僵尸网络正在迅速扩张 Torpig最凶险

本文讲的是僵尸网络正在迅速扩张 Torpig最凶险，【IT168 资讯】美国和韩国的政府网站屡遭DDoS攻击，这些攻击皆来自一个受不明黑客操纵的僵尸网络——已有人将怀疑的矛头对准了朝鲜——不管怎样，僵尸网络的暗黑世界有如魔都的疆土般无限地扩张着。
根据共享僵尸网络相关行动信息的组织ShadowServer基金会的报告，6年前开始起步的僵尸网络，发展极为迅速，已识别出的僵尸网络的数量已从两年前的1500个发展到了今天的3500个。
迄今为止，僵尸网络所控制的针对美国和韩国的攻击相信已在暗中控制了大约5万台电脑，其手法是利用了一个旧病毒MyDoom的升级版本，虽说此类攻击并未对许多网站造成唏嘘的损害，但是美国联邦贸易委员会（FTC）和美国运输部的网站皆被迫多次关闭，而FTC.gov网站还在苦苦挣扎。而针对韩国的DDoS攻击仍在持续，据韩国的防病毒公司AhnLab说，预计将会有更多的针对韩国银行和媒体网站的攻击。
当然，和僵尸网络相关的不只有DDoS攻击。僵尸网络通常是高度专业化的，专门设计用来分发垃圾邮件分发、窃取身份认证信息、窃取银行账户数据或信用卡数据、跟踪键盘动作、点击欺诈和软件盗版。
如今，一些更为成熟的僵尸网络一般会持续存在多年，幕后有一些影子组织在操纵，已然控制了数百万台电脑甚至服务器。
这些僵尸网络一般都会由专门跟踪调查它们的研究人员起一些非常诡诈的名称，这么做是为了能够更好地识别它们。
例如，据安全公司Damballa透漏，Gammima（游戏口令窃取者）、Conficker（假冒防病毒软件）和宙斯（信息窃取者）被认为是众多僵尸网络中规模最大的几个。
然而要准确估计受某个僵尸网络所控制的实际的电脑数量，也就是被他们控制的僵尸的数量其实是很困难的，很多专家说。
这是因为在计算受控电脑的数量时，一般都是按照已被发现的受感染机器来计数的，通常是按照IP地址来计数的，但这个数字会因为所采用的网络技术，比如网址翻译的影响可能增加也可能缩小。实际上是一个变化的数字。
Conficker据估计已感染了100万到1000万台电脑，并一度试图向这些受控制的电脑销售它的假冒防病毒软件，但到目前为止该僵尸网络的表现很平静。
“这是最大的僵尸网络之一，但是目前它却什么也没做，”Arbor网络公司安全研发经理Jose Nazario说，他相信Conficker已经感染了大约500万台Windows电脑。
最容易计数的僵尸网络似乎就是垃圾邮件僵尸网络了。根据赛门铁克的MessageLabs部门的调查，6月份表现最突出的僵尸网络叫Cutwail，它发送的垃圾邮件已占据了全球垃圾邮件的45%，已控制了大约140万到210万台电脑。
Cutwail的生存主要靠两款不同版本的恶意软件，MessageLabs的首席反垃圾邮件技术专家Matt Sergeant说，它目前还不是第1位的垃圾邮件僵尸网络。按照他的估计，到7月底，它有可能沦落为第2名，而原来只占全球垃圾邮件4.5%数量的Rustock有可能一跃而占有50%，成为第1名。
在地下经济中，购买垃圾邮件服务的买主有可能会放弃Cutwail而选择Rustock。这两个僵尸网络都已存在了多年，它们的主要控制人被怀疑是在乌克兰或者某个说俄语的国家。其他一些研究者也看到了这两个僵尸网络的行为方式和乌克兰及俄罗斯有很强的联系。
Nazario和Sergeant都认为，要起诉僵尸网络的非法行为非常困难，因为司法管辖权要跨越多个国家，尽管他们很赞赏联邦调查局起诉僵尸网络的坚定决心。
很多人认为，最危险的僵尸网络应该是Torpig，该僵尸网络的目的就是窃取身份认证信息、信用卡、银行账号和支付宝账户等。
“它非常高明，一般是以一个rootkit病毒隐藏在你的电脑内部，”SecureWorks的恶意软件研究经理Joe Stewart说。“它就在系统里安静地呆着，一旦捕获到银行账户的登录信息，它就会很安静地将其发送出去。”
深入Torpig僵尸网络，搞清楚它到底在做些什么，这是今年初由加州大学计算机科学系安全小组的8位研究人员启动的一项艰巨任务。他们在一处秘密地点设置了一台服务器，然后开始等待Torpig来发现这台服务器。
“我们已事先得知了它可能会访问的一串网址，所以我们就是等待，”加州大学计算机科学教授Giavanni Vigna说。他领导的这个小组再加上一些研究生的帮助，正准备突入Torpig僵尸网络。
上个月他们公开了被赶出Torpig之前10天内所发生的惊爆眼球的行动，显然，Torpig的运营者们发现了他们的侵入。
他们撰写的报告题目为：“你的僵尸网络就是我的：对僵尸网络接管的分析”，详细披露了Torpig僵尸网络对18万台肉机的传染，在10天之内记录下了僵尸们所收集的70GB的数据。
Torpig在410个不同机构中窃取了8310份证书。主要的攻击目标是支付宝、Poste Italiane、第一资本、E*Trade和Chase。Torpig所窃取的证书中大约38%是因为得到了浏览者的密码而获得的，并未截取实际的登录会话过程。Torpig还收集了1660张信用卡和借记卡，主要是Visa卡、万事达卡和美国运通卡，其中有49%的牺牲品估计是美国用户。在这10天里，Torpig从52540台受Torpig控制的机器中共窃取了297962个账户的信息，主要是Google、Facebook、MySpace、netlog.com、libero.IT、雅虎、nasza-klasa.pl、alice.it、live.com和hi5.com等网站的账户。
Torpig僵尸网络实施感染的主要手段就是，首先以恶意软件攻击合法网站，让其受感染，然后通过所谓路过式下载将访问该网站的机器变成僵尸。
路过式下载的效果就是“修改你的浏览器，让它变得不一样，”Vigna说。比如当你下一次访问你的网上银行时，被Torpig感染过的桌面就会显示一个伪装的Web页面以哄骗牺牲者输入银行账号密码或登录密码。然后Torpig便可将此密码发送给Torpig网络的操纵者。
Vigna说，研究人员一直未能发现到底是谁在操纵Torpig，不过他们将获得数据是与FBI共享的。加州大学的这个研究小组在执行Torpig渗透项目时还获得了美国国家科学基金会的帮助，后者正在支持一个长达5年的探索地下经济的项目。
Torpig僵尸网络揭示了用恶意软件攻击各类网站的攻击者之间的协作模式，这种协作能够使Torpig的操纵者获得更多的牺牲品。而且这种协作还大有向Torpig僵尸网络之外发展的苗头。
“我们已经看到的最严重的事情之一就是Web浏览器引人注目的变化，”Nazario在谈及路过式下载时说。和其他研究者一样，Nazario认为僵尸网络主要利用的是Windows机器。“浏览器已成为进入PC的一扇最为敞开的门，”用户必须不断地更新补丁，并尽量使用最新版的浏览器。