資深安全顧問(wèn)解讀：僵尸網(wǎng)絡(luò)的興衰演變

Win7之家（ afsion.com.cn）：資深安全顧問(wèn)解讀：僵尸網(wǎng)絡(luò)的興衰演變

　　在《資深安全顧問(wèn)解讀：僵尸網(wǎng)絡(luò)的發(fā)展歷史》一文中，Rik Ferguson向我們介紹了僵尸網(wǎng)絡(luò)的初期發(fā)展史。這里我們將看到僵尸網(wǎng)絡(luò)的興衰演變。

　　組織化犯罪

　　大約在2003年左右，僵尸網(wǎng)絡(luò)Botnet的非法利用價(jià)值逐漸開(kāi)始明朗化。在2000年左右，散發(fā)垃圾郵件基本上還是一種“在家SOHO”的行業(yè)，而大量的垃圾郵件則大多透過(guò)專(zhuān)屬的服務(wù)器農(nóng)場(chǎng)、公共代理服務(wù)器或者是遭到入侵的服務(wù)器來(lái)傳送。不過(guò)，Bagle、Bobax和Mytob 的出現(xiàn)，徹底改變了這樣的情況。Bagle和Bobax是最早用來(lái)散發(fā)垃圾郵件的兩個(gè)Bot網(wǎng)絡(luò)，而Mytob惡意軟件則基本上是大量郵件散發(fā)蠕蟲(chóng)MyDoom以及Bot網(wǎng)絡(luò)SDbot的合體。從此，網(wǎng)絡(luò)犯罪者只要建立一個(gè)大型的Bot網(wǎng)絡(luò)，就能利用這些受害的計(jì)算機(jī)來(lái)散發(fā)垃圾郵件，這樣不但機(jī)動(dòng)性和彈性更高，最重要的是，能夠躲避執(zhí)法機(jī)關(guān)日漸積極的封鎖行動(dòng)。

　　接下來(lái)，我們就開(kāi)始目睹許許多多知名僵尸網(wǎng)絡(luò)Botnet的興衰演變，而最早的垃圾郵件專(zhuān)用Bot網(wǎng)絡(luò)，就是2004年出現(xiàn)的Bagle和Bobax。Bobax最后在2008年因?yàn)閻盒曰ヂ?lián)網(wǎng)服務(wù)供貨商McColo遭到封鎖而受到重創(chuàng)，最后也因此消聲匿跡。

　　RuStock最早出現(xiàn)在2006年，同年還有目前相當(dāng)惡名昭彰的ZeuS犯罪程序家族RuStock也是一種垃圾郵件Bot網(wǎng)絡(luò)，而ZeuS則是一種信息竊盜工具。從此開(kāi)始，ZeuS幾乎已成了最廣泛使用的信息竊盜犯罪工具。ZeuS的作者一直不斷在開(kāi)發(fā)、測(cè)試并釋出新版的程序，因此其功能不斷增加，也不斷改進(jìn)。由于新的版本已開(kāi)始對(duì)外販賣(mài)，而且價(jià)碼很高，因此，舊版的就被放到網(wǎng)絡(luò)上供人免費(fèi)散播。通常，這些舊的版本都含有網(wǎng)絡(luò)犯罪者所暗藏的后門(mén)，因此，用了這些舊版程序的犯罪新手，也同樣成了受害者。免費(fèi)犯罪工具的出現(xiàn)，不僅降低了網(wǎng)路犯罪的進(jìn)入門(mén)坎，也鼓勵(lì)了更多有意從事網(wǎng)絡(luò)犯罪的人加入行列。不過(guò)，ZeuS并非網(wǎng)絡(luò)上唯一唾手可得的工具，還有許多其他工具在彼此競(jìng)爭(zhēng)，不過(guò)都是針對(duì)非專(zhuān)家所設(shè)計(jì)，提供了簡(jiǎn)單的點(diǎn)選式感染計(jì)算機(jī)管理接口。

　　2007年出現(xiàn)了知名的Storm Bot網(wǎng)絡(luò)以及Cutwail和Srizbi。來(lái)年，Asprox現(xiàn)身，請(qǐng)記住，這些只是外面數(shù)千種Bot網(wǎng)絡(luò)當(dāng)中幾個(gè)較知名的個(gè)案。目前，Shadowserver Foundation(影子服務(wù)器基金會(huì))所追蹤到的幕后操控服務(wù)器已將近6000臺(tái)，即使是這么高的數(shù)字也無(wú)法涵蓋所有的Bot網(wǎng)絡(luò)。趨勢(shì)科技不論在任何時(shí)間點(diǎn)都可追蹤到數(shù)千萬(wàn)臺(tái)用來(lái)散發(fā)垃圾郵件的Bot感染計(jì)算機(jī)，而這項(xiàng)數(shù)據(jù)還不包括其他用來(lái)竊取信息、分布式阻斷服務(wù)攻擊(DDoS)或其他網(wǎng)絡(luò)犯罪行動(dòng)的Bot感染計(jì)算機(jī)。

