風暴殭屍網路或風暴蠕蟲殭屍網路,是一種受遠端控制的殭屍電腦(機械人網路)組成的網路。該網路是由暴風蠕蟲(一種透過垃圾電子郵件散播的木馬)連接而成的。研究預測截至2007年9月為止,風暴殭屍網路至少藏身於1百萬到5千萬部電腦系統裏某處默默執行[1][2]。其他訊息來源則折衷風暴殭屍網路的大小約為25萬到1百萬部電腦。更保守一點的估計,一位網路安全分析家宣稱他曾寫過一個軟件「爬」過殭屍網路,以此預測風暴殭屍網路控制了約16萬部受感染的電腦[3]。風暴殭屍網路首度於2007年1月左右發現,當時風暴蠕蟲約佔所有運行於微軟視窗平台電腦流氓軟件的8%[4]。
此條目需要更新。 (2019年2月7日) |
此條目翻譯品質不佳,原文在en:Storm Botnet。 |
風暴殭屍網路已被用於各式各樣的犯罪行為。目前它的控制者以及風暴蠕蟲的作者仍未被查出。風暴殭屍網路已展示出防禦性的行為,顯示它的控制者正積極的保護殭屍網路,以避免種種追蹤或者終止該程式的嘗試。殭屍網路會針對某些試圖偵查它們的保全公司或者研究員進行攻擊[5]。保全專家喬·史都華(Joe Stewart)透露在2007年晚期,殭屍網路操作者開始進一步的分散其運作,可能計劃將風暴殭屍網路部份賣給其他的操作者。同時期某些報告指出風暴殭屍網路正在收縮,然而許多保全專家報告說他們認為殭屍網路仍舊是線上主要保全威脅,而且考量殭屍網路身為銀行詐欺、個人資訊竊取、以及其他電子犯罪方面的共犯,美國聯邦調查局仍將其列為網路保全重點對象[6][7]。
2007年9月的報告指出殭屍網路已強大到足以將整個國家從互聯網上隔離。根據預測,它每秒執行指令的速度足以超過某些世界頂尖的超級電腦[8]。然而,這並不是完全精確的比較。根據保全分析師詹姆士·透納(James Turner)說把殭屍網路與超級電腦拿來比較,就像拿狙擊手組成的軍團與核武器相比較一樣[9]。英國保全公司馬歇爾(Marshal)的布萊德雷·安斯底斯(Bradly Anstis)說:「更值得擔憂的事是頻寬。只要算一下4百萬倍的標準ADSL連線。那是很大的頻寬,這讓我相當擔憂。有像那樣的資源在他們手上—分散在世界各地,高度密佈於很多國家內—意味着他們可以對許多網頁寄存服務商發起非常有效的分散式阻斷服務攻擊。」[9]
起源
風暴殭屍網路首度在2007年1月於互聯網被偵測到。它與其蠕蟲之所以得其名是因為一開始它用來感染宿主的email都有一行與風暴相關的標題,像「風暴侵襲歐洲,230人死亡。」[10]後期聳人聽聞的標題如:「中國導彈擊落美國飛機。」以及「美國國務卿康多莉扎·賴斯踹了德國總理安格拉·默克爾一腳。」[1][11][12]資訊保安專家們懷疑某些知名在逃的垃圾郵件大王,包括李歐·媒體櫃馬耶夫(Leo Kuvayev),可能參與或控制風暴殭屍網路的運作[13]。科技專欄作家丹尼爾·汀南(Daniel Tynan),在他一篇以羅伯特·克靈居禮(Robert X. Cringely)作為筆名的著作寫道:很大部份風暴殭屍網路之所以存在的過失得歸因於微軟與Adobe Systems[14]。其他研究指出,風暴殭屍網路取得犧牲品的主要方法是透過經常變換其社會工程體系來蠱惑用戶[15]。根據派崔克·朗諾(Patrick Runald)的研究,風暴殭屍網路有強烈的美國事務焦點,因此多半在美國國內有幹員在其組織中工作並支援其運作[16]。不過,某些專家相信風暴殭屍網路控制者群是俄羅斯人,特別是俄羅斯商業網路涉有重嫌。其根據是風暴蠕蟲軟件提到了對在莫斯科的卡巴斯基公司的憎恨,並且檔案裏含括了個俄羅斯的單字「Buldozhka」,即「鬥牛犬」之意[17]。
