以我們就是等待，”加州大學計算機科學教授Giavanni Vigna說。他領導的這個小組再加上一些研究生的幫助，正準備突入Torpig僵尸網絡。

上個月他們公開了被趕出Torpig之前10天內所發(fā)生的驚爆眼球的行動，顯然，Torpig的運營者們發(fā)現(xiàn)了他們的侵入。

他們撰寫的報告題目為：“你的僵尸網絡就是我的：對僵尸網絡接管的分析”，詳細披露了Torpig僵尸網絡對18萬臺肉機的傳染，在10天之內記錄下了僵尸們所收集的70GB的數據。

Torpig在410個不同機構中竊取了8310份證書。主要的攻擊目標是支付寶、Poste Italiane、第一資本、E*Trade和Chase。Torpig所竊取的證書中大約38%是因為得到了瀏覽者的密碼而獲得的，并未截取實際的登錄會話過程。Torpig還收集了1660張信用卡和借記卡，主要是Visa卡、萬事達卡和美國運通卡，其中有49%的犧牲品估計是美國用戶。在這10天里，Torpig從52540臺受Torpig控制的機器中共竊取了297962個賬戶的信息，主要是Google、Facebook、MySpace、netlog.com、libero.IT、雅虎、nasza-klasa.pl、alice.it、live.com和hi5.com等網站的賬戶。

Torpig僵尸網絡實施感染的主要手段就是，首先以惡意軟件攻擊合法網站，讓其受感染，然后通過所謂路過式下載將訪問該網站的機器變成僵尸。

路過式下載的效果就是“修改你的瀏覽器，讓它變得不一樣，”Vigna說。比如當你下一次訪問你的網上銀行時，被Torpig感染過的桌面就會顯示一個偽裝的Web頁面以哄騙犧牲者輸入銀行賬號密碼或登錄密碼。然后Torpig便可將此密碼發(fā)送給Torpig網絡的操縱者。

Vigna說，研究人員一直未能發(fā)現(xiàn)到底是誰在操縱Torpig，不過他們將獲得數據是與FBI共享的。加州大學的這個研究小組在執(zhí)行Torpig滲透項目時還獲得了美國國家科學基金會的幫助，后者正在支持一個長達5年的探索地下經濟的項目。

Torpig僵尸網絡揭示了用惡意軟件攻擊各類網站的攻擊者之間的協(xié)作模式，這種協(xié)作能夠使Torpig的操縱者獲得更多的犧牲品。而且這種協(xié)作還大有向Torpig僵尸網絡之外發(fā)展的苗頭。

“我們已經看到的最嚴重的事情之一就是Web瀏覽器引人注目的變化，”Nazario在談及路過式下載時說。和其他研究者一樣，Nazario認為僵尸網絡主要利用的是Windows機器。“瀏覽器已成為進入PC的一扇最為敞開的門，”用戶必須不斷地更新補丁，并盡量使用最新版的瀏覽器。
本文出自：億恩科技【1tcdy.com】

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]

上一篇 >> SaaS模式部署ERP應用的二大挑戰(zhàn)
下一篇 >> 部署虛擬化前需注意10要點

亚洲综合社区欧美综合色-欧美逼逼一区二区三区-国产老熟女高潮精品网站-国产日韩最新视频在线看

服務器租用

服務器托管

機柜批發(fā)

云服務器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內容

僵尸網絡正在迅速擴張，Tpig最兇險

同類文章

億恩公告

在線客服

僵尸網絡正在迅速擴張，Tpig最兇險

億恩公告

在線客服

僵尸網絡正在迅速擴張，Tpig最兇險