安全路透社
当前位置:安全路透社 > 安全客 > 正文

【技术分享】2016僵尸网络研究报告(上)

http://p7.qhimg.com/t011eb353627cf0c22c.jpg

翻译:pwn_361

预估稿费:300RMB

投稿方式:发送邮件至,或登陆网页版


传送门


【技术分享】2017僵尸网络研究报告(下)

一、前言:僵尸网络的兴起


2016年,以Locky为代表的勒索软件的兴起非常引人注目,但是过去几个月,我们的注意力被网络犯罪基础设施的一个基础元素所吸引—-僵尸网络。

去年七月份,有很多攻击者使用LizardStresser工具发起DDoS攻击,这是使用了物联网设备的DDoS僵尸网络,由Lizard Squad黑客组织推动的DDos网络。八月份,我们碰到了第一个基于Android,并经过Twitter控制的僵尸网络。九月底,网络罪犯发布了一个公告,公开了Mirai僵尸木马程序的源代码,该木马程序的主要感染目标是物联网设备,并使用这些设备组建一个僵尸网络,进而发动DDoS攻击。这个恶意软件之前只被少数犯罪份子所使用(已经感染了成千上万的物联网设备),但随着源代码被公开发布,世界各地的网络犯罪分子现在有了一种现成的简易方法,去建立更多的僵尸网络。十月份,使用了100000台设备的强大僵尸网络,攻击了DNS服务提供商Dyn公司。最终给数十家知名互联网服务公司带来了很大影响,包括Airbnb,Etsy,Pinterest,Amazon,PayPal,Twitter,和Netflix,以及各大新闻媒体和ISPs,如Comcast和Verizon。

Cyren公司强大的“GlobalView Security”云数据每天能收集和分析超过170亿个威胁数据,Cyren研究人员发现了成千上万的恶意DNS、电子邮件和Web活动,而这些都源于一个僵尸网络。

这就是Necurs僵尸网络,我们已经追踪到经过它传播的Locky和Dridex恶意软件。在过去的几个月中,Necurs僵尸网络已经“关闭”了两次,给我们的感觉好像是已经下线了,实际上没有。僵尸网络世界看起来不太像一般的网络犯罪,更像是一个季节性的破坏者。

在今天的世界里,因为僵尸网络的存在,从笔记本电脑、路由器、DVRs到安全摄像机,都处在危险之中。事实上,最近毕马威公司对中型公司的研究发现,机器的综合计算能力能显著影响公司的运营,影响范围包括公司收入的减少、商业信誉的损失,到客户信心的减少。僵尸网络通过各种方式,能影响到任何个人、商业活动、公司或政府。通过DDoS攻击实际目标、或使用公司的计算资源和带宽对其他人发动攻击、窃取商业秘密,或客户、员工的身份信息,向源代码中插入恶意软件,或影响系统整体数据的完整性等等。

今天,每一个组织都需要确保他们的安全,在那些对威胁情报的深度和广度有需要的地方,分层防御必须能在多个级别上瓦解这些现代克隆军队的网络犯罪活动。


二、僵尸网络101:僵尸网络如何工作


据说,在1988年11月初,互联网第一次受到病毒的攻击,当时,康奈尔大学有一个高智商但是无聊的毕业生,名为Robert Morris Jr,开发了第一个互联网“蠕虫”–一个计算机病毒,从一个计算机传播到另一个计算机。

据说莫里斯对这个软件的设想不仅包括在连接的计算设备间复制数据,也包括连接的计算系统–通过指令来操作数以千计的连接的计算机。

僵尸网络在过去25年里发生了非常令人注目的变化,包括它们的影响范围、创造财富的能力、和引起的破坏性。由于僵尸网络、恶意软件、DDoS攻击和其它活跃的恶意行为,商业交易每年都会损失不少客户和数万百美元的收入。僵尸网络在21世纪成为互联网最大的威胁。

http://p2.qhimg.com/t0134485438b8418f4d.png

僵尸网络如何诞生

通常,僵尸网络是一连串互联的计算机、或僵尸主机,每一个都感染了由特定僵尸网络控制的相同或不同类型的恶意软件。这个僵尸主机有能力直接和C&C(命令和控制)服务器进行通联,僵尸主机之间也有能力互相通联,并执行控制者的命令。即使是合法的分布式计算系统,也有可能利用了僵尸网络的技术。通常,“僵尸网络”这个术语仅仅是指拥有犯罪意图的非法网络。