組成
風暴殭屍網路是由Windows作為其操作系統的電腦組成[18]。一旦受到感染,機器就變成了殭屍電腦。殭屍電腦會在電腦擁有者不知情或未允許下逕自自動進行多種工作,包括任何從取得用戶資料、攻擊網站、到轉發傳染電子郵件的種種事務。預估約5千到6千部電腦是專門做透過電子郵件夾帶感染過的附件來繁殖擴散蠕蟲這件事。截至2007年9月,殭屍網路送出了12億條病毒資訊,其中光在2007年8月22日的單日紀錄就達到5千7百萬條[18]。根據電腦法學鑑識家勞倫斯·鮑德溫(Lawrence Baldwin)所言:「總合來說,暴風殭屍網路每日送出約10億條資訊。它可輕易的再多加兩個零。」[1]勾引受害者的方法之一是感染免費音樂網站,像提供如碧昂絲·諾利斯、凱莉·克萊森、蕾哈娜、老鷹樂隊、及一些當地知名藝人音樂免費下載的網站[19]。而基於數碼簽章為主的偵測(一種大部份電腦系統對抗病毒與流氓軟件感染主要防禦手段)因受到大量風暴蠕蟲變種的攻擊而阻礙其效能[20]。
控制殭屍網路與風暴蠕蟲擴散的後台伺服器群自動對它們的擴散感染軟件以一小時兩次的速度重新編碼,作為新的傳播媒介。這種手段使得防毒軟件商終止病毒擴散及運作較為棘手。另外,控制殭屍網路的遠端伺服器位置藏在一種固定變換DNS技術,叫做「快速通量」(fast flux)之後,[10]使發現並攔截其宿主站與郵件主機更為困難。簡單來說,這群機器名稱與位置常常輪換,往往是幾分鐘就換一次[21]。風暴殭屍網路操作者透過點對點技術控制系統,讓外部查殺該系統更加不易達成[22][23]。在風暴殭屍網路裏並沒有中央「命令控制點」可以停止該網路[24]。殭屍網路也利用加密流傳播[25]。其感染個人電腦的辦法通常不外乎透過操弄使人們相信並下載夾帶病毒電子郵件的幾種實做裏打轉。其中一個簡單的例子,殭屍網路控制者利用美國國家美式足球聯盟開賽週末,送出電子郵件謊稱提供「足球賽事追蹤程式」,事實上它除了感染用戶電腦以外什麼事都沒做[26][27]。據MessageLabs的首席反垃圾郵件技術員麥特·斯爾金(Matt Sergeant)說:「以計算能力論,超級電腦終究不堪殭屍網路一擊。如果你把所有500部頂尖的超級電腦能力加起來,超級電腦群只能與兩百萬部殭屍網路機器匹敵。這些罪犯擁有可使用如此計算能力實在很可怕,然而我們可以反擊的部份實在有限。」[18]保全專家們預估現在使用的只有全部風暴殭屍網路總容量與能力的10%到20%[28]。
保全專家喬·史都華利用隔離考察中間系統被感染至加入殭屍網路的方式進一步揭露其過程:嘗試加入殭屍網路的任務是由參與對話中的電腦系統逐步執行一系列的EXE檔案。通常,這些檔案被按照順序命名,例如從game0.exe到game5.exe,或者類似檔名。它隨後繼續輪流啟動執行檔。這些執行檔一般進行的任務如下[29]:
- game0.exe:後門 / 下載器
- game1.exe:SMTP轉發
- game2.exe:Email地址盜號器
- game3.exe:Email病毒擴散器
- game4.exe:分散式阻斷服務攻擊(DDos)工具
- game5.exe:更新過的風暴蠕蟲拷貝
