2014年以來(lái),安全企業(yè)RiskAnalytics一直在互聯(lián)網(wǎng)上跟蹤一個(gè)特別具有傳染性的僵尸網(wǎng)絡(luò)。經(jīng)過(guò)了兩年的研究,RiskAnalytics發(fā)布了一份報(bào)告,解釋了這個(gè)世界上最成功的僵尸網(wǎng)絡(luò)之一為何仍在擴(kuò)散。在報(bào)告里,RiskAnalytics詳細(xì)闡述了Zbot僵尸網(wǎng)絡(luò)如何使用一項(xiàng)被稱為“Fast Flux”的技術(shù),繞過(guò)檢測(cè)并保持存活。僵尸網(wǎng)絡(luò)是一系列被感染系統(tǒng)(有時(shí)被稱為僵尸)的集合,攻擊者可以使用命令與控制系統(tǒng)來(lái)控制它,攻擊互聯(lián)網(wǎng)上的其他用戶和站點(diǎn)。Fast Flux技術(shù)利用DNS隱藏攻擊的來(lái)源,至少自2007年開(kāi)始就已有人使用它。DNS本來(lái)的工作方式是將域名轉(zhuǎn)發(fā)給DNS解析器,獲取對(duì)應(yīng)的IP地址。使用Fast Flux,攻擊者可以將多個(gè)IP地址的集合鏈接到某個(gè)特定的域名,并將新的地址從DNS記錄中換入換出,回避檢測(cè)。
Noah Dunker是RiskAnalytics公司安全實(shí)驗(yàn)室負(fù)責(zé)人,他表示:“許多僵尸網(wǎng)絡(luò)使用的并不是Fast Flux,但就我們所看到的而言,所有Fast Flux活動(dòng)都至少與某種僵尸網(wǎng)絡(luò)有關(guān)。Fast Flux基本上是僵尸網(wǎng)絡(luò)的一個(gè)子集,而‘Double-flux’這個(gè)術(shù)語(yǔ)講的則是Fast Flux使用的DNS服務(wù)器本身就托管在Fast Flux網(wǎng)絡(luò)上。”
Zbot僵尸網(wǎng)絡(luò)起源于Zeus銀行木馬,由于受到微軟組織的一次聯(lián)合行動(dòng)打擊,后者僅在2012年之前屬于世界上最活躍的木馬之一。Dunker指出,如今的Zbot和Zeus基本關(guān)系不大。
當(dāng)代的Zbot僵尸網(wǎng)絡(luò)使用Fast Flux技術(shù),因此,企業(yè)很難通過(guò)特定的IP地址范圍來(lái)防范該僵尸網(wǎng)絡(luò)。Wayne Crowder是RiskAnalytics公司威脅情報(bào)部門(mén)主管,他解釋稱,公司使用了復(fù)雜的算法來(lái)檢測(cè)與Fast Flux指標(biāo)相吻合的域名。這種檢測(cè)會(huì)自動(dòng)進(jìn)行處理,移除合法的內(nèi)容分發(fā)網(wǎng)絡(luò)域名。
他說(shuō):“這一處理過(guò)程之后將通過(guò)將所有的IP地址解析與多種其它的指標(biāo)比對(duì)分析,找出受感染端點(diǎn)與合法服務(wù)或內(nèi)容的不同之處。”
企業(yè)封堵Fast Flux僵尸網(wǎng)絡(luò)的風(fēng)險(xiǎn)在于,由于IP地址始終在更換,可能出現(xiàn)假陽(yáng)性。RiskAnalytics耗費(fèi)了大量精力,在創(chuàng)建選擇算法時(shí)使用了更多的參考量,以創(chuàng)建自有的Fast Flux信息訂閱,并將其提供給設(shè)備和威脅情報(bào)客戶。
“比如,行業(yè)內(nèi)使用的一些基礎(chǔ)算法會(huì)認(rèn)為某幾個(gè)合法的內(nèi)容分發(fā)網(wǎng)絡(luò)十分可疑,但如果使用其他的參考因素,就很容易將它們過(guò)濾掉。”
在RiskAnalytics測(cè)試Zbot的兩年時(shí)間里,這一僵尸網(wǎng)絡(luò)實(shí)際上已經(jīng)利用Fast Flux,重新使用了一系列IP地址。Dunker指出,他的公司經(jīng)常會(huì)看到同樣的受感染系統(tǒng)在沉寂一段時(shí)間之后重新出現(xiàn)。
“有時(shí)候整個(gè)域名都會(huì)被停止使用一段時(shí)間,然后在幾天、幾周、甚至幾個(gè)月之內(nèi)恢復(fù)工作。今天五月份,在寫(xiě)論文的時(shí)候,我們發(fā)現(xiàn)在我們2014年最初開(kāi)始進(jìn)行研究室發(fā)現(xiàn)的23個(gè)受感染系統(tǒng)如今仍存在于同一個(gè)僵尸網(wǎng)絡(luò)中。”
Dunker估計(jì),Zbot僵尸網(wǎng)絡(luò)將在未來(lái)一段時(shí)間內(nèi)持續(xù)增長(zhǎng),也會(huì)有更多的服務(wù)使用它。Crowder指出,RiskAnalytics預(yù)計(jì)Zbot網(wǎng)絡(luò)在可預(yù)見(jiàn)的未來(lái)將會(huì)作為贏利性項(xiàng)目在地下黑市上出售。他說(shuō):“我們已經(jīng)看到了許多勒索軟件使用這一僵尸網(wǎng)絡(luò),在未來(lái),還會(huì)有更新、更多種類的惡意軟件使用它。”
Crowder擔(dān)心,該僵尸網(wǎng)絡(luò)的下一代版本可能會(huì)擴(kuò)張到其它類型的網(wǎng)絡(luò),甚至是物聯(lián)網(wǎng)。如果智能電視、家用電器和其它互聯(lián)設(shè)備成為了Zbot僵尸網(wǎng)絡(luò)的一部分,Zbot可能會(huì)變得更加難以追蹤和阻止。
Crowder說(shuō):“除非Zobt代碼遭到泄露,或者銷售和托管它的罪犯?jìng)儽蛔サ剑覀兡茏龅奈ㄒ磺泻蠈?shí)際的事情就是監(jiān)測(cè)該網(wǎng)絡(luò)的動(dòng)向,并嘗試進(jìn)行限制。”
京公網(wǎng)安備 11010502049343號(hào)