要创建僵尸网络,创建人员就需要用恶意软件感染计算机。这可以通过多种方法,包括恶意邮件、钓鱼网站、感染了恶意软件的盗版软件、或者感染U盘。

僵尸网络的通信方法主要有两种

直接命令和控制(C&C)的僵尸网络。采用了C&C方式,僵尸主机直接联系一个服务器、或一组分布式服务器,来获取任务并报告主机状态。采用命令和控制网络方式比较好实施,但是如果C&C服务发生问题,整个僵尸就有可能中断。

http://p8.qhimg.com/t01f031dd7dc465d26d.png

对等(P2P)的僵尸网络。对等的僵尸网络使用一个分布式僵尸主机来保护僵尸网络,防止发生服务中断。对等的僵尸网络可以包含C&C服务,也可以不包含,也可以设计成一个特定的、随机的结构,这可以进一步使僵尸网络和它的用途更加模糊。因此,P2P僵尸网络不容易被识别,主控机不容易监控指令的传递,P2P僵尸网络的实现本身比较复杂。

http://p5.qhimg.com/t01608f2f744d83cd96.png


三、僵尸网络的组成


僵尸网络–是一个由感染了恶意软件的设备,通过互联网互相连接的网络,通常会从事网络犯罪活动。它经常被用于传播垃圾邮件和恶意软件,或者发动DDoS攻击。僵尸网络可以大到拥有1百万台设备,每天发送多达600亿封垃圾邮件。“botnet”术语最早起源于“roBOT”和“ NETwork”的组合。

僵尸控制者:或者称为僵尸网络控制器或僵尸牧人,僵尸控制者是僵尸网络的操作者。这个个体远程控制着僵尸网络,向C&C服务器发布命令,或向网络中的某个僵尸主机。僵尸控制者为了逃避法律诉讼和身份识别,他们对自己的名字和位置会严密的保护。

命令和控制(C&C)服务器:经常简称为C&C,是一个中心计算机,负责对僵尸主机发送命令,及从僵尸主机接收信息。C&C的基础架构通常包括多台服务器和其他技术组件。大多数僵尸网络采用“客户端-服务器端”的结构,但是有的僵尸网络采用了P2P结构,这种结构将C&C功能集成到了僵尸网络中。

http://p8.qhimg.com/t01f9e45e0a01611989.png

对等(P2P)僵尸网络:对等僵尸网络使用了一分布式的僵尸主机网络,主要是为了保护僵尸网络、防止网络中断。P2P僵尸网络可以包含C&C服务器,也可以不包含,也可以设计成一个特定的、随机的结构,这可以进一步使僵尸网络和它的用途更加模糊。因此,P2P僵尸网络不容易被识别,主控机不容易监控指令的传递,P2P僵尸网络的实现本身比较复杂。

僵尸主机:僵尸网络中的一个通过互联网连接的个人设备叫做僵尸主机。僵尸主机通常是一台计算机,但是智能手机、平板电脑、或物联网设备也可以是僵尸网络的一部分。僵尸主机可以从C&C服务器接受命令,也可以直接接受僵尸控制者的命令,或者是网络中的其它僵尸主机。

僵尸:这是僵尸主机的另一种叫法。因为僵尸主机通常是由一个外部计算设备或人来控制,可以被比作一个虚构的“僵尸”。僵尸网络也被称为“僵尸军团”。

http://p2.qhimg.com/t011e2c95c8b9f95d4d.png

C&C僵尸网络如何传播恶意软件?

