因加剧恶意软件、垃圾邮件和网络钓鱼行为而变得臭名昭著的僵尸网络——Pushdo/Cutwail现在仍然是一个威胁,即使安全研究团队和互联网服务供应商(ISP)企图通过去除其命令控制型(command-and-control)基础设施来削弱僵尸网络。
上周,来自恶意软件分析公司LastLine的研究人员发现Pushdo僵尸网络背后有30个命令控制型服务器和8个托管供应商。在联系过负责那些托管服务器的互联网服务供应商后,该公司成功地去除了20个服务器。从8月23日至8月25日,来自Pushdo的垃圾邮件数量明显下降,这只占全球垃圾邮件数量的一小部分。
LastLine公司的高级威胁分析师Thorsten Holz在博客中写道:“不幸的是,并非所有的供应商都有回应,因此一些命令控制型服务器现在仍然在线。”
Holz在一封电子邮件中表示,研究团队的目的并不是击垮僵尸网络,而是利用从命令控制型服务器收集的数据来测试新的工具,这种新工具可以用来分析各种僵尸网络的恶意软件数据。
根据FireEye公司进行的关于Pushdo僵尸网络的分析,虽然LastLine公司采取的行动削减了僵尸网络的力量,但是其背后的网络罪犯正在逐步壮大。供应商的安全研究人员在中国、俄罗斯、德国和美国发现了主动备份的命令控制型服务器。几天后,活跃的服务器开始启用它们,从而使其重新起作用。这样,僵尸网络Pushdo就复活了。
安全研究工程师Atif Mushtaq在FireEye的研究博客中写道:“不幸的是,关闭Pushdo的尝试只是暂停了两天的垃圾邮件。这次,备份[命令控制型服务器] CnC真的救了他。”
像LastLine、FireEye这样的公司企图削减Pushdo的同时,也迫使网络犯罪分子继续前进。大约过了一个月,安全厂商的honeypots检测到Pushdo的新变种。据Mushtaq称,网络罪犯不急于转移到新的命令控制型服务器。他们等待着研究人员将注意力转移到其他僵尸网络,然后在几个星期之后慢慢复苏。
LastLine公司的行动表明在很多国家内控制命令控制型服务器上的僵尸网络有多么困难。安全研究人员表示,技术完全允许我们去除僵尸网络,但他们针对僵尸网络的行动被隐私法(用来保护计算机用户)所限制。
发现僵尸网络控制器并有一个合作主机的研究人员,通常可以看到那些黑客的文件。但现在许多命令控制型服务器不再存取数据。SecureWorks公司恶意软件研究主管Joe Stewart说,在一些不友好的国家中,它们被用作服务器的反向代理。
Stewart说:“即使你记下这些中间服务器(可能位于美国),所有的真实数据有时被托管到另外一个终端。只需要他们在某处找到一些便宜的主机然后重新定义网络流,僵尸网络备份就能得以加速。对僵尸网络经营者来说,获得这种分布式体系结构是很容易的。”
Stewart说,安全研究人员对学习命令控制型服务器很感兴趣,希望借此来理解内置在它们之中的功能。研究人员想看看后端代码并检查脚本来找出所有机器人的功能。
Stewart说:“通常如果尝试访问僵尸网络控制器,我就可以得到磁盘映像。它能找出恶意软件出处、可能的作者及出售的地点。我们也试图找出能更好地跟踪恶意软件工具包和作者活动的方法。”
关注僵尸网络探测的安全公司Damballa的研究副总裁Gunter Ollmann表示,真正消除一个僵尸网络的方法是同时消灭其所有的命令控制型服务器。流氓网络供应商的存在和一些国家有关网络犯罪法律的匮乏使这项工作更难进行。
Ollmann说:“如果你遗漏了一个命令控制型服务器,僵尸网络仍然会持续下去,甚至还会随着命令控制型服务器新列表进行更新,然后你又功亏一篑了。”
尽管如此,但Ollmann也表示,现在,研究人员可以更好地识别和监测流氓服务器。主要的互联网服务供应商也在监测网络流量方面做得越来越好,从而更好的检测那些试图连接命令控制型服务器的计算机。这样,互联网服务供应商可以建立一个高强度的保护,切断向被感染的主机的互联网流量。
Ollmann说:“一些供应商正在改变他们的服务条款和补充条款,这些补充条款允许他们为他们的客户提供这种水平的服务。同时他们也从他们的客户那儿得到反馈,那就是当用户受到影响时,用户想要收到警告。”
