建造僵尸网络有利可图,而并非如你所认为的那样难,上周的黑帽大会的发言人如是说。
上周,一位安全研究人员在黑帽大会上说,如果你在考虑网络犯罪的生活,那么构建一个僵尸网络就是开始的最佳选择。
Damballa 的研究副总裁Gunter Ollmann作了构建僵尸网络业务的演讲,题为“成为拥有六百万美元的人”。他的展示一步一步描述了成为一个僵尸网络运营者所需要的技术和业务过程。
Ollmann说,“构建僵尸网络并不像你所认为的那样困难或令人恐慌” “你无需成为一名专家级的罪犯。现在,有工具、指南、厂商,还有赞助人。这正像其它业务一样—只要你别被抓住。”
像其它业务一样,僵尸网络的运作通常是从一份商业计划开始的。许多僵尸网络的操作者先针对自己认为有价值的特定受害人或数据集构建僵尸网络。如果其运作顺利,会有大量的潜在收入,每年可达6000000美元之多。
许多犯罪分子会首先使用一些现成的僵尸网络工具包,如Zeus 或 Butterfly,并在一些开放的环境播撒种子。他们使用动态DNS Dynamic DNS实现指挥和控制,并使用多个指挥控制服务器,使其自身更难以被跟踪。
Ollmann 说,“第一个僵尸网络通常是一个概念验证,而不是一个生产网络。”他说,你要验证原理并进行测试。一旦操作者建立了最初的僵尸网络,他或她就开始营造名声和信任,这会使得在未来的僵尸网络上构建和销售服务更容易。
不过僵尸网络的操作者由于在这些早期阶段所犯的错误而最终会被抓住。他们几乎总在犯错误,而他们总在学习。如,他们使用一个以前用过的化名,或者使用一个可被跟踪到的信用卡。Mariposa的操作员被抓了,因为其中的一个操作员从家里的IP地址拨号进入。开始阶段所犯的错误可能是致命的。
Ollmann表示,许多成功的僵尸网络操作者实际上掌控着不只一个僵尸网络。有一个常见的错误观念,认为一个僵尸网络只有一个管理员。但是聪明的经营者不会失去任何机会,所以他们可以获得更多。
聪明的操作者还变化他们的操作手段。他们可以针对不同的受害者群体,围绕不同的主题构建僵尸网络,或进行不同的攻击。一些僵尸网络可以用来传送恶意软件,而有些僵尸网络只是简单地发送垃圾邮件。
Ollmann 的公司,即Damballa,每星期都检测到大约30到50个新的僵尸网络操作者。Ollmann说,这并没有什么入门障碍。虽然业界的研究人员通常关注最大的僵尸网络,但最成功的操作者是那些保持其网络小型化的人,这样才不会引起很多注意。
Ollmann说,他们越明目张胆,就越有可能被检测到。这可不是犯罪分子所希望的。事实上,针对特定公司或用户群体(如有钱的经理)的小型僵尸网络可能要比大得多的僵尸网络更有利可图。
僵尸网络的操作者正成为网络犯罪基础体系中的一个重要部分,而且对他们的服务需求日益增加,这对于新的操作者来说是一个很有吸引力的切入点。你并不需要很多技术知识,而且你并不需要成为一个强硬的罪犯。借助于互联网上随时可以得到的工具和服务,你就可以开始了。