1.僵尸控制者通过传播僵尸恶意软件、感染别人的电脑或其它设备,来建立一个僵尸网络。他也可以从网络犯罪份子手中租用一个现有的僵尸网络。

2.将新收获的僵尸主机或僵尸报告给僵尸网络的C&C服务器。

3.C&C服务器控制僵尸主机,并向僵尸主机发送指令,包含邮件模板和潜在受害人的地址列表,让僵尸主机传播一个可执行的恶意文件。

4.僵尸主机收到命令以后,开始向成千上万的潜在受害人发送包含恶意载荷的邮件。


四、不断增长的威胁:物联网僵尸网络


几年来,网络安全专业人士一直在预测一个即将到来的恶意软件攻击潮,源于物联网设备。越来越多的“智能”日常家庭用品,可以连接到互联网,如冰箱、WIFI路由器、DVRs、婴儿监控器、安全摄像机、恒温器等等。

在2016年,未来才有可能发生的事,变成了“此刻”已经发生,网络罪犯吸收了超过1百万台物联网设备,用于扩大他们的僵尸军团。两个主要的开源恶意软件–Mirai和Bashlight–成为了他们武器库中的一个选择。两个恶意软件都会针对安装了BusyBox的嵌入式设备发起攻击,并对telnet远程登录协议进行猜解。就Mirai而言,该僵尸网络软件会将通信数据加密,包括僵尸设备间的通信数据、及僵尸和C&C服务器的通信数据。这给网络安全安全专家监控和分析恶意活动带来了不小的困难。研究者还认为,Mirai能接管那些已经被Bashlight感染的设备,甚至会为僵尸设备打上补丁,防止它们再次被竞争对手感染。

Mirai僵尸网络的力量在九月份第一次被发现,当时,网络罪犯(vDoS黑客组织)针对网络安全专家Brian Krebs的网站–krebsonsecurity.com–发起了DDoS攻击。

据Krebs说,这次网络攻击在最高峰产生了每秒约664G比特的流量。这是一次最大的单一互联网攻击的见证和记录。

十月份,物联网僵尸网络突然攻击了Dyn公司,该公司控制着大量的互联网DNS基础设施。被基于Mirai的物联网僵尸网络攻击后,造成了众多网站暂时中断,如Twitter,CNN,和Netflix。

随着网络犯罪率的不断增长,物联网僵尸网络变得尤其危险,基于以下几个原因:

1.随着各种智能设备不断接入互联网,物联网僵尸网络的规模实际是可以无限扩大。

2.物联网设备的安全防御通常很少,经常缺乏基本的安全规划。

3.Mirai僵尸网络的源码2016年十月份被公开,这给更多黑客提供了方便。

僵尸网络的货币化也是其发展的关键。研究人员报告称,规模在10万到40万台设备的物联网僵尸网络,每次攻击可以赚到3000到7500美元,这使得犯罪份子创建和使用僵尸网络的热情更加高涨。

安全专家建议,对于那些被感染的物联网设备,可以采用重新恢复的办法清除僵尸程序(重新恢复设备可以从内存中清除僵尸程序),不过,有可能该设备很快又会被感染。因为犯罪份子在不断的扫描物联网设备的漏洞。因此,在重新恢复设备后,立刻更改设备的默认密码就很有必要了。


五、ET给家里打电话:合法的僵尸网络


尽管“僵尸网络”这个术语通常和犯罪份子、恶意程序有关系,实际上,有一些僵尸网络是合法的,并且对我们是有用的。比如众所周知的“分布式计算系统”,它可以分布在全球各地。也许你认识的某个人,就有可能很愿意的允许他的电脑成为其中的一部分。

http://p4.qhimg.com/t01b61cd264b4ca095b.png

合法的僵尸网络是安装了某种软件的一群通过互联网连接的设备,并通过人来控制的系统,使这些设备一起执行某些功能或一些命令。通过在多平台上扩展的计算能力,很多任务可以完成的很快,很有效率、并且成本较低。“分布式计算系统”往往是为了创造更大的效益,而“僵尸网络”通常是为了犯罪目的。

也许目前最著名的分布式计算项目是“SETI@home”项目。利用了伯克利开放式网络计算(BOINC)软件平台,由加州大学伯克利分校的空间科学实验室维护。“SETI@home”可以租用志愿者的闲置CPU和GPU资源,用于分析从射电望远镜捕获的无线电信号,目的是为了搜寻外星人存在的证据。

其他著名的分布式计算项目集中在资源密集型计算任务,如天气模型和预报、天体物理学、股票市场预测、分子生物学和数学。


六、创建、买、或租用?15分钟僵尸网络


成为网络罪犯变得越来越容易了,只需要手中有几百美元。连接互联网,任何人都可以获得到软件和支持,以建立一个僵尸网络。在花钱租用了一个僵尸网络以后,通过利用僵尸网络传播恶意软件、垃圾邮件、钓鱼攻击、甚至是发动DDoS攻击,犯罪份子可以很快从他的投资中得到回报。具有编码能力的企业型犯罪团伙,开发出了可以租用的僵尸网络及租赁方案,然后出售或租赁给任何愿意付钱的人。

