僵尸網(wǎng)絡(luò)被粉碎 尋找背后故事
Rustock僵尸網(wǎng)絡(luò)平均每天發(fā)送300億封垃圾郵件,或許只由兩三個(gè)人控制。在擊敗這個(gè)垃圾郵件網(wǎng)絡(luò)后早些時(shí)候的分析提到,這個(gè)垃圾網(wǎng)絡(luò)是一個(gè)小團(tuán)隊(duì)的杰作。Rustock僵尸網(wǎng)絡(luò)由大約100萬臺(tái)受到劫持的PC機(jī)組成,采用了一系列的技巧來隱藏自己從而躲避安全檢查好些年。由于抓住了僵尸網(wǎng)絡(luò)的服務(wù)器,全球垃圾郵件的數(shù)量大幅下降,現(xiàn)在處于相當(dāng)?shù)偷囊粋€(gè)水平。
收益
Alex Lanstein是火眼公司(FireEye)的高級(jí)工程師,他幫助調(diào)查Rustock僵尸網(wǎng)絡(luò)他說“看起來好像最多不會(huì)超過兩三個(gè)人在發(fā)這些垃圾郵件。”
Lanstein先生這樣判斷的根據(jù)是他對(duì)僵尸網(wǎng)絡(luò)的熟悉,因?yàn)樗谶^去幾年中一直在努力關(guān)停它們。
他說藏在惡意軟件中的代碼的特點(diǎn)和這個(gè)網(wǎng)絡(luò)巨人的行事方式暗示了這個(gè)僵尸網(wǎng)絡(luò)只被一個(gè)小團(tuán)隊(duì)操控。
由火眼( FireEye)、微軟、輝瑞和其它公司同時(shí)采取的行動(dòng)找到了在美國(guó)7個(gè)城市中的96個(gè)服務(wù)器上的數(shù)據(jù)中心,它們?cè)?Rustock僵尸網(wǎng)絡(luò)中扮演了下命令和控制系統(tǒng)的角色。
Lanstein先生稱服務(wù)器上的硬盤已經(jīng)交給法庭,來搜尋可以查明僵尸網(wǎng)絡(luò)控制者身份的線索。
他預(yù)感有一個(gè)小團(tuán)伙隱藏在Rustock的背后,部分原因是因?yàn)樗c像 Zeus這樣的垃圾郵件網(wǎng)絡(luò)有相當(dāng)?shù)膮^(qū)別。
Zeus這樣的垃圾郵件網(wǎng)絡(luò)操作就像特許經(jīng)營(yíng)一樣,涉及到很多不同的群體和網(wǎng)絡(luò)犯罪分子。
相反,Rustock受到嚴(yán)密的控制,如果規(guī)模太大,就會(huì)帶來令人頭痛的互聯(lián)網(wǎng)商業(yè)方面的管理。
他說,“這樣一來管理他們的資產(chǎn)和更新一百萬臺(tái)使用者網(wǎng)絡(luò)信息將會(huì)帶來很多煩。”
他說,由于采用了聰明的控制方式,Rustock躲避開了幾年的追蹤。當(dāng)受害者訪問被植入病毒的廣告和鏈接的網(wǎng)站時(shí),就會(huì)跳進(jìn)陷阱。
一旦PC機(jī)被控制,就會(huì)使用加密協(xié)議定期更新它們。這些下載包括分發(fā)幾十億封兜售假藥的垃圾郵件的作弊引擎。
Rustock對(duì)PC機(jī)的更新偽裝成好像是論壇上的內(nèi)容,這使得它們很難被安全軟件辨認(rèn)出來,一般的安全軟件主要檢查惡意軟件的典型的特征。
控制Rustock的服務(wù)器位于美國(guó)的網(wǎng)絡(luò)托管中心,而不是在海外。
Lanstein先生說, ““命令和控制”服務(wù)器不是坐落在大城市地區(qū),而是位于美國(guó)中部,這就使它們能躲開監(jiān)控。”
他說,“命令和控制”服務(wù)器托管的成本是大約每月$10,000。
Lanstein先生稱 很難估計(jì)Rustock 操控者掙了多少錢, 但是很可能是一個(gè)巨大的數(shù)字。
Lanstein先生說,自從這次抓獲以后,的控制者好像并沒有重新啟動(dòng)他們的控制的意思。微軟采用的技術(shù)措施可能限制了將來任何的重新控制的企圖。又提到他不確定他們是否正盡力重新控制。
“如果你是一個(gè)程序員,意識(shí)到微軟法律部的全部力量都只想你,那么你或許提醒自己是時(shí)候轉(zhuǎn)行了。”他說。
【編輯推薦】
