黑客利用Zombies威胁网络安全

电脑犯罪分子正在采用新的基于Web的技术控制已经被他们挟持的计算机——即所谓的 zombies。以前，他们总是利用互联网聊天服务发送命令，但是，这种方法使他们冒有泄露zombies和他们自己位置的风险。　　安全厂商Simplicita的技术总监罗布表示，黑客们这样想：你们在探测我的流量，我会努力隐蔽得更深。这种策略的变化加大了发现网络上 zombies的难度，安全专业人士利用黑客们的工具侦察黑客也更困难了。另外，转向基于Web的控制也加大了zombies对企业和其它机构的威胁，因为这种方法不会象以前的技术那样会被轻易地拦截。

　　Zombies已经成为互联网上最严重的问题之一。通过软件中的缺陷、蠕虫、特洛伊木马病毒，恶意的远程控制代码能够使计算机成为zombie，然后秘密地在后台运行，使黑客在用户不知情的情况下向系统发送命令。

　　微软今年早些时候发布的报告显示，Zombie是对Windows PC最普遍的威胁。在2005年1月-2006年3月之间，随同微软补丁软件发布的一款安全工具从约350万台PC上删除了至少一个版本的恶意远程控制软件。

　　电脑犯罪分子通过将他们控制的Zombie联结成botnet获得经济利益。利用botnet，他们威胁对机构的网络发动拒绝服务攻击勒索金钱，托管钓鱼欺诈攻击网站、发送垃圾邮件。黑客还会在Zombie上安装广告件和间谍件，从这些软件开发商那里获得收入，或者出售收集的用户资料。

　　安全研究人员发现，zombie与它们的“宿主”通讯的方式使得发现zombie相对容易。当前，电脑犯罪分子通过IRC控制大多数的botnet。 IRC使黑客能够实时地控制他们的botnet。一旦计算机被感染，它就会与一台聊天服务器连接，等待黑客的控制命令。但是，安全研究人员可以潜伏进聊天室，对黑客进行监听，甚至确定他们的身份。另外，IRC使用它自己的网络协议。罗布说，IRC不象其它协议那样常见，它有自己的特征，安全研究人员可以利用技术发现IRC流量。

　　ISP已经封杀了被zombie利用的IRC服务器的流量，许多机构利用防火墙和入侵探测系统等网络安全措施封杀IRC流量，这就使得特定网络上被感染的PC无法与它们的命令控制中心连接。

　　黑客也注意到了这些反制措施，他们将命令控制中心由IRC转移到了Web上，这样，zombie将与普通的Web流量混合在一起，对它的封杀也就不那么容易了。罗布说，bot的流量与人们浏览Web没有区别。黑客们知道Web流量非常大，如果他们将命令控制中心隐藏在这里，就很难会被发现。

　　新的zombie不再与IRC服务器相连接，而是与一个或多个Web网站相连接，接收黑客的命令。这类Web网站通常被托管在受到感染的服务器上或长时间与互联网相连接的计算机上，黑客会向这些网站上传能够被bot下载的命令。因此，包括封杀IRC流量在内的传统保护机制将失效，这意味着zombie 可能是由黑客利用企业网络上的系统创建的。安全软件厂商Eset的技术培训主管艾布拉姆说，黑客转向Web的目的是保护命令控制中心，使系统管理员无法发现恶意流量。Web流量普遍存在，IRC已经臭名昭著，而且很容易被发现和封杀。

　　安全厂商已经找到了一些发现和打击新型zombie的方法。ISP和企业可以封杀恶意软件使用的某个Web地址。专家表示，在不远的将来，这类Web 地址的黑名单就会编辑出来。Arbor Networks的高级软件工程师纳扎里奥说，我们不能简单地封杀所有的外出Web流量。但是，如果发现了一个对你没有用的Web服务器，就可以封杀它的 IP地址。

　　罗布表示，为了跟踪bot宿主的活动，安全专业人士必须更多地依赖他们的“蜜罐”，这使得他们能够仔细研究和发现控制服务器。“蜜罐”计算机也可以用作控制服务器，当黑客登录后，就会受到监视，甚至暴露身份。

　　机构可以投资相关技术，更密切地监视Web流量和发现预示着bot活动的流量模式。但是，这需要较多的投资，使得人们对这种方法没有足够的兴趣。

　　纳扎里奥表示，安全产业处于被动地位。黑客总是打响第一枪，然后我们才会防御和反击。