创建自己的僵尸网络

对于那些想拥有属于自已的僵尸网络的罪犯,得到一个基本的僵尸网络可能只需要大约15至20分钟,一旦罪犯决定了僵尸网络的目的,并确定需要哪些关键组件。在线供应商、工具、甚至赞助商都可以帮忙建设。只要一个正确的关键字搜索,就可以让你在五分钟之内在网上买到“僵尸网络创建工具包”。一旦购买和创建了这些工具,罪犯只需要开发有效载荷,当然,通常在工具包中就可以选择有效载荷。构建一个C&C服务器也只需要一个WEB主机或一个在线云服务提供者。

Cyren研究人员检查了一个基于免费软件的Zeus僵尸网络的创建步骤。在传播恶意软件之前,用户还需要做的只有两点:

1.设置服务器。

2.生成恶意软件。

步骤一:设置服务器

为了设置服务器,僵尸网络创建者需要在安装了Apache网站服务器和其他组件的LINUX主机上,安装“Zeus 2.0.9.15”管理面板。一旦将LINUX环境设置好,Zeus软件(网页文件)只需要从一个ZIP文件中复制出来,然后修改一下文件的权限。安装过程可以从任何Web浏览器中激活。

在安装完毕以后,可以从Web浏览器访问到Zeus的控制面板。

http://p9.qhimg.com/t01842cca7fff8e9878.png

步骤二:生成恶意软件

下一步就是生成Zeus的恶意软件。当然这个恶意软件和新创建的管理服务器或C&C服务器是相配套的。在这个例子中,准僵尸网络控制者是幸运的,因为“Zeus 2.0.9.15”管理面板已经简化了操作流程,非常简单。为了生成Zeus的恶意软件,只需要做以下事件:

1.设置配置参数,其中包括服务器的所有细节。

2.使用提供的细节和JPG图片配置僵尸。利用数字隐写技术,将僵尸的配置数据嵌入到JPG图片中。

http://p2.qhimg.com/t0194fbcb20deb0b2e6.png

经过上面两步,成功将僵尸配置和加密的配置嵌入到了JPG图片中,然后:

3.根据这些组件,生成僵尸主机可执行文件。

4.给这个可执行文件重命名,名称最好和你要进行的任务有关系,如“发票.exe”。

对于雄心勃勃的犯罪份子,更大的挑战是如何传播恶意软件。上面我们已经提到过,他们可以利用另外一个已经存在的僵尸网络。当有新的僵尸上线时,从Zeus的控制面板可以看到,并可以向它们发布命令。

http://p3.qhimg.com/t01464afed84fc1ef07.png

租用一个僵尸网络:僵尸网络.低价.方便

犯罪份子也可以租用一个僵尸网络,只需要一个PayPal帐号、每天付出几块钱,不论是初学者,还是有经验的网络罪犯都可以租用到僵尸网络。“Stressers”和“booters”在网络罪犯圈中非常名,是一个网络犯罪份子提供给客户的在线DDoS工具,通常只需要少量的费用。利用软件即服务(SaaS)的销售模式,普通的DOS套餐只需要每天66美分、或每月19.99美元,豪华套餐需要每月34.99美元。

成功需要规划

更多认真的僵尸网络创业者将要开始一个业务计划,描述了他们的目标受害者、预测收入和成本。安全分析专家估计,如果做法正确,僵尸网络可以争取到成千上万的罪犯和每年数百万美元。考虑到大多数认真的僵尸控制者管理着到少一个僵尸网络,僵尸网络经营者也有可能改变他们的计划、载荷、和不同群体的受害者。

主要的卖点是,可以非常容易的了解僵尸网络和恶意软件开发工具,而且可以便宜的在互联网上采购到,即使是初级用户。如果犯罪份子是初学者,可以通过僵尸网络工具包,利用基本的“点击”来建立自己的僵尸网络,并以最小的努力开始窃取金钱和数据。

