十大垃圾邮件的僵尸网络

根据最新统计,全球95%的电子邮件为垃圾邮件,而这大部分要归功于僵尸网络。本文中,作者将向大家介绍我们周围的以发送垃圾邮件为主要活动的僵尸网络。

在准备这篇文章前,我首先研究了三篇博客文章 ,这三篇文章引发了我对垃圾邮件僵尸网络的重新思考。对此类僵尸网络的排名并不像我之前想象的那么简单。该系列文章的作者Terry Zink认为此类排名应该有一定的逻辑顺序:

僵尸电脑的数量 发送的垃圾邮件字节数 发送的垃圾邮件数量 从宏观角度看,这之间的先后顺序没有什么重要性。但是技术专家们喜欢细节。计算僵尸电脑的数量或发送的字节数就已经可以用来排序了。也许在加上发送邮件的数量就更是足够了。

实际不是这样的。僵尸网络拥有足够的智能性,它会将创建的一个垃圾邮件发送给不同的接受者。在统计垃圾邮件数量的时候就出现了另一个统计因素。

是不是没看懂?我也是。为了让一切更简单,我对比了不同僵尸网络的各种属性,最终总结出了一个排名。这个僵尸网络的排名是以垃圾邮件活动量来统计的,还包含了僵尸网络的名气。

1: Grum (Tedroo)

Grum 可以说是垃圾邮件僵尸网络的未来。它采用了内核模式的rootkit ,因此很难被检测到。同时它还很狡猾,采用自动执行的注册项来感染文件。这保证了恶意代码可以被有效激活。对于安全研究人员来说,这个垃圾邮件僵尸网络是非常值得研究的。它的规模相对较小,仅有60万台僵尸电脑,但是它每天发送的垃圾邮件数量占每日总垃圾邮件数量的四分之一,即400亿条。

Grum 发送的垃圾邮件大部分跟制药行业有关,具体内容我就不说了。很明显,这里面有与内容相关的资金支持。

2: Bobax (Kraken/Oderoor/Hacktool.spammer)

Bobax 多多少少与Kraken 僵尸网络有联系,这是让僵尸网络追踪者困惑的一点。最近Bobax 又一次改写了代码,该作者将命令和控制流转变为了HTTP形式,使之更难以被拦截和追踪。

目前,Bobax 仅拥有10万台僵尸电脑,但是每天发送的垃圾邮件数量达270亿条,占全球每日垃圾邮件数量的15%。更具体一点,每台僵尸电脑每分钟就能发送出1400 封垃圾邮件。Bobax 的垃圾邮件内容种类多样,看上去属于租用形式。

3: Pushdo (Cutwail/Pandex)

Pushdo 是在2007年和另一个僵尸网络 Storm同时出现的。Storm已经不复存在了,但是Pushdo 却越来越强大,每日从大约150万台僵尸电脑中发送190亿封垃圾邮件。 Pushdo 是一个下载器,通过它可以进入被感染的电脑系统,并下载垃圾邮件程序Cutwail。

Pushdo/Cutwail僵尸网络发送的垃圾邮件内容很杂,包括医药产品,网络赌博,网络钓鱼邮件以及链接到包含恶意代码网站的邮件。

4: Rustock (Costrat)

Rustock 是另一个至今仍然幸存的僵尸网络。在2008年McColo 关闭的时候,这个僵尸网络几乎被灭掉。但是如今它不但卷土重来,而且成为了规模最大的僵尸网络,拥有大约200万台僵尸电脑。在McColo之前,Rustock曾经发送了海量的垃圾邮件,然后进入了数个月的蛰伏期。如今,Rustock的特点是指在早上三点到七点间(美国东部时间)发送垃圾邮件。

Rustock 以用图片文件伪装合法新闻邮件的方式广为人知。对于大多数垃圾邮件过滤软件来说,图片垃圾邮件都是难以检测的。另外,Rustock还发送常见的药品广告和基于Twitter的垃圾邮件,每日发送垃圾邮件总量在170亿封左右。

5: Bagle (Beagle/Mitglieder/Lodeight)

Bagle 这个僵尸网络是因为其作者的勤奋而出名的。从2004年起,它被修改了上百次。两年前,这个僵尸网络的开发者决定要利用Bagle挣钱,于是开始兜售电子邮件地址库。

如今的Bagle僵尸网络扮演者中继代理服务器的角色,它将上家的垃圾邮件转发给最终的用户。Bagle最多拥有大约50万台僵尸电脑 ,但是每天的垃圾邮件发送量高达140亿封。

6: Mega-D (Ozdok)