在每個階段裏,中間跳板系統將連上殭屍網路。快速通量DNS技術使得追蹤這個過程異常艱難。這代碼是從視窗系統%windir%\system32\wincom32.sys下透過系統內核rootkit執行,並且所有連回殭屍網路的連線都是透過修改過的eDonkey/Overnet通訊協定達成[29]。
方法論
風暴殭屍網路以及它的變種採用廣泛的攻擊方法,因而相對多樣的的防禦步驟亦同時存在[30][31]。風暴殭屍網路不但受到其背後組織監視並自我防衛,它也會攻擊那些提供線上掃描被風暴病毒感染電腦的主機[32]。殭屍網路會以拒絕訪問反擊以防衛它自己,藉此保持其內部一貫性[33]。在過去某個時段,以前用來散播殭屍網路的風暴蠕蟲曾企圖在互聯網上釋放上百上千種它自己的版本,打算以一次密集性攻擊來壓垮防毒反流氓軟件保全公司的防衛線[34]。根據IBM保全研究員約書亞·柯曼(Joshua Corman)指出:「這是我記憶中有史以來第一次看過研究員真的害怕去調查這個漏洞。」[35]研究員們仍舊不確定殭屍網路的防禦及反擊是由程式自動啟動的,或是該系統操作者手動執行的[35]。「如果你試着給它綁個除錯器,或者對中繼站回報的站點進行查詢,殭屍網路會馬上發現並立刻懲罰你。在SecureWorks事件後,殭屍網路中一小塊直接DDoS某研究員並把他拿下網。每一次我聽到某個調查站試着要查這檔事,他們會自動被懲罰。它知道它自己被調查,並懲罰他們。它進行反擊。」柯曼補充道[36]。
Spameater.com以及其他站像419eater.com與Artists Against 419,都是對抗419電子垃圾郵件詐欺的網站,他們都曾經歷過DDoS攻擊,造成被攻擊站點暫時完全無法運作。DDoS攻擊包括進行大量的同時網路請求到這些或者其他目標的IP地址群,造成伺服器負載過荷並阻塞主機回應請求[37]。其他反垃圾反詐欺的集團,如Spamhaus Project,也遭受到攻擊。Artist Against 419網站網管表示該站倒站前伺服器達到每小時4千億位元組資料量(400gbits/h),相當於約300部ADSL連線機器同時持續不斷的上載攻擊流量,並每部必須達到其頻寬最大理論值每秒30萬位元組(300kbit/s)。鑒於理論值現實上永不可能達到,當時動員的機器可能兩倍多,並且類似做案方式發生在一打以上的反詐欺網站上。一位垃圾信件研究員陳傑夫說:「在打擊風暴殭屍網路的觀點上,從好的方面看是艱巨,從壞的方面看是不可能,因為這些壞蛋控制了數以百計百萬位元(megabits)的流量。某些證據顯示他們可能控制了上以百計十億位元(gigabis)的流量,這種流量足以將某些國家整個從互聯網驅離。」[8]
風暴殭屍網路的系統也在受害人電腦系統本機端採取步驟防衛它自己。在某些中間系統裏,殭屍網路在視窗機器下創造了某個電腦進程;無論何時一個新程式或者其他進程開始執行該進程都會告知風暴系統。在之前,風暴蠕蟲在本機端僅僅只會告訴其他程式—如反毒反流氓程式—不去執行。然而,根據IBM保安研究指出,現在版本的暴風蠕蟲不過「愚弄」本機系統以為程式正常執行無誤,不過實際上它們什麼都沒有做。「程式,不單包括可能觸發存取違規的exe檔、dll檔、與sys檔,亦包括軟件像P2P應用程式BearShare以及eDonkey都將看起來順利執行,即使它們並不實際上做什麼事,這種方式遠遠比起一個進程受到外面影響突然間終止那種做法較不容易讓人起疑。」Sophos公司的理查·科函(Richard Cohen)道。中間系統的使用者,以及相關的保全系統,將會假定保全軟件跑得好好的,實際上陽奉陰違[36]。