全球僵尸分布

根据Cyren公司的数据,下图是僵尸主机的分布:

http://p7.qhimg.com/t01929abafe032a09ba.png

从上图可以看出,印度被控的僵尸主机最多,占到30.69%,伊朗占到了10.43%,其次是越南,8.37%。


七、万能的网络:僵尸网络做了什么


传播恶意软件:为了创建、扩大和维持僵尸网络,恶意软件必须不断的安装到新的计算机中,大多数是经过一个嵌入到邮件中的附件或链接来传播。然而,僵尸网络恶意软件也可能通过入侵网站链接,甚至通过平板电脑或手机恶意软件来传播。并不是所有的恶意软件都是为了扩大僵尸网络。僵尸网络也会传播其它类型的恶意软件,如银行恶意软件或勒索软件。下面的图片显示的是:根据Cyren的跟踪,2016年,数据庞大的含有Locky勒索软件的邮件是通过僵尸网络发送的。

http://p9.qhimg.com/t01198ec2c4547a2f14.png

DDoS攻击:利用连接到僵尸网络的僵尸主机,网络犯罪份子导致受害人系统关闭或拒绝服务,通过发送大量的数据,使网站或系统的任务过载。

垃圾邮件和网络钓鱼邮件:在僵尸网络的帮助下,成千上万的计算机在同一时间工作,可以传播大量的垃圾邮件和网络钓鱼邮件。在2011年,达到了巅峰,僵尸网络发送的垃圾邮件一度超过了每天1500亿封。根据Cyren公司的评估,在2016年第3季度,全球传播的垃圾邮件和网络钓鱼邮件平均每天有568亿封。

http://p0.qhimg.com/t0146b087bcc96820b6.png

 监控:僵尸主机也可以被用于监控和“嗅探”主机中特定类型的文本和数据,如用户名和密码。如果一个机器感染了几个不同僵尸网络的恶意软件,从这个主机上可以嗅探到其它僵尸网络的消息数据,可以收集关键数据,甚至是偷取其它僵尸网络。

键盘记录器:在键盘记录软件的帮助下,僵尸主机收集和键盘有关的具体信息,如和某些关键词有关的字母数字、或特殊字符序列。比如“bankofamerica.com”或“paypal. com”。如果键盘记录软件安装在成千上万的僵尸主机上,那么网络犯罪份子就有能力快速获取到敏感信息。

点击欺诈:想像一下,你通过点击自己网站上的谷歌AdSense广告在赚钱。如果你是一个网络犯罪份子,并且你有自己的网站,使用一个点击欺诈的僵尸网络是有意义的,这些广告将被自己点击,这样你挣钱的潜能就更大了。

在线民意调查和社会媒体操纵:僵尸网络被很好的利用到了美国大选中,各利益团体利用僵尸网络,人为影响社会媒体的网上投票和热门话题。由于僵尸网络中的每个僵尸拥有不同的IP,每张选票或假标签后可能是同一个人。

抢票的僵尸网络:这种类型的僵尸网络软件在网络中价格约750美元,能使网络犯罪份子在多个不同的活动或活动日期中,抢到更多质量最好的活动门票。该软件允许用户买票,再通过卖给别人,从中获利。

全球勒索软件的C&C服务器分布图:

http://p5.qhimg.com/t01c89fbad40f3b66c1.png

上图显示:位于美国的勒索软件C&C服务器占到总数的33.11%,其次是俄罗斯,占到14.29%。


八、僵尸网络的进化:时间线


1988年:Robert Morris.Jr,开发了第一个互联网蠕虫,设计的本意是为了复制自身,进而感染其他连接的计算机,最终建立一个连接的计算机系统,并由他控制。

