智东西(公众号:zhidxcom)
译 | 连然
僵尸网络—— 以着大量的僵尸软件控着互联网, 最近又出现在大众视野中。僵尸网络是由感染了相同的恶意软件构成的计算机网络,使得僵尸牧民能够在计算机所有者不知情的情况下远程控制并霸占这些计算机。僵尸牧民能够给计算机的网络发送指令以命令和控制服务器,窃取信用卡密码和银行凭证,并用它们来发动对网站的DDoS攻击,提供垃圾邮件和其他恶意软件,制造广告欺诈。
FBI 调查局局长James Comey本月在参议院司法听证会上提到了僵尸网络。参议员Sheldon Whitehouse,此前曾将僵尸网络比做“邪恶的存在”,向Comey谈到互联网最大的祸害时,Comey称僵尸网络没一个好货。
“不管他们是朝着你来,还是站在原地不动,这都是不好的。” Comey说。 “我不知道的有哪个僵尸网络有什么好的目标。”
僵尸网络已经存在了十多年并且已经成为袭击者最频繁使用来攻击机器和赚快钱的方法。僵尸网络攻击的工业体系,在全球已经导致超过1100亿美元的损失。估计每年有5万台电脑会遭到僵尸网络的攻击,也就意味着每秒约有18台电脑受害。
1988年出现的莫里斯蠕虫病毒,有时会被称作第一个僵尸网络。但是,虽然这个病毒感染了数千台在ARPA网(互联网的前身)上的计算机,它也并不是我们今天所定义的真正的僵尸网络。Robert Morris, Jr,莫里斯病毒的发布者并没有能够控制被感染的机器也没能从中赚到一分钱,而只能任由病毒无限地扩散。
今天的僵尸网络经常成伪装运转良好的企业,其实是由数百万台受感染的机器组成。
Coreflood,是在法律约束出现之前的十年左右最泛滥的僵尸网络,一台 Coreflood服务器在一年内可以控制超过两百万台的机器,并从中积累超过190千兆字节的数据。僵尸网络让网络罪犯从受害 的机器上掠夺大约数百万美元,包括从密歇根州的房地产公司账号得到的115000美元和南卡罗来纳州的律师事务所的78000美元。
很多时候,控制僵尸网络的攻击者不仅将其用于自己的犯罪计划,而且还会把它租给其他的攻击者进行DDoS攻击和数据窃取的操作。
Bredolab 僵尸网络,劫持了30多万台机器,就是一个例子。Georgy Avanesov,一个27岁的亚美尼亚裔的俄罗斯公民,在2009年开发了Bredolab 用于吸取银行帐号密码,并从受感染的计算机获取机密信息。当局说,Avenesov通过出租其僵尸网络给其他的犯罪分子来传播恶意软件,分发垃圾邮件,进行DDoS攻击,每月能够赢得125,000美元的收入。
名为SpyEye和Zeus的僵尸网络也已经非常普遍,并为他们的开发者带去了很大的收入——通过窃取受害人的银行凭证,和从账户自动窃取资金。Zeus僵尸网络的作者在2008年把它卖给了犯罪团伙,感染了超过13万台机器,并窃取了超过了1亿美元的资金。
2007年,美国联邦调查局开始打击僵尸网络,并将行动命名为Bot Roast。一个叫John Schiefer的男子成为第一个被以僵尸网络犯罪名义调查的案件嫌疑人。但值得注意的是,他被控以窃听法规,而非计算机欺诈和滥用法案。他的僵尸网络的恶意软件感染了约25万台机器,并窃取了PayPal上大量的用户名和计算机用户的密码。
当局打击僵尸网络的方法并非没有争议。2011年, FBI 使用了一种新的方法来消灭Coreflood僵尸网络,其获得了法院命令去抓僵尸网络服务器的控制者,并将代码发送到被感染的机器上以帮助它们禁用恶意软件。一家私人安保公司就尝试了这样的做法。但是Electronic Frontier Foundation将这种做法称为是“非常粗略”的举动,因为无法预测代码对会机器可能造成的负面影响。不过目前尚无不利影响的报道,并且,根据由联邦调查局公布的数字,该操作在一个星期内帮助了近70万台机器免于遭受僵尸网络的恶意软件袭击。
微软用来对付僵尸网络的另一种方法就没有这么好使了。在2014年,微软获得法院命令抓住了控制了二十多个域名的被称为Bladabindi(又名NJrat)和Jenxcus(又名NJw0rm)的两个不同的家庭僵尸网络的恶意软件。微软并没有给被感染的机器发送任何命令,但在抓住恶意域名和禁用僵尸网络命令结构的过程中,微软还缴获了DNS提供商No-IP.com控制的许多合法的域名,从而造成了该网站数百万客户的下线。微软最终承认了错误,并扭转了行动,为这些客户恢复了合法的服务,不过此次行动也恰好揭示了对僵尸网络的重手镇压会产生意想不到的后果。
在过去十年袭击了互联网的僵尸网络里,有一个仍然是不解之谜。 Conficker蠕虫僵尸网络在2008年大约感染了1200万台机器,至今也仍然在感染。该僵尸网络使用了对当时来说相对新奇和复杂的方法时,即采用动态DNS来防止其指挥结构被取下。安全研究人员的工作团队工作了几个月来以避免被感染但最终还是失败了。不过Conficker被证明是相当虎头蛇尾的软件,而且从来没有人能够确定它的初衷是什么。此前恶意代码曾显示Conficker僵尸网络将于2009年4月1日发动攻击,尽管没有人知道这到底意味着什么,不过在等待该日期的日子里,很多人对Conficker攻击者将如何利用其庞大的电脑军团去攻击互联网的基础设施发表了可怕的预言。但是,在4月1日的最后期限过去后,并没有发生任何事件。 2011年,在乌克兰当局与美国当局的协同工作中,破获到一个72万美元的网络犯罪圈在使用Conficker,不过目前还不清楚他们是否是Conficker的初始传播还是只是简单地劫持了被Conficker感染的机器以在其上安装和传播其他恶意软件,窃取银行凭证等等。
尽管已经成功地取缔了许多僵尸网络,僵尸网络也有在衰减的迹象。但是根据业界估计的感染率,就在你在读这篇文章的几分钟内,又会有超过三千台机器被僵尸网络所感染,形势依然很严峻。