　　反擊

　　從過(guò)去到現(xiàn)在，已經(jīng)出現(xiàn)過(guò)多次成功封鎖不法網(wǎng)絡(luò)服務(wù)供貨商的聯(lián)合打擊行動(dòng)，這些服務(wù)供貨商是僵尸網(wǎng)絡(luò)Botnet的幕后操控基礎(chǔ)架構(gòu)。2008年，互聯(lián)網(wǎng)服務(wù)供貨商 Intercage/Atrivo的封鎖行動(dòng)幾乎摧毀了Mega-D Bot網(wǎng)絡(luò)，但幾星期后，該Bot網(wǎng)絡(luò)又以復(fù)仇之姿死灰復(fù)燃。前面曾經(jīng)提到2008年的McColo封鎖行動(dòng)，McColo幾乎和任何犯罪活動(dòng)都沾上邊，例如，它提供主機(jī)代管服務(wù)給：Srizbi、重新復(fù)活的Mega-D、RuStock、Asprox、Bobax、Gheg、Cutwail等Bot網(wǎng)絡(luò)的幕后操控服務(wù)器。當(dāng)年11月，當(dāng)McColo被切斷互聯(lián)網(wǎng)聯(lián)機(jī)之后，全球垃圾郵件數(shù)量幾乎驟降了80%。不幸的是，在2009年1月，垃圾郵件數(shù)量又回到了原來(lái)的水平。2009年6月，因特網(wǎng)服務(wù)供貨商3FN遭到美國(guó)聯(lián)邦貿(mào)易委員會(huì)停業(yè)處分。停業(yè)的當(dāng)天是星期五，當(dāng)時(shí)3FN仍提供代管服務(wù)給一些Cutwail幕后操控服務(wù)器。Cutwail雖然遭到重創(chuàng)，但卻立刻在星期一恢復(fù)正常運(yùn)作，不過(guò)同年的八月，Cutwail又遭到另一次重創(chuàng)。歷史的經(jīng)驗(yàn)告訴我們，網(wǎng)絡(luò)犯罪所提供的利益太過(guò)龐大，歹徒不可能輕言放棄。

　　公共機(jī)關(guān)與私人機(jī)構(gòu)針對(duì)僵尸網(wǎng)絡(luò)Botnet所采取的聯(lián)合行動(dòng)，迫使歹徒必須不斷想出新的花招。每當(dāng)有新的科技出現(xiàn)，歹徒就會(huì)找出一些新的辦法來(lái)利用這些技術(shù)，有時(shí)是用來(lái)提高獲利，有時(shí)是增加擴(kuò)充性和彈性，有時(shí)則是讓他們更容易偽裝。

　　一開(kāi)始，幕后操控服務(wù)器的IP地址都是寫(xiě)死在每個(gè)Bot程序當(dāng)中，因此惡意軟件研究人員很容易發(fā)現(xiàn)它們的行蹤，所以就容易遭到封鎖，但是歹徒現(xiàn)在已從失敗中記取教訓(xùn)。例如，Cutwail就導(dǎo)入了備援聯(lián)機(jī)的概念。每一個(gè)Bot程序都能透過(guò)加密算法每天產(chǎn)生一個(gè)新的幕后操控主機(jī)名。歹徒自己當(dāng)然很清楚每天所算出來(lái)的主機(jī)名為何，因此只要適時(shí)打開(kāi)對(duì)應(yīng)的通訊管道即可。Conficker的歹徒也運(yùn)用了類(lèi)似的技巧，不過(guò)它更厲害，每天可產(chǎn)生50,000 個(gè)新的主機(jī)名!歹徒只要使用其中的一個(gè)網(wǎng)址就能達(dá)到目的，但信息安全產(chǎn)業(yè)卻必須全數(shù)攔截，不能錯(cuò)放任何一個(gè)。別忘了，從Conficker首度出現(xiàn)至今已經(jīng)將近二年的時(shí)間，但目前網(wǎng)絡(luò)上還有大約6百萬(wàn)臺(tái)Conficker感染計(jì)算機(jī)。除了垃圾郵件、阻斷服務(wù)、信息竊盜、黑函和勒索之外，Bot網(wǎng)絡(luò)還進(jìn)化成一種高效率的軟件發(fā)布網(wǎng)絡(luò)，專(zhuān)門(mén)供犯罪之用。歹徒可付費(fèi)使用龐大的Bot網(wǎng)絡(luò)，將新開(kāi)發(fā)的惡意軟件植入已感染的計(jì)算機(jī)。例如，垃圾郵件Bot程序可進(jìn)一步用來(lái)散發(fā)信息竊盜程序，此外，假防病毒軟件與勒索程序也是歹徒透過(guò)Bot網(wǎng)絡(luò)增加已感染計(jì)算機(jī)潛在獲利商機(jī)的最?lèi)?ài)工具。事實(shí)上，許多歹徒只要將自己的Bot網(wǎng)絡(luò)出租就能獲利，不必親身參與垃圾郵件、DDoS或信息竊盜行動(dòng)。

　　注：本文是《僵尸網(wǎng)絡(luò)發(fā)展歷史探討》系列三篇文章的第二篇，此系列文章將討論僵尸網(wǎng)絡(luò)Botnet的發(fā)展歷史與演變。