http://p3.qhimg.com/t015188df7015a48292.png

1999年:一个木马和一个蠕虫,Sub7和Pretty Park被认为是最早的恶意软件,经过IRC 通讯管道来让受害计算机接收恶意指令。

http://p5.qhimg.com/t01d37b79aad456df71.png

2004年:Phatbot,一个Agobot的变种,是第一个用P2P代替IRC的僵尸网络。

2006年:Zeus(Zbot)恶意软件首次出现,使得网络犯罪份子有能力偷取银行凭证,并有了使更多受害者的电脑变成僵尸网络能力。

http://p1.qhimg.com/t015f402dbd418f9863.png

2008年:Grum出现,并在四年的时间内得到很大扩展,每天能传播399亿封邮件。

与此同时,Storm僵尸网络被多次打击、和卸载僵尸主机后,被强制下线。

http://p9.qhimg.com/t0135f56c413c120fc6.png

2010年:Zeus的代码被集成到了SpyEye恶意软件中,并销售给高端的犯罪份子。

与此同时,Waledac僵尸网络在微软的反攻下,被下线。

http://p5.qhimg.com/t012c77893a3df09e77.png

2011年:Gameover Zeus僵尸网络开始使用P2P协议和C&C服务器通讯。

此外,根据Cyren的研究报告,当2011年3月Rustock僵尸网络被下线后,垃圾邮件的数量下降了30%。

2012年:在俄罗斯、乌克兰、巴拿马和荷兰的共同协助下,Grum僵尸网络被下线。

http://p0.qhimg.com/t012d67077bf7f61f9a.png

2013年:安全专家报告了第一个安卓僵尸网络“MisoSMS”。

此外,联合执法部门和私营部门,使多个Citadel僵尸网络下线。

2014年:美国司法部以及多个国家的执法机构,联合控制了Gameover Zeus僵尸网络。

2016年:首个物联网僵尸网络产生,成千上万的设备受到感染。

http://p0.qhimg.com/t01dd0106655421b719.png

2017年&未来:物联网僵尸网络规模会变大,变得更复杂。因为有一些设备,如家电,缺乏有效的安全保护。僵尸网络开发者在建立僵尸网络的能力上,将变得更加有创意和隐密,更加难以瓦解。

http://p7.qhimg.com/t013e7cac7fefd4d2fd.png


九、采访僵尸网络猎人


Cyren的网络安全专家Geffen Tzur谈论了对抗僵尸网络犯罪所面临的成功与挑战。

怎么确定这是一个僵尸网络?

确定一个僵尸网络,您需要从全球各地的各种来源的多个网络交易之间的找到关联。在实际的工作中,一旦你有这个能力,就有多种不同的方法来识别僵尸网络。

在这里我们介绍一种方法,就是尝试识别那些受感染的计算机之间的相关性,使用Web安全网关检测来自不同来源的相同异常现象。例如,犯罪份子在HTTP传输过程中可能利用相同的非标准端口,并将数据发送到相同的目标服务器上。当你汇集数据、分析日志时,你就有可能发现异常情况。同样,一个发送垃圾邮件的僵尸网络通常从多个不同的IP地址发送同样内容的邮件。Cyren的邮件服务器就是使用这种技术来探测垃圾邮件僵尸网络的。

http://p6.qhimg.com/t010c41f4d2ae7d3199.png

安全专家怎么识别P2P僵尸网络?

识别P2P僵尸网络具有很大的挑战性,最大的问题是P2P僵尸网络没有单独的服务器供僵尸主机来通联。可以有多达数千台个人电脑一起工作,并且你有时无法分辨出哪个才是C&C服务器。识别P2P行为通常包括检测来自一台服务器的不同连接的数量—网络犯罪份子是否打开了太多的非标准的目的端口,这种方法在安全解决方案中可以经常看到。

从恶意软件本身可以判断出特定僵尸网络的线索吗?

通过动态分析恶意软件,我们可以检测到典型的僵尸网络引起的行为,如注册代理、操作系统和环境信息采集,和网络识别。然后,这些行为可以被描述成一个配置文件,因此,相同的恶意软件的其他变种可以被标记为相同的僵尸网络。最终,当一个启发式的反恶意软件解决方案发现这些变种之一时,它可以分辨出相同的恶意软件家族。另处,当安全专家分析由僵尸网络传播的恶意软件时,可以通过在沙箱中检测恶意软件的典型行为、识别注册代理行为、僵尸网络行为,以及僵尸网络的网络识别、向C&C发送信息的尝试行为等。

僵尸网络是如何命名的?

安全专家给僵尸网络起名字时,经常基于一些词、短语、或是在二进制代码中看到的字符串。有时也可以基于相关的网络活动,比如服务器的名称或特殊的头部信息。不同的公司可以给出不同的名称。比如,Zeus僵尸网络在行业中有几个名称,如Zbot、Zeus Gameover、Trojan-Spy和Win32.Zbot。实际上,是由安全专家发布的名称,并不一定是僵尸网络所有者选择的名称。犯罪份子可以给僵尸网络起自己的名称,我们并不需要知道。

创建一个僵尸网络需要有专业的知识吗?