2007年9月17日,一個美國共和黨的網站被當作中繼站來散播風暴蠕蟲與殭屍網路[38][39]。2007年10月,殭屍網路利用YouTube裏郵件系統裏CAPTCHA應用程式的漏洞,遞送垃圾郵件到Xbox擁有者,假意欺騙他們有機會贏得最後一戰3電子遊戲特別版[40]。其他攻擊方式像利用人們喜歡可愛或者新奇事物的心理,例如微笑的小貓動畫、跳舞的骷髏圖片[41]以取得人們點擊木馬程式下載,還有蠱惑雅虎地球村服務的旗下用戶下載軟件,因為信件假稱地球村本身需要用到它[42][43]。趨勢科技的保羅·佛古森(Paul Ferguson)特別針對地球村的那次攻擊稱之為「充分準備的入侵感染」,並牽涉到俄羅斯商業網路—一個知名的垃圾郵件與流氓軟件服務組織—的成員[43]。2007年聖誕夜,風暴殭屍網路開始送出有針對男與女「性」趣假期專題資訊,像「找個美豚過剩蛋」(Find Some Christmas Tail)、「聖誕12女(The Twelve Girls of Christmas)」、「耶誕老婆今晚上門!(Mrs. Claus Is Out Tonight!)」、以及媚惑的女性相片。這種方式被描述為企圖在假期期間勾引更多未保護系統加入殭屍網路以拓展其規模,而此時相對的網路保全商的保全更新可能得花較長時間才能部署完畢[44][45]。在聖誕節脫衣舞孃郵件散播後隔一日,風暴殭屍網路操作者立刻開始送出新一輪電子郵件,宣稱希望他們的收件人都「2008年新年快樂」[46]。
加密與銷售
2007年10月15日左右,研究顯示部份風暴殭屍網路及其變種上市待售[48][49]。這交易可透過使用特製的保全金鑰對殭屍網路流量與資訊加密進行[25]。該特製金鑰允許與其相匹配的風暴殭屍網路的每個部份、或者子區域進行聯繫。[10]然而如果金鑰有特定長度與簽名的話,這種方式在未來將可使他人偵測、追蹤、並且封閉風暴殭屍網路的流量,[48]。電腦保全公司Sophos同意,將風暴殭屍網路進行細切,可以猜測為是它準備轉售其服務的徵兆。Sophos的葛拉漢·庫雷(Graham Cluley)說:「風暴殭屍網路對加密流的使用,是引起我們實驗室注目的有趣功能。它最有可能的用途,是提供電子罪犯租用部份的網路以作為其濫用所需。如果網路被這些人用來做垃圾郵件、分散式阻斷服務攻擊、以及其他惡意用途,我們都不會感到驚訝。」[50]保全專家們表示,如果風暴殭屍網路被流氓軟件市場所切割,以「立即可用+殭屍網路製作+垃圾郵件包」形式發行,世人將會看到風暴殭屍網路相關感染與中繼電腦系統數量急遽的增加[51]。金鑰加密功能僅僅存在於2007年10月第二週以後成為風暴殭屍網路中繼系統的電腦。這意味着要被追蹤與屏閉在這段時間之前成為中繼電腦的系統仍舊困難重重[52]。
在風暴殭屍網路這部份被發現的幾日內,來自新子區段的垃圾郵件已被各大保全公司所揭露。於10月17日晚間,保全公司開始看到新的垃圾郵件內嵌了MP3音樂檔,而該信企圖欺騙受害者去投資細價股,以作為非法炒股詐騙的一部份。研究相信此次是前所未見、首度利用實際的音樂檔案以愚弄受害者的垃圾電子郵件欺詐案例[53]。然而,幾乎不像所有其他的風暴殭屍網路相關的電子郵件,這些新的音樂-股票欺詐資訊並沒有包括任何病毒或者風暴殭屍網路流氓軟件酬載;它完全不過是股票欺詐的一部份[54]。