Mega-D 是否是一个有名的僵尸网络,这取决于你的观点。在2009年11月,FireEye 的研究人员本可以通过注销该僵尸网络命令和控制服务器域名的方式关停这个网络。但是由于Mega-D 软件有一定的智能性,不断的重新生成新的域名,最终使得开发者重新控制了这个网络。

在前十大僵尸网络中, Mega-D算是规模最小的了,它只有大约5万台僵尸电脑。但是从每日发送110亿封电子邮件的数量看,它可一点也不小。如果用每台电脑每分钟发送的垃圾邮件数量来排名,Mega-D仅次于Bobax。 Mega-D的垃圾邮件内容包括网上药店的广告,以及男性功能增强药物广告。

7: Maazben

Maazben 是在2009年6月才出现的新僵尸网络,不过它也引起了研究人员的高度兴趣。Maazben 是第一个既可以 基于代理服务器也可以基于模板的僵尸网络。垃圾邮件发送者们喜欢使用基于代理服务器的模式,因为代理服务器可以将发送源隐藏起来。但是如果被感染的僵尸电脑位于NAT设备后方,基于代理服务器的方式就无法工作了。

而新的技术肯定是有效的,因为Maazben的扩张速度惊人,其规模每月增长5%,在前十大僵尸网络中属于增长最快的僵尸网络。目前Maazben 拥有约30万台僵尸电脑,每天发送关于赌博的垃圾邮件25亿封。

8: Xarvester (Rlsloup/Pixoliz)

Xarvester 是在 McColo关停后浮现在人们视野里的。研究者认为Xarvester僵尸网络是从关停的前辈那里继承了不少僵尸电脑。研究人员还发现了 Xarvester和另一个僵尸网络Srizbi (McColo数据中心关停后受到影响的一个僵尸网络)之间的很多类似之处。

目前Xarvester僵尸网络拥有6万台僵尸电脑,每日发送垃圾邮件25亿封。其中主要内容是药品广告,虚假文凭,山寨手表以及针对俄罗斯的垃圾邮件。

9: Donbot (Buzus)

Donbot僵尸网络 相当独特,它是第一批使用缩短网址的僵尸网络,目的是隐藏垃圾邮件中的恶意链接地址。这么做可以有效增加邮件中链接的点击率。另外Donbot 看上去还被分割成了几个独立的小部分,每个小的僵尸网络负责发送不同类型的垃圾邮件。

Donbot 拥有10万台僵尸电脑,每天发送的垃圾邮件量为8亿封。邮件的内容多样,从减肥药到股票债券等都有。

10: Gheg (Tofsee/Mondera)

第十大僵尸网络拥有三个明显的特点。首先,该僵尸网络发送的垃圾邮件按中,大约85%的垃圾邮件源自韩国。其次,Gheg 是为数不多的从命令和控制服务器到终端电脑间通过443端口采用非标准SSL连接和加密数据传输的僵尸网络。第三,Gheg可以选择如何发送垃圾邮件。它可以作为传统的代理式垃圾邮件发送电脑,也可以通过被感染的网络电子邮件服务器发送垃圾邮件。 Gheg拥有6万台僵尸电脑,每天发送4亿封垃圾邮件,内容集中在制药行业。

汇总

Symantec 的Daren Lewis 为MessageLabs 持续跟踪多个僵尸网络,他总结出了一些令人惊讶的数字。下面是几个主要数字:

全球80%的垃圾邮件来自以上十大僵尸网络 以上十大僵尸网络每天发送1350亿封垃圾邮件  以上十大僵尸网络包含了500万台被感染的电脑 这些数字现在可能已经变得更糟糕了,而各个垃圾邮件过滤机构并没有为减少垃圾邮件数量做出什么实质性的工作。

总结

以上就是我要说的。目前我还不打算丢掉任何垃圾邮件过滤设备或取消此类服务。更糟糕的是,我看不到那些反垃圾邮件的研究机构在不远的将来能推出什么有意义的反垃圾邮件举措。

[内容更新]: 我不久前刚收到来自MessageLabs的邮件。Symantec的研究机构发布了2010年2月份安全情报报告 ,里面有很多有价值的信息。我觉得应该跟大家分享一下。

该报告指出, Grum和 Rustock已经成了重量级的僵尸网络,这两个网络发送的垃圾邮件占全球垃圾邮件总数的32%。下图(来自MessageLabs)显示了十大垃圾邮件僵尸网络的活动情况。绿色的是Rustock,紫色代表Grum.

十大垃圾邮件僵尸网络

两个额外需要注意的变化:

只有不足1%的垃圾邮件包含附件 垃圾邮件的体积也有所下降。垃圾邮件发送者正在将图片邮件和隐藏链接结合起来。 MessageLabs 表示这两点变化都会降低垃圾邮件的体积,使得僵尸网络每分钟可以发送更多的垃圾邮件。