实际上,创建一个僵尸网络是相当容易的,不论是有一点基础知识的人、还是专业的人,都可以做到。你可以买一个现成的僵尸网络、或者雇佣别人帮你创建,或者让一个组织为你传播、购买C&C服务器,或者甚至租一个现有的僵尸网络,方法太多了。僵尸网络可被用于各种功能,如银行、垃圾邮件和网络钓鱼、黑客行为、和分布式拒绝服务(DDoS)攻击。我们也看到了创建僵尸网络的专用恶意软件、和僵尸主机专用的恶意软件。这是一个行业、是一个组织,可以提供僵尸网络的租赁和购买,就像是任何合法的服务。其中最著名的一例是Mariposa僵尸网络,三个犯罪份子购买了一个工具包,并创建了它。其实不需要什么特别的技能,我们经常发现一些“入门级”初学者创建的僵尸网络。

像任何其它软件一样,您也可以购买开源版本,使你能够创建一个僵尸网络。但这种软件可以被安全人员很容易的检测到,所以这种僵尸网络的存活时间可能不会太长。对于如何保护僵尸网络,你需要有逃避追踪的专业知识、技能,例如怎么在沙箱中不被激活,尤其是如何才能不被安全人员发现的太快。

怎么做一个功能上像Zeus的银行僵尸网络?

Zeus是一个僵尸木马恶意软件,在2007年到2010年间,感染了数百万台计算机。它通过监听浏览器进程窃取银行信息,检测按键并抓取网页表单数据,经常被人称为浏览器中间人攻击。一旦信息被窃取,它会将信息发送到一个远程主机,该主机通常是一个被控的服务器。然后,僵尸控制者取回这些银行凭证,通过被控的代理,登录到受害人的银行帐户,将钱转移到指定的银行帐户。这个银行帐户通过钱骡网络来控制–这个网络的任务是从这些银行账户取钱,通常设在没有银行监管的国家。然后骡子会将钱转移到僵尸网络控制者的组织中。

勒索软件是僵尸网络的一部分吗?

勒索软件可以依靠僵尸网络来传播,但是在传播以后,它们没有像僵尸网络一样的行为,比如同步操作。僵尸网络是一群计算机在一起工作,以执行连续的攻击。勒索软件和其它被感染的机器之间不需要同步操作。

现在似乎有很多安全公司和组织在跟踪僵尸网络,为什么关闭僵尸网络依然很难?

实际上,目前僵尸网络和恶意软件的数量远远多于安全公司的数量。让僵尸网络下线是一件相当复杂的事件。这一切主要由于超回避恶意软件的存在,他们能躲避安全软件的探测,安全公司发明的新探测方法和超回避恶意软件相比,往往落后一步。至于让僵尸网络下线—-这通常需要执法部门和互联网服务供应商的配合,需要他们来做。在许多情况下,他们与安全厂商没有足够的合作和信息共享。在某些情况下,隐私问题和国家之间的法规又拖延或阻止了这种合作。而让执法部门和政府监管有所改变是很难的。最终,像Cyren这样的保护用户的安全公司,和执法部门相比,能更快的关闭僵尸网络。

租一个僵尸网络需要花多少钱?

这肯定是不一样的,租一僵尸网络的价钱从几千美元到几十万美元都有可能,价钱根据攻击类型、僵尸网络的目的,期望达到了破坏类型等等。

哪个行业是僵尸网络攻击最多的目标?

对银行和其他金融机构的攻击肯定是最多的,对政府的攻击将会继续增长。

僵尸网络在未来会如何发展?

传播勒索软件能得到高回报,它可能会继续让每个人都很忙。预计在未来,我们会看到越来越多的僵尸网络使用P2P架构,这种架构很难被探测到。利用物联网设备的僵尸网络会断续发展,而且会更加复杂。此外,僵尸网络将继续被用于恶意软件和垃圾邮件的传播。


传送门


【技术分享】2017僵尸网络研究报告(下)



原文链接:http://pages.cyren.com

未经允许不得转载:安全路透社 » 【技术分享】2016僵尸网络研究报告(上)

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册