2008年1月,殭屍網路首度被偵測出與針對主要金融機構用戶的釣魚網站攻擊掛勾。瞄準的歐洲銀行機構包括:巴克萊銀行、海利發克斯銀行、以及蘇格蘭皇家銀行[47][55]。F-Secure這些攻擊載台應用特製金鑰,此表示用於攻擊的殭屍網路區段是租來的[55]。
現狀
2007年9月25日,據估計微軟對視窗惡意軟件移除工具(MSRT)中的一個更新抑制了殭屍網路的規模最多達20%[56]。微軟宣稱,二百六十萬部掃描過的Windows系統中,新的修補程式從其中的274,372部受感染系統中移除了風暴蠕蟲[57]。不過,根據微軟資深保全人員所說:「超過180,000已被MSRT清理乾淨的機器,它們很可能打從第一日開始就是家用機器,意思就是不活躍參與『風暴殭屍網路』每日的作業。」這間接指出MSRT清理可能只是象徵效能採取的最好行動[58]。
2007年10月末,某些報告指出風暴殭屍網路已經正在失去其暨有規模,並且數量顯著的減少[59]。聖地牙哥加利福尼亞大學的保全分析師布蘭登·恩來(Brandon Enright)估計殭屍網路截至10月末已經掉到約160,000部中繼系統,與他於2007年7月預測的約1,500,000部系統相比較[3]。不過,恩來註明:殭屍網路的組合時常變動,而且它仍舊主動的自我防禦外來的攻擊與監測。「如果你是個研究員並且你造訪流氓軟件宿主網頁太多次...那麼一個自動進程將自動對你投射拒絕存取攻擊。」他說道,並且隨後補充了他的研究使得風暴殭屍網路攻擊聖地牙哥加利福尼亞大學,造成該校部份的網路癱瘓無法上網[60]。
電腦保全公司McAfee表示風暴蠕蟲很可能是未來攻擊的基礎[61]。之前發現Mydoom蠕蟲的著名保全專家克雷格·雪姆加(Craig Schmugar)稱風暴殭屍網路是趨勢設立者,其行為引領了罪犯們利用更多類似的策略[62]。這類殭屍網路的衍申之一被賦予「垃圾郵件幫派名人」的稱號,肇因於他們使用與風暴殭屍網路控制者類似的技術工具。然而,不像過去風暴操作者使用來勾引犧牲品的複雜社交工程那樣,垃圾郵件幫派名人承散播影視名人(如安吉麗娜·朱莉與布蘭妮·斯皮爾斯)的裸照之便[63]。思科系統保全專家在報告中指出他們相信風暴殭屍網路在2008年依然是個嚴重威脅,並且說他們預測其規模仍保持在「上百萬部」[64]。
於2008年年初,在其黑帽經濟體系下運作的風暴殭屍網路也碰到了其商業上的競爭對手:努哈赤(Nugache)組織,它是另一個類似的、首度於2006年被鑑識出來的殭屍網路。報告指出介於兩者殭屍網路操作者為其電子郵件遞送服務銷路的價格戰可能暗潮洶湧[65]。隨着介於2007-2008年聖誕節與元旦假期間,德國Honeynet計劃研究者報告指出風暴殭屍網路可能會在該期間最多擴展其20%的規模[66]。MessageLabs Intelligence於2008年3月的報告預測所有互聯網上的垃圾電子郵件總數超過20%來自於風暴殭屍網路[67]。
Stormbot 2
2010年4月28日,邁克菲(McAfee)對傳聞中的Stormbot 2予以了證實。
參見
參考文獻
外部連結
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.