僵尸网络的规模和隐蔽性不断扩大
在过去的一年中,僵尸网络已经变得更加泛滥,更具灵活性和伪装性,而且他们似乎发现了一些危险的新目标。
僵尸网络的源代码历来都被其所有者严密保护着。即使网络犯罪分子选择退出僵尸网络,他们往往也会以高价出售他们的代码。但近年来,活跃的僵尸网络源代码已经泄露。这使得模仿者会去创建他们自己的新僵尸网络,然后以原始编码者万万没有想到的方式大行其道。举例来说,几年前泄露的Zeus源代码被其他人利用开发出GAMEOVER,它取代了Zeus源代码传统上与被感染设备的一个对等网络链接来进行集中指挥和控制(C&C)的方式。GAMEOVER添加了备份通信机制;更多地使用加密方式,并赋予僵尸主控机在制定僵尸网络行为规则上具备更多的灵活性,比如参与广泛传播的DDoS(分布式拒绝服务)攻击的能力。
僵尸网络更具灵活性
僵尸网络目前整合了多个指挥和控制的备份形式。举例来说,如果一个被僵尸网络(比如GAMEOVER)感染的客户端无法连接到网络中其他被感染的机器地址,它就会运行内置的“下一代域”算法。如果这些算法发现已经建立了至少一个新的C&C服务器,客户端就会恢复僵尸网络的活跃度。 僵尸网络的操纵者应对对策的速度也更快,更有效。一个杀毒软件公司控制了部分ZeroAccess僵尸网络,杀毒软件公司(我们称之为sinkholing)控制的服务器对来自50万个感染客户端的流量重新定向。作为报复,该僵尸网络的所有者迅速发动他们放置在客户端上的病毒来控制分支机构网络中工作的服务器。几周之内,他们就收复失地,而且相同的对策已经很难对付新的版本了。
僵尸网络提供了更危险的勒索攻击
随着用户对假警报和防病毒诈骗软件的警惕性越来越高,更多的僵尸网络开始采用提供勒索攻击的方式。如今用户都面临着一个刚性需求,即支付高昂的赎金来换回对自己数据的访问恢复。或许目前最危险,最普遍的例子就是Cryptolocker 。这种勒索软件将自身添加到运行Windows程序的启动列表中,追踪被感染的服务器,从你的电脑上传一个小的ID文件,检索来自该服务器的公共密钥(存储一个匹配的私有密钥),然后加密所有它可以在你的计算机上找到的数据和图像文件。
一旦你的数据被坏人加密,找回它唯一的方式就是使用存储在自己服务器上的私人密钥,而要得到私人密钥,你就必须向罪犯支付赎金(我们不建议这样做)。
尽管Cryptolocker有时是通过垃圾邮件传播的,但它也常常通过已经感染的僵尸网络发动攻击。在这种情况下,机器人会简单回应一个升级命令,允许骗子更新,更换或添加到他们已经植入到你电脑内的恶意软件,等你知道的时候已经为时晚矣。
针对金融行业的恶意软件僵尸网络日益增长
针对银行凭证,从金融机构及其客户处盗取超过2.5亿美元的僵尸网络工具包CARBERP的源代码于2013年中旬在俄罗斯被集中泄露,最近我们已经看到CARBERP在世界范围内活动的证据,被泄露的源码开始出现在其他僵尸网络中。这些基于Power Loader的源码,其中包括了一些运用了之前从未见过的最先进技术来避免被侦测,同时此代码可将恶意软件植入计算机。
与此同时,在英国和欧洲地区,很多用户最近遭遇了Shylock/ Caphaw—一种专门针对许多全球领先的金融机构客户且以僵尸网络形式出现的金融恶意软件,从巴克莱银行和America to Capital One,到花旗私人银行,富国银行都曾是受害者。
2013年度 ZeroAccess发展趋势:一度被sinkholing所遏制,但又迅速反弹
由杀毒软件公司研发的Sinkholing大幅减少了Sophos公司在2013年7月和8月检测到的被ZeroAccess感染的终端数量。但ZeroAccess的制造者马上做出应对,到今年9月,我们就检测到比以往任何时候都多的终端被感染。Source: SophosLabs
僵尸网络更具隐蔽性
在某些僵尸网络中,首个被集中控制和指挥(简称C&C)的被感染客户端并不是僵尸网络的一部分,而是不能被方便阻断的合法域(但已经处于危险当中)。
通常情况下,僵尸网络客户端首先是以代理的形式植入一个轻量级的PPP服务器(一种远程访问服务器),从而把链接重新定向。当你删除首个目标服务器时,所有被禁用的都只是一个代理:你并没有伤及到僵尸网络实际的指挥核心。
僵尸网络越来越依赖于“暗网”
僵尸网络越来越多地使用诸如Tor这样的隐蔽性网络,Tor的设计就是专门用来躲避监控的。Tor作为维基解密和其他人用来保护其来源的重要工具被广泛认知;因其在Silk Road online网上黑市上的行为最近正受到非法交易的指控。僵尸网络可以将C&C服务器作为隐蔽服务存储在Tor网络上,使它们变得更加难以追查。对此企业用户往往通过行政命令禁止他们的员工使用Tor,并使用应用程序的控制技术来防止员工使用Tor浏览器客户端软件。
ZeroAccess侦测按国家进行分类
截止到2013年10月,ZeroAccess控制了美国和英国的数千个终端,德国,澳大利亚和意大利也广泛检测到了ZeroAccess。
僵尸网络入侵比特币:另一种恶意软件的收入来源
僵尸网络的操纵者不断寻求新的收入来源。比特币在2013年取得了巨大的经济收益。比特币是一种不由任何金融机构发行的纯数字货币。虽然比特币的价值波动幅度很大,但在最近几个月它通常是在150美元到200美元的区间内浮动。新的比特币是通过解决需要大量计算机处理能力的复杂算术问题产生的,这种能力成为巨大的全球僵尸网络利用的目标。因此从2012年5月到2013年2月,然后是2013年4月连续三周,被ZeroAccess僵尸网络感染的客户端被绑架去采掘新比特币。
虽然比特币的价值在此期间急剧攀升, 但最终ZeroAccess让此功能失效了。原因何在我们并不清楚。或许是比特币吸引了太多的关注。或许因为他们可以通过点击欺诈并没有获得过多的收入。一些观察家认为,新兴的自定义比特币挖矿机硬件比分布式僵尸网络的威力更强大。虽然ZeroAccess不再采掘比特币,但其他的僵尸网络所有者并没有放弃这个梦想。核心安全研究人员布赖恩•克雷布斯发现在2013年5月俄罗斯FeodalCash僵尸网络采掘比特币的行为有所升温。