黑客利用Zombies威脅網絡安全

電腦犯罪分子正在采用新的基于Web的技術控制已經被他們挾持的計算機——即所謂的 zombies。以前，他們總是利用網際網路聊天服務發送指令，但是，這種方法使他們冒有洩露zombies和他們自己位置的風險。　　安全廠商Simplicita的技術總監羅布表示，黑客們這樣想：你們在探測我的流量，我會努力隐蔽得更深。這種政策的變化加大了發現網絡上 zombies的難度，安全專業人士利用黑客們的工具偵察黑客也更困難了。另外，轉向基于Web的控制也加大了zombies對企業和其它機構的威脅，因為這種方法不會象以前的技術那樣會被輕易地攔截。

　　Zombies已經成為網際網路上最嚴重的問題之一。通過軟體中的缺陷、蠕蟲、特洛伊木馬病毒，惡意的遠端控制代碼能夠使計算機成為zombie，然後秘密地在背景運作，使黑客在使用者不知情的情況下向系統發送指令。

　　微軟今年早些時候釋出的報告顯示，Zombie是對Windows PC最普遍的威脅。在2005年1月-2006年3月之間，随同微軟更新檔軟體釋出的一款安全工具從約350萬台PC上删除了至少一個版本的惡意遠端控制軟體。

　　電腦犯罪分子通過将他們控制的Zombie聯結成botnet獲得經濟利益。利用botnet，他們威脅對機構的網絡發動拒絕服務攻擊勒索金錢，托管釣魚欺詐攻擊網站、發送垃圾郵件。黑客還會在Zombie上安裝廣告件和間諜件，從這些軟體開發商那裡獲得收入，或者出售收集的使用者資料。

　　安全研究人員發現，zombie與它們的“宿主”通訊的方式使得發現zombie相對容易。目前，電腦犯罪分子通過IRC控制大多數的botnet。 IRC使黑客能夠實時地控制他們的botnet。一旦計算機被感染，它就會與一台聊天伺服器連接配接，等待黑客的控制指令。但是，安全研究人員可以潛伏進聊天室，對黑客進行監聽，甚至确定他們的身份。另外，IRC使用它自己的網絡協定。羅布說，IRC不象其它協定那樣常見，它有自己的特征，安全研究人員可以利用技術發現IRC流量。

　　ISP已經封殺了被zombie利用的IRC伺服器的流量，許多機構利用防火牆和入侵探測系統等網絡安全措施封殺IRC流量，這就使得特定網絡上被感染的PC無法與它們的指令控制中心連接配接。

　　黑客也注意到了這些反制措施，他們将指令控制中心由IRC轉移到了Web上，這樣，zombie将與普通的Web流量混合在一起，對它的封殺也就不那麼容易了。羅布說，bot的流量與人們浏覽Web沒有差別。黑客們知道Web流量非常大，如果他們将指令控制中心隐藏在這裡，就很難會被發現。

　　新的zombie不再與IRC伺服器相連接配接，而是與一個或多個Web網站相連接配接，接收黑客的指令。這類Web網站通常被托管在受到感染的伺服器上或長時間與網際網路相連接配接的計算機上，黑客會向這些網站上傳能夠被bot下載下傳的指令。是以，包括封殺IRC流量在内的傳統保護機制将失效，這意味着zombie 可能是由黑客利用企業網絡上的系統建立的。安全軟體廠商Eset的技術教育訓練主管艾布拉姆說，黑客轉向Web的目的是保護指令控制中心，使系統管理者無法發現惡意流量。Web流量普遍存在，IRC已經臭名昭著，而且很容易被發現和封殺。

　　安全廠商已經找到了一些發現和打擊新型zombie的方法。ISP和企業可以封殺惡意軟體使用的某個Web位址。專家表示，在不遠的将來，這類Web 位址的黑名單就會編輯出來。Arbor Networks的進階軟體工程師納紮裡奧說，我們不能簡單地封殺所有的外出Web流量。但是，如果發現了一個對你沒有用的Web伺服器，就可以封殺它的 IP位址。

　　羅布表示，為了跟蹤bot宿主的活動，安全專業人士必須更多地依賴他們的“蜜罐”，這使得他們能夠仔細研究和發現控制伺服器。“蜜罐”計算機也可以用作控制伺服器，當黑客登入後，就會受到監視，甚至暴露身份。

　　機構可以投資相關技術，更密切地監視Web流量和發現預示着bot活動的流量模式。但是，這需要較多的投資，使得人們對這種方法沒有足夠的興趣。

　　納紮裡奧表示，安全産業處于被動地位。黑客總是打響第一槍，然後我們才會防禦和反擊。