P2P蠕虫病毒开始肆虐网络(上)
P2P(peer to peer)蠕虫正在网络空间到处肆虐。当人们享受着P2P带来的便捷时,病毒也乘机将它作为一种全新的传播通道和生存空间。
一年多来最大规模的电子邮件病毒 Storm 在4月12日开始爆发,它通过垃圾邮件进行大量发送,这次攻击中还出现了新型的转变,垃圾邮件以提醒用户小心检测到的虚假病毒(例如,“Trojan Detected!”,“Virus Activity Detected!”)为标题,从而引诱用户打开Zip文件。用户Storm蠕虫电子邮件中的可执行文件会在系统上安装带有反安全措施的rootkit恶意代码,使病毒扫描引擎无法发现恶意代码的存在,并关闭正在运行的安全软件。然后,该病毒会访问一个秘密的P2P网络,下载新的升级包,从被感染的计算机中上传用户的个人资料,同时扫描被感染PC的硬盘,查找可供发送电子邮件的地址。最终,被感染的PC将成为一个僵尸网络(BotNet)中的僵尸。
据研究人士称,Storm蠕虫迅速流行起来可能意味着得到受控制机器支持的犯罪活动将开始迎来新高峰。这种攻击又因为能够使用专用的对等网络来联系外部的控制服务器,最近得到了P2P蠕虫这一名称。P2P蠕虫的出现印证了后病毒时代的病毒发展趋势:在传播方面新病毒无孔不入,只要哪个互联网应用被广泛普及,哪个应用就会被病毒利用。
对新一代所谓的P2P蠕虫而言,由攻击者控制的被感染计算机组成大规模网络,并将成为强大引擎,使P2P蠕虫得以在网络空间到处肆虐。当人们享受着P2P带来的便捷时,病毒也乘机将它作为一种全新的传播通道和生存空间。
安全专家们预测:由于犯罪分子发现了新的方式,即利用被劫持的PC组成的僵尸网络来发动攻击,这种僵尸网络将成为IT界面临的最艰巨的挑战之一。
僵尸网络环环扣成产业链
网络安全专业公司Arbor Networks的高级软件工程师Jose Nazario认为,更高明的僵尸网络技术加上一群更广泛的破坏者企图利用被攻破的计算机谋利,这两个因素共同催生了一个繁荣的病毒产业,要迅速消灭威胁就更难了。
据专家们称,由于恶意软件编写者、广告软件发布者及行骗分子汇集了僵尸网络使用资源,并寻找利用系统的新方法,类似Storm的大规模P2P攻击会浮出水面。Storm攻击可以通过垃圾邮件进行迅速传播,这一特点类似比较传统的蠕虫活动。
Nazario介绍:“网络僵尸技术越来越容易使用,因为构建僵尸网络的人企图获得更广泛的客户,所以他们势必会把系统做得更容易使用。他们还找到了出于多种目的来销售僵尸网络的途径,随着我们看到僵尸网络在市面上大量涌现,几家主要的犯罪组织似乎也会相互勾结。”
Nazario近期受邀参加了在波士顿举行的名为HotBots的大会。他说,研究人员在会上得出结论,随着洗钱本领高超的犯罪团伙参与进来,并推动这个非法行业发展,规模较大的僵尸网络操纵者正变得更加恣意妄为。由于垃圾邮件发送者和广告软件公司的加入,像Storm这些蠕虫的发作可能会更加频繁。
Nazario说:“大家都想从中渔利,有许多新人进来,其中一些人的骗术比较高明。加上许多人使用僵尸网络提高欺诈性广告的收入,许多下一代垃圾邮件发送者充分利用这些僵尸网络,到处是贪婪的目光,结果也就可想而知。”
跟踪僵尸网络操纵者的研究人员面临的一个问题是,他们能不能渗入这个不法社区,又不会暴露身份。Nazario介绍说,这也是HotBots大会上激烈讨论的一个话题。另一个难题则是僵尸网络行业呈现出国际化的特性,因为许多不法分子来自东欧和亚洲。
Storm在2006年12月以大量的相关垃圾邮件拥塞网络,当时它还只是一种比较简单的特洛伊木马程序,不过已首次开始拉响警报。这种最新的攻击今年4月已衍化成极其邪恶的版本:把自己隐藏在受口令保护的ZIP文件里面,四处分发,从而避开反病毒系统,并且在被感染系统上安装rootkit。
P2P蠕虫病毒开始肆虐网络(下)
警惕僵尸网络变种
研究人士发现,实施攻击的不法分子显得越来越专业化,这是僵尸网络产业在不断成熟的另一个标志。另一个迹象是越来越多的僵尸网络只被每个攻击团伙使用一次,然后就弃之不用。Mcafee公司Avert实验室的安全研究和通信经理Dave Marcus分析,这一方面是由于攻击者更狡猾了,但另一方面是由于人们改进了防御机制。
Marcus说:“我们看到许多僵尸网络只有一个目的,就是获取经济利益。以前,你会看到大多数僵尸网络用于拒绝服务、垃圾邮件、广告软件和间谍软件,而现在越来越多的僵尸网络似乎是为了一个目的而构建的。显然,攻击者目的明确,只盯住最有利可图的方法,比较狡猾的攻击者还尽量不露出马脚。”
虽然2001年到2004年间传统的自我复制型蠕虫是攻击者的首选方式,但研究人士认为,来自僵尸网络的新型蠕虫会成为大规模攻击的一种流行平台,直到它们遭到阻拦,对此IT安全界应当有所防备。
专家们坚持认为,针对特定人群实施的有目标、小范围的攻击可能会让恶意软件编写者和网络犯罪分子获得最大的经济回报。不过近期袭击互联网的新病毒可能比较容易被发现,相对来说危害不大。
圣何塞软件开发商Secure Computing的首席研究科学家Dmitri Alperovitch说:“我们对基于电子邮件的蠕虫见怪不怪,但蠕虫基于Web进行传播的途径确实没有得到充分利用,所以这应当不足为奇。Storm只是早期利用这个机会的重大攻击之一,不过完全有理由相信:由于僵尸网络问题的严重性,我们可能还会看到更多的攻击。”
链接:何为僵尸网络
僵尸网络(BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被攻击者随意“取用”。因此,僵尸网络不论是对系统安全还是用户数据安全来说都极具威胁的隐患,僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸网络是目前互联网上黑客最青睐的作案工具。
网友评论