七年前的僵尸網絡,至今依然存在。似乎一旦感染,就永遠無法擺脫。
2008年底,名為飛客(Conficker)的蠕蟲病毒開始感染數百萬臺電腦,計算機安全社區大為震驚,迅速采取行動。
Gameover Zeus僵尸網絡感染情況
飛客的快速傳播令人十分驚恐,以致專門成立了一個名為“飛客工作小組”的組織來阻止僵尸網絡的蔓延以及找出該蠕蟲病毒的制造者。
很多國家也成立了自己的小組與互聯網服務提供商共同合作清除用戶電腦的感染。但,7年過去了,盡管投入了經年努力,全球依然有大約100萬臺電腦仍受該惡意軟件困擾。
荷蘭研究者分析了這些清除工作,試圖找出其中做對與做錯了部分,以便指導將來的僵尸網絡對抗工作。他們的研究報告將于本周在華盛頓特區舉行的第24屆高等計算機系統協會安全研討會(USENIX Security Symposium)上公布。
荷蘭代爾夫特理工大學助理教授哈迪·阿斯哈里說:“現在仍被感染的,就可能永遠處于感染中了。”
2008年12月,微軟把Windows XP上飛客蠕蟲利用的漏洞打上了補丁。該漏洞在文件共享功能開啟的狀態下可能被利用來遠程執行文件。但飛客的蠕蟲能力令其生命力超強,即使研究人員已經干掉了僵尸網絡的命令控制系統也能繼續感染計算機。
阿斯哈里稱,單個國家為控制飛客傳播所做出的特別努力,比如說芬蘭的工作,起到了一定幫助。別的一些發達國家,包括挪威和瑞典,盡管沒有飛客修復程序,依然成功將其置于控制之下。
自數年前拿下僵尸網絡控制權以來,研究人員一直在監控被飛客感染的計算機。阿斯哈里稱他的團隊看到超過100萬個受感染機器的IP地址回連以請求指令,但很難弄清這些機器的類型以及為什么它們仍然被感染了。
阿斯哈里認為,很有可能很多運行著Windows XP的計算機都是把自動更新功能關閉了的。還有可能其中一些極少更新或者直接拋棄了內嵌的系統。
有時候,互聯網服務提供商(ISP)確實很難幫用戶清理他們被感染的計算機。阿斯哈里說他曾接觸過一家ISP,為了清除飛客蠕蟲,那家ISP與同一位顧客聯系了36次。
“每次那位顧客都說自己已經清除掉了,但感染繼續發生。”
種種跡象表明,需要讓客戶更加簡單方便地修復他們的電腦。計算機安全社區也應該認識到,清除工作很有價值但通常進展緩慢,需要引入跑馬拉松的心態。
最好也要記住:如果這些計算機已經感染了飛客,它們同樣對其他更新的有可能被用于進一步攻擊的威脅也不設防。
阿斯哈里的團隊也能接觸到2014年6月被司法部門和研究人員搗毀的Gameover Zeus僵尸網絡得來的數據。
感染了Gameover Zeus的計算機中有10%也同時感染了飛客蠕蟲,表明安全防護糟糕的計算機可容病毒持續肆虐。
即使這種漏洞百出的計算機只占聯網計算機中很小的比例,算起來也是以百萬計了。
研究報告的共同作者還有邁克爾·希勒和米歇爾·J.G.·馮·伊頓,二者均來自代爾夫特理工大學。
京公網安備 11010502049343號